什么是 PCI 合規性？

支付卡行業 (PCI) 合規性，最初稱為支付卡行業數據安全標準 (PCI DSS) 合規性，是由支付卡行業安全標準委員會管理的自律行業行為準則。PCI 合規性要求在主要信用卡計劃下處理品牌信用卡的組織安全地接受、存儲、處理和傳輸持卡人數據。 

什么是 PCI 合規性？

公司需要發現其系統中存儲、傳輸或處理的敏感數據，并保護其免受未經授權的訪問，以遵守 PCI。敏感數據發現軟件可以更輕松地定位這些敏感數據，并幫助公司設置適當的措施來防止黑客訪問它。

織需要以下條件才能符合 PCI 標準：

• PCI合規的12個一般要求
• 基于您的業務的 78 個基本要求
• 四百個測試程序可確保您的組織符合 PCI 要求（取決于您的業務）

PCI 合規性法規確保客戶和企業免受數據泄露。它適用于所有攜帶信用卡信息的企業，是每個組織安全協議的基石。 

PCI 標準已擴展其大綱，包括加密的互聯網交易，并增加了新的規則和法規，以適應支付技術和商業的最新進展。

PCI合規級別

四個 PCI 合規級別決定了商家每年處理的交易數量。

• 級別 1：每年處理超過 600 萬筆卡交易的商戶。

• 2 級：每年處理 1 到 600 萬筆卡交易的商戶。

• 3 級：每年處理 20,000 到 100 萬筆卡交易的商戶。

• 第 4 級：每年處理少于 20,000 筆卡交易的商戶。

對于 PCI 合規級別 1 的組織，實現 PCI 合規包括由合格的安全評估員 (QSA) 或內部安全評估員 (ISA) 執行外部審計。QSA 或 ISA 進行現場評估以： 

• 驗證評估范圍 
• 審查技術信息和文件， 
• 確定是否滿足 PCI 要求 
• 在合規過程中提供指導和支持 
• 評估補償控制

成功評估后，合格的安全評估員向組織的運營銀行提交合規報告 (RoC) 以證明合規性。 

PCI 合規性 2 級組織還應完成 RoC。 

2 至 4 級組織可以完成自我評估問卷而不是外部審計來確定合規性。 

PCI DSS 合規性的好處

PCI DSS 合規性提供了一組法規和要求，以確保最佳的數據機密性和安全性。

符合 PCI DSS 的一些好處是：

• PCI DSS 合規性可確保公司資產具有多層安全性。 
• 它收集了不斷變化的威脅和攻擊媒介，使數據環境更加安全。
• PCI DSS 涉及設置防火墻、SIEM 系統和其他安全基礎設施，以便在發生異常情況時收集威脅情報。

• PCI 合規性強調對持卡人數據進行加密，使符合 PCI DSS 的業務成為網絡犯罪分子價值較低的目標。
• PCI 合規性原則重點關注在存儲或傳輸時保護持卡人數據。它強調通過適當的安全基礎設施執行 PCI 原則，以幫助組織防止數據泄露。 
• PCI DSS 合規性建立和維護客戶信任，使數據安全無憂。
• PCI 合規性有助于使企業在存儲、處理和傳輸持卡人信息方面符合行業公認的標準。 
• PCI DSS 合規性可幫助組織遵守行業認可的數據安全標準。

PCI 合規性要求

PCI DSS 合規性要求側重于實現 PCI 合規性和保護持卡人數據免遭未經授權的訪問。

1.用防火墻保護公司網絡

您可以采取的保護網絡的步驟：

• 配置防火墻以保護公司網絡并根據組織標準調節傳入和傳出流量。
• 使用硬件防火墻和軟件防火墻來保護網絡。
• 為入站和出站流量配置防火墻。如果攻擊者侵入系統，由于出站規則，他們將很難導出被盜信息。

2. 避免使用默認密碼和配置設置

為了符合 PCI 合規性的第二個要求：

• 修改默認密碼，實現系統加固和系統配置管理。
• 解決系統中的所有漏洞，修復并報告它們，并確保系統強化標準符合行業最佳實踐。
• 采用系統管理軟件，它是一個完整的軟件包，用于監控、掃描和配置設備和系統強化選項。
• 驗證系統強化標準是否在新設備和應用程序引入系統環境時安全實施。

3. 保護存儲的持卡人數據免遭未經授權的訪問

采取以下措施保護持卡人數據免遭未經授權的訪問：

• 使用強大且行業認可的加密標準（如 AES-256）對持卡人數據進行加密。
• 確保系統以加密格式存儲持卡人的機密詳細信息。
• 創建并記錄持卡人數據 (CHD) 流程圖。它是組織內數據流的圖形表示。
• 使用敏感數據發現工具在公司系統中查找敏感信息（如社會安全號碼）以對其進行加密或刪除。

4. 加密跨開放公共網絡的持卡人數據傳輸

考慮以下因素來加密跨開放或公共網絡的持卡人數據傳輸：

• 確定數據的傳輸方式和位置。跟蹤發送類似詳細信息的所有區域。
• 從安全套接字層 (SSL) 和早期版本的傳輸層安全 (TLS) 過渡到更安全的 TLS 版本。
• 檢查網關、終端提供商、服務提供商和銀行，看看他們是否對交易應用程序使用更新的加密。

5.使用更新版本的殺毒軟件

采取以下措施以符合第五條 PCI DSS 要求。

• 使用防病毒軟件并防止系統受到已知惡意軟件的攻擊。
• 定期更新防病毒軟件。
• 收集有關新興惡意軟件及其滲透公司系統的不同方式的信息。
• 配置系統和設計流程以在系統環境中發生任何惡意活動時發出警報。
• 運行定期惡意軟件掃描，以確保您有一個旨在實施它的流程。

6. 開發和維護安全的系統和應用程序

練習以下方法來開發和維護安全的系統和應用程序：

• 使用軟件提供商發布的最新補丁修補安全漏洞。
• 在對卡數據流至關重要的應用程序和系統中安裝最新的安全更新和修補漏洞。
• 在發布后一個月內安裝關鍵補丁以確保合規性
• 補丁發布后，積極主動地管理和實施補丁。

7. 限制業務需要知道的對持卡人數據的訪問

考慮以下限制對持卡人數據的訪問：

• 通過實施基于角色的訪問控制 (RBAC) 系統來確保對持卡人數據的嚴格訪問控制，該系統在需要知道的基礎上授予對持卡人詳細信息的訪問權限。
• 避免創建群組用戶或與其他用戶共享公共用戶帳戶。跟蹤數據泄露將是一項挑戰。`

8. 為每個有計算機訪問權限的人分配一個唯一的 ID

采取以下步驟以符合 PCI DSS 要求的第八項要求：

• 為每個具有計算機訪問權限的用戶分配一個唯一 ID，并創建強密碼以防止未經授權的訪問。 
• 在保護用戶帳戶時創建多層安全性。
• 使用多因素身份驗證解決方案來提供額外的防御層并保護您的系統免受攻擊者的侵害。

9. 限制對工作場所和持卡人數據的物理訪問

遵守 PCI DSS 的第九條要求需要考慮的重要事項：

• 限制員工訪問存儲有持卡人數據的區域。
• 記錄可以訪問安全環境的員工以及需要訪問權限的員工。列出所有授權的設備用戶、不允許使用設備的位置以及設備當前所在的位置。請注意可以在設備上訪問的所有應用程序。記錄使用設備的內容、地點、時間和原因。
• 區分組織中的員工和訪客，并使用方法監控有權訪問安全環境的人員。
• 確保刪除用戶的訪問權限，并在員工離職時禁用或退回鑰匙和訪問卡等物理訪問機制。

10. 跟蹤和監控對返工資源和持卡人數據的訪問

在跟蹤和監控對網絡資源和持卡人數據的訪問時要考慮的關鍵點：

• 實施和維護一個日志系統，以查看所有日志并在發生異常時獲得警報。 
• 每天至少檢查一次系統事件日志，以識別模式、收集威脅情報并檢測與預期趨勢相矛盾的行為。
• 使用安全信息和事件管理 (SIEM) 解決方案來構建和管理集中式日志收集系統、監控和檢查。

11.定期測試安全系統和流程

請遵循以下提到的做法，以符合 PCI DSS 的第十一條要求。

• 進行頻繁的漏洞掃描以確定安全漏洞是否已成功修補。
• 使用 PCI 批準的掃描供應商 (ASV) 對持卡人數據環境中暴露的所有外部 IP 和域執行季度漏洞掃描。
• 定期進行滲透測試，以確定黑客利用漏洞的不同方式，以安全地配置您的安全系統并保護數據免受類似惡意策略的侵害。（滲透測試頻率取決于您的自我評估問卷 (SAQ)、環境、規模、程序和其他因素）。

12. 風險評估和文件

采用以下做法以符合 PCI DSS 合規性的最終要求：

• 記錄與組織的信息安全實踐相關的所有政策、程序和證據。
• 評估正式風險和年度風險，以確定關鍵威脅、漏洞和相關風險。