如果您曾经在网站上输入过信用卡信息,那就表明您已经接触过 PCI DSS。支付卡行业安全标准委员会创建的这套安全标准旨在保护信用卡数据。
PCI 合规是对处理、存储或传输信用卡信息的企业提出的一项数据保护要求。
本文将概述 PCI DSS(支付卡行业数据安全标准),并解释企业如何做才能实现合规。文中还探讨了不合规对客户和商家的影响。
《支付卡行业数据安全标准》(PCI DSS) 是对处理、存储或传输信用卡信息的企业提出的一组要求,旨在确保这些企业始终维持一个安全的环境,包括设置防火墙、采用安全密码并部署其他安全措施。
PCI DSS 的出台背景是越来越多的数据泄露事件牵涉到信用卡信息被盗和滥用。支付卡行业安全标准委员会 (PCI SSC) 成立这个标准的初衷是希望减少被盗信用卡信息的数量。
为了管理和施行 PCI DSS,MasterCard、Visa、JCB、Discover 和 American Express 联合成立了 PCI 安全标准委员会 (PCI SSC)。它是一个独立机构,指导企业如何满足此标准的要求并提供相应支持。
尽管支付卡协会成立于 2004 年,但当今支付安全标准的根源可以追溯到更久以前。
随着上世纪 90 年代末互联网的异军突起,在线购物热潮悄然盛行。零售商和消费者都对这个新的发展模式感到兴奋不已。不过,欺诈者总是如影随形。
人们很快发现,现有的安全保护措施不足以保护如此大规模的客户数据。为了解决这个问题,Visa 制定了持卡人信息安全计划 (CISP),旨在对零售商提出处理信用卡交易的安全要求。
紧随其后的是 MasterCard 的网站数据保护 (SDP) 计划和 American Express 的数据安全运营政策 (DSOP)。这些举措为所有支付卡公司采用统一的安全标准奠定了基础。
尽管 Discover 和 American Express 相继推出政策,但由于所有信用卡公司缺乏统一的安全标准,因此保护水平参差不齐。为了解决这个问题,2006 年成立了支付卡行业安全标准委员会,同年制定了 PCI DSS 标准。
自 2004 年问世以来,PCI DSS 一直处于演变之中。随着技术的不断进步,支付卡公司也需要更好的安全措施来保护客户数据。
因此该标准会定期更新,确保及时跟进市场需求,有效抵御现代威胁。多年来,该标准发生了多处变更,例如侧重点如今变为加密和身份验证控制。
安全协议的 1.2 版本诞生于 2008 年 10 月,概述了保护无线网络和使用防病毒软件的最佳实践。紧随其后的是 2010 年 10 月的 2.0 版本,该版本引入了渗透测试的概念并加强了加密流程。
之后是 2018 年发布的 PCI DSS 版本 3.2 和 3.2.1。PCI DSS 3.2.1 还新增了对服务提供商的要求,要求他们全面保护通过互联网传输或存储在移动设备上的持卡人数据。它还要求企业定期测试安全系统,维持安全的环境。
目前,最新版本是 PCI DSS 4.0,由 PCI SSC 于 2022 年 3 月 31 日发布。此版本新增了对安全软件开发的要求,重点是在企业内外部环境中保护持卡人数据。它对加密和访问控制作了更明确的要求。
为了保护支付卡行业的数据,PCI 安全标准委员会对商家始终坚持高标准严要求。这些标准明确规范了对工具、框架、度量衡和支持资源的要求,帮助企业始终保护持卡人信息安全。
这些标准涉及预防、检测和应对安全威胁。PCI SSC 提供以下工具作为辅助措施:
PCI SSC 有六大目标,其中提出了企业必须遵守才能始终维持合规的 12 项要求。为此,您必须完成 PCI 合规自检清单中列出的以下任务。
PCI 合规自检清单的第一个目标是构建和维护始终安全的网络。毕竟这是企业支付卡安全的根基。这个目标下有两项要求:
就网络安全而言,防火墙是不可或缺的元素。防火墙是抵御恶意流量的第一道防线,有助于阻止恶意黑客访问您的企业网络。
由于防火墙可以有效防止恶意流量,因此使用和维护防火墙是 PCI DSS 的一项关键合规要求。
不幸的是,许多企业并未保护路由器、调制解调器、销售点 (POS) 系统和其他第三方产品。这些设备通常都预设了任何人都可以轻松获取的通用密码。
设置防火墙后,更改默认密码和安全设置也是必不可少的步骤。这有助于防止他人可能掌握或猜测默认凭据或设置。
除了更改密码外,企业还应定期更新密码并确保仅授权用户才能访问。为此,您必须实施强大的身份验证系统,例如双重身份验证或多重身份验证。
为了始终维持合规,您需要列出需要某种形式的密码或安全措施才能访问的设备和软件清单。定期更新此设备/密码清单,并采取其他基本预防措施(例如经常更改密码)。
保护持卡人数据是 PCI 合规的第二个目标,也称为数据保护和加密。要保护持卡人信息,您至少要满足两项要求:
企业处理、存储或传输持卡人数据时,必须采取额外的预防措施保护这些数据。例如,安全地存储数据并尽可能使用加密技术。
PCI SSC 建议采用双重系统来保护持卡人信息,包括采用算法对数据进行加密。此外,加密数据所用的加密密钥也应加密。
例如,将存储的持卡人数据放在单独的安全服务器上,确保仅有需求的人才能访问这些数据。此外,对所有通过公共网络传输的持卡人数据进行加密。
为了确保您的数据安全,您应该经常扫描和维护您的主账号 (PAN)。
为保护公开传输(例如客户在线下单时)的持卡人数据,企业应使用安全协议,例如 PCI DSS 指定的协议。
例如,网站必须具有最新且经过验证的安全套接字层 (SSL) 证书或传输层安全 (TLS) 证书。这有助于保护客户在购物时提供的敏感数据。
此外,您应将持卡人数据限制为仅有需要的人员可以访问。这就表示您要创建一个安全的用户帐户系统,时常进行监控和更新。
这些措施有助于保护客户的敏感数据,避免数据在传输途中被拦截或盗取。
第三个目标是维护漏洞管理程序。这包括监控和测试网络中是否存在安全漏洞,并尽快解决这些漏洞。第三个目标下有两项要求,分别是:
企业务必在处理、存储或传输持卡人数据的所有计算机和应用程序上安装和维护防病毒软件。这将有助于检测和删除系统中的恶意软件。
此外,任何存储 PAN 或与 PAN 交互的设备都必须安装防病毒软件。您还应该定期更新防病毒软件,确保它处于最新状态。
此外,企业必须定期扫描其网络和应用程序中是否存在任何安全漏洞。这就要使用授权扫描机构 (ASV) 定期每季度对其外部网络进行扫描。
软件和系统需要定期更新最新的安全补丁。这样可以确保及时堵上安全漏洞,避免被黑客利用。
您还必须在发布任何新应用程序之前进行测试,确保它们不存在漏洞或弱点,以免给黑客留下可乘之机。
漏洞管理计划部署到位后,接下来关注第四个目标:实施强有力的访问控制措施。这就要企业基于用户的角色限制对持卡人数据的访问权限。该目标下有三项要求:
确保只有需要访问持卡人数据的人才能获得访问权限。这表示企业要实施严格的访问控制措施,务必经常监控和更新用户帐户。
要实现这个目标,其中一种方法就是严格限制数据的访问权限,实行按需访问。无论何种职位的员工,都应实行按需访问制度。此外,根据 PCI DSS 的要求,您还应记录并定期更新需要访问敏感数据的角色。
数据安全的一个基本要素就是了解访问数据的人员和具体时间。因此,如果有权访问敏感数据的员工使用共享登录凭据,就很难确定到底是谁访问了这些数据。
为每个用户创建唯一的 ID 有助于确保仅授权人员才能访问数据。此举还有助于防止任何他人未经授权访问或操纵持卡人数据。
企业还要限制和监控对持卡人数据的物理访问。这就表示企业要构建物理安防措施,如锁门、安全柜和限制出入区域。
您还应部署措施监控和记录所有员工对数据的物理访问行为,并在员工离职后注销用户帐户。
仅仅部署良好的基础架构和系统是远远不够的。您还要定期监控和测试网络。这就是目标 5 的意义所在。该目标下的两项要求包括:
所有涉及主账户号 (PAN) 和持卡人数据的活动都必须录入日志。但是,最普遍的安全问题还是缺乏正确的文档,或没有正确记录对机密信息的访问行为。
为了遵守相关规定,您要跟踪数据是如何流入公司的,以及相关人员需要访问数据的频率。为了准确起见,您还要部署软件记录下所有活动。
要实现此目标,您需要使用授权扫描机构 (ASV) 提供的漏洞扫描工具。ASV 将扫描您的网络和应用程序,识别安全问题或漏洞。
通过定期运行扫描,您可以确保系统处于最新状态,漏洞管理程序符合 PCI DSS 标准。
最后,目标 6 是维护一项政策以解决信息安全问题。该目标下有一项要求:
创建和维护信息安全政策是 PCI DSS 的最后一条要求。该政策应规定与数据安全相关的规则、流程和角色。它还应规定如何存储、传输和使用机密信息。
该政策应及时更新以维持最新状态,且经过董事会批准。企业还应定期审查,确保其符合现行法规和行业最佳实践。
《支付卡行业数据安全标准》影响的是所有收集、存储或传输客户信用卡数据的企业,包括商家、支付处理商、银行和服务提供商。
企业必须向五家支付卡公司之一出示 PCI 合规证明,然后才能处理客户的付款,否则可能会招致罚款、诉讼或其他处罚。
企业的物理和数字基础架构也在 PCI DSS 的要求范围之内。所有参与处理付款的人员必须符合该标准的要求。
客户也是 PCI 合规不可忽视的一个因素。作为一家企业,您必须确保客户了解与信用卡支付相关的风险,以及您为确保他们的信息安全而采取的措施。
合规的企业能确保客户的数据安全,信用卡支付也就安全无虞,从而赢得客户信任,有助于在企业与客户之间建立积极的关系。
《支付卡行业数据安全标准》(PCI DSS) 旨在指导各类规模的企业如何安全地处理信用卡信息。尽管合规流程看似复杂,却必不可少,只要企业部署了恰当的工具,也可能比想象的要简单。
实现合规后,您将坐享如下优势:
归根结底,遵守 PCI DSS 规定将证明您的企业认真对待信息安全,有助于保护客户数据。此举有助于企业留住和赢得客户,从而增加销售额和利润。
不遵守《支付卡行业数据安全标准》(PCI DSS) 不仅会影响客户,也会影响到商家。
对于客户而言,不合规意味着他们的数据有被泄露的风险,会引发身份盗用或财务损失。对于商家而言,不合规可能导致支付卡公司遭受罚款、法律诉讼和声誉损失。
因此您要明白,不合规会影响的是所有相关方,不仅仅是商家。为了保护客户和业务,企业务必遵守 PCI DSS 的要求。
企业可以遵循支付卡行业安全标准委员会 (PCI SSC) 概括的一系列最佳做法,从而满足 PCI 合规要求。这些最佳做法包括:
遵循 PCI SSC 概述的最佳做法,您就能确保公司始终符合最新的安全标准,全面保护客户的数据。
《支付卡行业数据安全标准》(PCI DSS) 是一组复杂的安全控制措施,旨在保护客户持卡人数据安全。复杂的合规流程可能令人望而生畏,但其实大可不必如此。
部署了正确的工具和流程,您就能快速轻松确保 PCI 合规。更重要的是选择合适的合作伙伴。这正是 Veritas 的价值所在。我们深耕行业多年,帮助过大量企业遵守 PCI 合规要求。
我们的全套产品可助您简化合规,还能根据您的需求定制服务。立即联系我们,我们可向您演示如何轻松满足 PCI 要求。
Veritas 客户包括 95% 的财富 100 强企业,而 NetBackup™ 被列为保护企业海量数据的首选。