PCI DSS合规概览

PCI DSS 合规是什么呢?它包含哪些内容?本文为你详细介绍 PCI DSS 定义、作用等信息。

产生背景

MasterCard、VISA、American Express、Discovery 和 JCB 是目前PCI产业中的五个全球支付品牌。每个品牌都有自己的安全要求,每个品牌所维护的安全策略体系也依然在用。经五个卡品牌协商,为了更好的促进支付卡产业数据安全的发展,把数据保护的相关要求统一维护,成立 PCI 安全标准委员会

PCI 安全标准委员会作为一家全球性组织,主要负责全球范围内对于数据保护标准的制定和更新、体系的管理、人员和机构的培训、审核机构的授权还有安全意识的教育等等。

什么是 PCI DSS

Payment Card Industry Data Security Standard(PCI DSS),全称为支付卡行业数据安全标准,是由 PCI 安全标准委员会的五个创始成员共同制定,力在使国际上采用一致的数据安全标准。

PCI DSS 适用于所有涉及到支付卡存储传输处理的实体,主要包括商户第三方支付机构发卡机构服务提供商等。PCI DSS 包括一组保护持卡人信息的基本要求,并可能增加额外的管控措施,以进一步提高数据的安全性,降低数据泄露的风险。

适用对象

存储+传输+处理= PCI DSS。这就是说,在支付业务流程当中,但凡涉及到卡数据的存储、传输或者是处理,都需要合规 PCI DSS 标准。这对于许多商户(如:航空公司、酒店、超市、电子商务)来说都是需要特别关注的。

因此,在我们日常工作中,除了金融机构和支付机构需要对系统本身加强保护,越来越多的行业都开始关注卡数据的安全。

尽管 PCI DSS 是作为支付卡数据安全标准,但目前也已经不再局限于支付卡行业,而是更广泛的被借鉴成为数据保护的信息安全标准。

标准的内容

PCI DSS 对于所有涉及信用卡信息机构在持卡人数据的存储传输处理方面作出标准的要求,包括防火墙管理信息安全策略访问控制数据传输加密等12项最佳安全实践要求:

以下是对 12 项 PCI DSS 要求的概述:

目的 内容
建立和维护一个安全的网络和系统 1. 安装并维护防火墙配置,以保护持卡者数据
2. 请勿使用供应商提供的系统密码和其他安全参数的默认设置
保护持卡者数据 3. 保护存储的持卡者数据
4. 在开放公用网络上传输持卡者数据时进行加密 √
维护漏洞管理程序 5. 保护所有系统免受恶意软件攻击,定期更新杀毒软件或程序
6. 开发并维护安全的系统和应用程序
部署严格的访问控制措施 7. 根据企业需要限制对持卡者数据的访问
8. 对系统组件的访问进行识别和身份验证 √
9. 限制对持卡者数据的物理访问
定期监控和测试网络 10. 跟踪并监控对网络资源和持卡者数据的所有访问
11. 定期测试安全系统和流程
维护信息安全策略 12. 维护旨在为所有人员解决信息安全问题的策略

:可以通过 SSL 数字证书来满足要求。

重要性

持卡人数据的泄露或盗用会影响整个支付卡生态系统:

  • 客户突然失去商户或金融机构的信任,个人信用可能会受到负面影响。
  • 商家和金融机构失去信用,将承担着无数的金融负债。

遵循 PCI DSS 安全标准,有助于确保全球数以亿计的人每天都在使用健康可靠的支付卡交易。