《支付卡行业数据安全标准遵守规划指南》由会员分享,可在线阅读,更多相关《支付卡行业数据安全标准遵守规划指南(33页珍藏版)》请在金锄头文库上搜索。
1、编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页 共1页支付卡行业数据安全标准遵守规划指南On This Page简介 满足 PCI DSS 要求 附录 简介支付卡行业数据安全标准遵守规划指南旨在帮助组织满足支付卡行业数据安全标准 (PCI DSS) 的要求。具体而言,本指南针对的是接受支付卡的贸易商、处理支付卡交易的金融机构以及服务提供商 即提供支付卡处理或数据存储服务的第三方公司。针对这些群体的 IT 解决方案必须满足所有 PCI DSS 要求。本指南是为了进一步强化法规遵守规划指南 它介绍了一种基于框架的方法来创建 IT 控制,帮助您遵守各种法规和标准。该指南还介
2、绍了您可以用来实施一系列 IT 控制的 Microsoft 产品和技术解决方案,这些 IT 控制有助于满足 PCI DSS 要求以及履行您的组织可能担负的其他法规义务。注意如果您的组织提供的服务包括自动取款机 (ATM) 服务,Microsoft 将提供支持 ATM 的软件、系统和网络适用的体系结构和安全指南。有关详细信息,请参阅 MSDN 网站上的 Microsoft 银行行业中心下载页。本指南不包含有关每个组织如何遵守 PCI DSS 的全面信息。有关与您的组织有关的特定遵守问题的解答,请向您的律师或审核人员咨询。本指南的简介包括以下部分: 摘要。此部分提供有关 PCI DSS 要求以及该
3、规划指南主要目标的广泛概述。在这一部分还会讨论 IT 管理人员在开始解决 PCI DSS 遵守要求时需要掌握的知识。 本指南的目标读者。此部分介绍本指南的目标读者、指南的目的和适用范围,以及与指南限制有关的注意事项和免责声明。 什么是支付卡行业数据安全标准? 此部分提供 PCI DSS 及其要求的概述。 规划 PCI DSS 遵守。此部分介绍使用框架满足 PCI DSS 要求。此方法包括:创建各种类型的 IT 控制、如何配合使用这些控制,以及它们为何是您的组织可以用来帮助满足 PCI DSS 要求和履行其他法规遵守义务的重要组件。 PCI DSS 审核流程。此部分概述审核人员用来评估组织是否符
4、合 PCI DSS 要求的 PCI DSS 审核流程。由于本白皮书是对法规遵守规划指南的补充,因此,当您计划一个满足您的组织适用的所有法规要求的完整解决方案时,您还应当参考该指南。摘要 如果您的组织处理、存储或传输持卡人信息,则您的业务要求必须遵守支付卡行业数据安全标准 (PCI DSS)。这些标准中定义的要求是由 PCI 安全标准委员会制定,旨在为使用您的组织服务的持卡人提供可接受的最低安全级别。有三个问题使此情况变得复杂。第一个问题是遵守 PCI DSS 要求可能对整个组织产生影响。因此,在部门间协调遵守工作,并且有一个组织范围内的 PCI DSS 遵守策略非常重要。第二个复杂问题是您的组
5、织可能需要遵守多套法规,每套法规都规定了不同的一组要求。因此,许多公司发现很难了解如何正确响应这些不同的法规要求并使用经济高效的流程和过程保持法规遵守,也就不足为奇了。第三个复杂问题是与其他许多法规一样,PCI DSS 只是顺带提及 IT 控制,而对于 IT 管理人员明确确定究竟该执行什么工作来实现和维护法规遵守,提供的指导则非常有限。支付卡行业数据安全标准遵守规划指南针对的是在公司担负满足 PCI DSS 要求职责的 IT 管理人员。本指南旨在帮助 IT 管理人员了解如何着手解决其组织适用的许多 IT 控制要求,包括 PCI DSS 遵守要求。为实现这一目的,本指南提供了有关在此过程中您可以
6、使用的解决方案的信息。有关如何遵守多种法规标准的更全面的讨论,请参阅法规遵守规划指南。重要本规划指南不提供法律意见。本指南仅提供有关法规遵守的事实面和技术面的信息。不要完全依赖本指南提供的有关如何满足法规要求的意见。有关特定问题,请向您的律师或审核人员咨询。本文的目标读者PCI DSS 遵守规划指南主要针对负责确保其组织安全可靠地收集、处理、传输和存储持卡人数据并且保护持卡人隐私的个人。本指南的目标读者包括在组织中担任以下职位的 IT 管理人员: 首席信息官 (CIO),负责系统和 IT 相关流程的部署和运行。 首席信息安全官 (CISO),负责整个信息安全计划以及对信息安全策略的遵守。 首席
7、财务官 (CFO),负责其组织的整个控制环境。 首席保密官 (CPO),负责实施与个人信息管理相关的策略,包括支持遵守保密性和数据保护法的策略。 技术决策者,负责确定适当的技术解决方案来解决特定的业务问题。 IT 运营经理,运行执行 PCI DSS 遵守计划的系统和流程。 IT 安全架构师,设计 IT 控制和安全系统以提供满足其组织业务需求的相应安全级别。 IT 基础结构架构师,设计支持 IT 安全架构师设计的 IT 安全和控制的基础结构。 咨询人员和合作伙伴,推荐或实施保密性和安全最佳做法,帮助客户实现 PCI DSS 遵守目标。此外,本指南对于以下人员可能也非常有价值: 风险/合规事务主管
8、,负责其组织符合 PCI DSS 要求的总体风险管理。 IT 审核经理,负责审核 IT 系统,减少内外 IT 审核人员的工作量。什么是支付卡行业数据安全标准?支付卡行业 (PCI) 数据安全标准 (DSS) 是一组全面的要求,旨在确保持卡人的信用卡和借记卡信息保持安全,而不管这些信息是在何处以何种方法收集、处理、传输和存储。PCI DSS 由 PCI 安全标准委员会的创始成员(包括 American Express、Discover Financial Services、JCB、MasterCard Worldwide 和 Visa International)制定,旨在鼓励国际上采用一致的数
9、据安全措施。PCI DSS 中的要求是针对在日常运营期间需要处理持卡人数据的公司和机构提出的。具体而言,PCI DSS 对在整个营业日中处理持卡人数据的金融机构、贸易商和服务提供商提出了要求。PCI DSS 包括有关安全管理、策略、过程、网络体系结构、软件设计的要求的列表,以及用来保护持卡人数据的其他措施。PCI DSS V1.1 是 2006 年 9 月发布的最新版本标准。该标准由一组共 6 个原则以及 12 个附属要求构成。每项要求下面包含子要求,您必须按照这些子要求来实施流程、策略或技术解决方案以遵守该要求。PCI DSS 策略和要求包括: 建立和维护安全网络 要求 1:安装和维护一个防
10、火墙配置来保护持卡人数据。 要求 2:不要对系统密码和其他安全参数使用供应商提供的默认值。 保护持卡人数据 要求 3:保护存储的持卡人数据。 要求 4:对通过开放的公共网络传输的持卡人数据进行加密。 维护漏洞管理计划 要求 5:使用并定期更新防病毒软件。 要求 6:开发并维护安全系统和应用程序。 实施强访问控制措施 要求 7:将对持卡人数据的访问限制为业务需要时。 要求 8:为具有计算机访问权限的每个人分配唯一的 ID。 要求 9:限制对持卡人数据的物理访问。 定期监视和测试网络 要求 10:跟踪和监视对网络资源和持卡人数据的所有访问。 要求 11:定期测试安全系统和流程。 维护信息安全策略
11、要求 12:维护解决信息安全的策略。要求 9 和 12 不需要您实施技术解决方案。要求 9 指示您解决存储和处理持卡人数据的位置的物理安全。这可能包括对大楼进出实施安全控制、安装和维护监视设备以及要求对在设施内工作或访问设施的所有个人进行身份检查。要求 12 指示您创建信息安全策略,将其传达给您的员工、供应商以及在您的组织内处理持卡人数据的其他当事人。规划 PCI DSS 遵守孤立起来创建 PCI DSS 遵守解决方案既不高效也不经济。在规划遵守 PCI DSS 要求的方法时,您还必须考虑其他许多法规。这些法规的例子包括: 萨班斯-奥克斯利法案 (SOX) 格雷姆-里奇-比雷利法案 (Gram
12、m-Leach Bliley Act) 健康保险流通与责任法案 (HIPAA) 欧洲数据保护指令 (EUDPD) ISO 17799:2005 信息安全管理实施细则 (ISO17799)注意如果您的组织是一个跨国企业,则需要确保遵守所有业务开展地的政府法规。Microsoft 建议您向熟悉组织业务开展地的所有法规的律师咨询。有关对这些法规的遵守工作进行规划的详细信息,请参阅法规遵守规划指南。您的组织创建的 PCI DSS 遵守解决方案应该在完全了解以下两个问题的情况下制定: 满足其他法规要求的现有解决方案 创建符合所有法规要求的新解决方案的最佳方法为高效且有效地实现您的遵守目标,Microso
13、ft 建议您利用控制框架来帮助实现您组织的法规遵守目标。利用控制框架,您的组织能够将适用法规和标准映射到框架中。然后,您的组织就可以更高效地将 IT 控制工作的重点放在解决框架(而不是各个法规)中定义的要求上。此外,在出现新的法规和标准影响组织时,您也可以将它们映射到框架,然后集中精力解决框架中要求已更改的部分。而且,您可以将与 IT 控制相关的各种要求映射到框架中,其中包括支付卡行业安全要求、内部策略等行业特定的要求。框架为寻求实现法规遵守目标的组织提供了许多显著的优势。利用基于框架的法规遵守方法,组织能够: 组合 IT 控制以满足多种法规标准,例如,PCI DSS 和 EUDPD 所规定的
14、标准,从而避免单独审核。 在新法规推出时能够迅速做出调整。 通过选择影响最大的 IT 控制,确定支出的优先次序。 避免公司内部的业务部门之间为实现遵守目标所开展的工作出现重复。 通过渐增的更改,更高效地将当前法规更新到所在组织现有的 IT 控制。 在 IT 部门和审计人员之间建立一个公共的平台。当然,在开始规划您的遵守工作时,您应该对 PCI DSS 本身进行检查。您可以从以下位置下载 PCI DSS:https:/www.pcisecuritystandards.org/pdfs/pci_dss_v1-1.pdf。此外,PCI 安全标准委员会创建了一个自我评估调查表,帮助您的组织确定是否遵守
15、 PCI DSS。您还可以利用它帮助您规划组织的 PCI DSS 遵守工作。您可以从以下位置下载 PCI DSS 自我评估调查表:https:/www.pcisecuritystandards.org/pdfs/pci_saq_v1-0.pdf。有关在控制框架中使用 IT 控制解决法规要求的详细信息,请参阅法规遵守规划指南。PCI DSS 审核流程PCI DSS 遵守的审核流程通常与法规遵守规划指南中介绍的流程类似。但是,有一些特定于 PCI DSS 审核的细节您应该知道。PCI DSS 审核评估由两种第三方组织执行,即合格安全性评估商 (QSA) 和认可的扫描服务供应商 (ASV)。QSA 执行审核的现场部分,而 ASV 则对组织面向 Internet 的环境执行漏洞扫描。对于成为 QSA 和 ASV 的企业,每年都必须由 PCI 数据安全委员会 (PCI DSC) 进行一次审核和批准。QSA 在审核组织之后必须编制一份报告,该报告必须遵照 PCI DSC 定义的特定准则。这些准则包含在 PCI 审核过程文档中,该文档可以从以下位置下载:https:/www.pcisecuritystandards.org/pdfs/pci_audit_procedures_v1-1
