什么是 PCI DSS 认证?

携手创作，共同成长！这是我参与「掘金日新计划 · 8 月更文挑战」的第19天，点击查看活动详情

什么是 PCI DSS

支付卡行业数据安全标准（PCI DSS）是由Visa，MasterCard，Discover Financial Services，JCB International和美国运通于2004年形成的一套安全标准。该合规计划由支付卡行业安全标准委员会（PCI SSC）管理，旨在保护信用卡和借记卡交易免受数据盗窃和欺诈。

虽然PCI SSC没有强制合规的法律权力，但这是处理信用卡或借记卡交易的任何企业的要求。PCI认证也被认为是保护敏感数据和信息的最佳方式，从而帮助企业与客户建立长期和信任的关系。

PCI DSS 认证

PCI 认证通过 PCI SSC 制定的一系列要求，确保企业中卡数据的安全性。其中包括许多众所周知的最佳实践，例如：

• 安装防火墙
• 数据传输加密
• 使用防病毒软件

此外，企业必须限制对持卡人数据的访问，并监控对网络资源的访问。

符合 PCI 标准的安全性提供了宝贵的资产，可告知客户您的业务可以安全地进行交易。相反，不合规的成本，无论是在金钱上还是在声誉方面，都应该足以说服任何企业主认真对待数据安全。

泄露敏感客户信息的数据泄露可能会对企业产生严重影响。违规行为可能导致支付卡发行人罚款，诉讼，销售减少和声誉严重受损。

在遇到违规行为后，企业可能不得不停止接受信用卡交易，或者被迫支付高于安全合规性初始成本的后续费用。对PCI安全程序的投资对于确保您的商业的其他方面免受恶意在线行为者的侵害大有帮助。

PCI DSS 合规性级别

PCI合规性分为四个级别，基于每年一个业务流程的信用卡或借记卡交易数量。分类级别决定了企业需要执行哪些操作来保持法规遵从性。

• 1级：适用于每年处理超过600万实际信用卡或借记卡交易的商家。由授权的PCI审核员进行，他们必须每年进行一次内部审核。此外，他们必须每季度提交一次由批准的扫描供应商 （ASV） 进行的 PCI 扫描。
• 2级：适用于每年处理100万至600万实际信用卡或借记卡交易的商家。他们需要使用自我评估问卷（SAQ）每年完成一次评估。此外，可能需要每季度进行一次 PCI 扫描。
• 3 级：适用于每年处理 20，000 到 100 万笔电子商务交易的商家。他们必须使用相关的SAQ完成年度评估。可能还需要每季度进行一次 PCI 扫描。
• 4 级：适用于每年处理少于 20，000 笔电子商务交易的商家，或处理多达 100 万笔真实交易的商家。必须使用相关的SAQ进行年度评估，并且可能需要进行季度PCI扫描。

PCI DSS 要求

PCI SSC概述了处理持卡人数据和维护安全网络的12项要求。分布在六个更广泛的目标之间，所有这些都是企业实现合规所必需的。

安全网络

1. 必须安装和维护防火墙配置
2. 系统密码必须是原始密码（不是供应商提供的）

保护持卡人数据

3. 存储的持卡人数据必须受到保护
4. 通过公共网络传输持卡人数据必须加密

漏洞管理

5. 必须使用防病毒软件并定期更新
6. 必须开发和维护安全的系统和应用程序

存取控制

7. 持卡人数据访问必须限制在业务知情需要的基础上
8. 必须为每个具有计算机访问权限的人分配一个唯一的 ID
9. 必须限制对持卡人数据的物理访问

网络监控和测试

10. 必须跟踪和监控对持卡人数据和网络资源的访问
11. 必须定期测试安全系统和流程

信息安全

12. 必须维护处理信息安全的政策

了解英普数据安全解决方案如何

PCI 合规性和 Web 应用程序防火墙

自成立以来，PCI DSS经历了几次迭代，以跟上在线威胁形势的变化。虽然遵守的基本规则保持不变，但会定期添加新的要求。

其中一项更重要的补充是2008年引入的要求6.6。它的建立是为了保护数据免受一些最常见的Web应用程序攻击媒介，包括SQL注入，RFI和其他恶意输入。使用此类方法，犯罪者可能会访问大量数据，包括敏感的客户信息。

满足此要求可以通过应用程序代码审查或实现 Web 应用程序防火墙 （WAF） 来实现。

第一个选项包括手动审查 Web 应用程序源代码，以及对应用程序安全性进行漏洞评估。它需要合格的内部资源或第三方来运行评审，而最终批准必须来自外部组织。此外，指定的审阅者必须及时了解 Web 应用程序安全的最新趋势，以确保所有未来的威胁都得到妥善解决。

或者，企业可以使用部署在应用程序和客户端之间的 WAF 来防范应用程序层攻击。WAF 会检查所有传入流量并过滤掉恶意攻击。