了解支付卡行业安全标准(PCI DSS)
12
06/11/SSC_PCI DSS 2011 SGS CSTC All Rights Reserved © 了解支付卡行业 安全标准 ( PCI DSS ) 在支付卡交易环境中应用 PCI DSS 保护持卡人数据安全 2011 年 6 月 作者: 易换棣 PCI DSS 技术组组长 余裕民 PCI DSS 技术组专家 秦家濠 PCI DSS 产品经理 以专业服务推动经济、环境和社会的和谐共赢,这就是 SGS 的永续成长之道
-
Upload
khangminh22 -
Category
Documents
-
view
0 -
download
0
Transcript of 了解支付卡行业安全标准(PCI DSS)
06/1
1/S
SC
_PC
I D
SS
2011 S
GS C
STC
All
Rig
hts
Res
erve
d©
了解支付卡行业安全标准 (PCI DSS)在支付卡交易环境中应用 PCI DSS 保护持卡人数据安全
2011 年 6 月
作者:
易换棣 PCI DSS 技术组组长余裕民 PCI DSS 技术组专家秦家濠 PCI DSS 产品经理
以专业服务推动经济、环境和社会的和谐共赢,这就是 SGS的永续成长之道
支付卡行业安全标准是保护持卡人数据安全的技术与作业要求。所有涉及储存、处理或传输帐户持卡人数据的实体,以及持卡
人数据环境或与其相关的任何系统组件(包括物理实体和虚拟组件),均在 PCI DSS 要求合规性的评估范围内。PCI DSS 是目
前全球最严格且级别最高的金融数据安全的评估标准,此份白皮书将帮助 PCI DSS 所有适用对象,包括商户、数据处理机构、
发卡商或服务提供商的首席信息总监 (CIO)、首席信息安全总监 (CISO)、首席财务总监 (CFO)等,同时了解 PCI DSS 合规性对
组织的益处、不合规对组织的风险,以及如何慎重选择最适合组织的优质合格安全性评估商 (QSA),并通过有效实施、获得
PCI DSS 合规,在有效保护客户持卡人数据、免受安全漏洞迫害并降低因持卡人帐户资料外泄所引起风险的同时,帮助组织减
少受罚的可能性,以及信誉受损的机率。
摘要
目录
I 我们需要 PCI DSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
II 此白皮书适读对象及 PCI DSS适用产业 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
III 了解 PCI DSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
— PCI DSS合规性评估范围 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
— PCI DSS基本结构 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
— PCI DSS合规性程序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
— PCI DSS合规对象分类 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
— PCI DSS合规的发展趋势 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
— PCI DSS与其他标准相辅相成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
IV SGS专业的 PCI DSS解决方案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
— PCI DSS合规对企业的益处 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
— PCI DSS合规性评估的操作流程 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
— 选择优质的 QSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
V 总结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
ANNEX 附件 PCI DSS 2.0版本变更重点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I
支付卡行业安全标准是 PCI 安全标准协会 (PCI SSC) 制定的用来保护持卡人数据安全的技术与作业要求,适用于所有涉及储存、
处理或传输持卡人数据的组织。PCI 安全标准协会负责管理支付卡行业安全标准,该标准由其创始成员美国运通 (American
Express)、发现金融服务 (Discover Financial Services)、JCB国际、万事达 (MasterCard Worldwide)和 Visa国际所共同制定,
并以五种不同的方案面世,包括:Visa 卡信息安全计划、Master 卡站点持卡人数据保护、American Express 卡持卡人数据安
全作业政策、Discover卡信息与合规性,和 JCB卡持卡人数据安全方案。每家公司的目标大致相同,即为发卡机构创建一个额
外的保护级别,确保商家存储、处理和传输持卡人数据达到所要求的最低安全水平。因此,五家公司共同成立支付卡行业安全
标准协会,并于 2004年 12月 15日整合各自的政策之后,公布了支付卡行业持卡人数据安全标准 (PCI DSS)。
支付卡行业安全标准除了包括支付卡行业持卡人数据安全标准 (PCI DSS),还包括个人标识号交易安全 (PCI PTS) 以及支付应
用程序持卡人数据安全标准 (PCI PA-DSS)。
I. 我们需要 PCI DSS
支付卡行业安全标准
保护持卡人数据
制造商
支付设备、应用程序、基础设施及用户的生态系统
支付卡行业个人标识号交易安全
软件开发商商户 & 服务提供商
支付卡行业数据安全标准
支付卡行业安全
标准 & 合规性
支付应用程序厂商
PCI PA-DSS PCI DSSPCI PTS
1 2
白皮书适读对象
支付卡行业安全标准是 PCI 安全标准协
会制定的用以保护持卡人数据安全的技
术与作业要求,因此所有涉及支付卡处
理的组织,包括商户、处理机构、发卡
商和服务提供商以及所有其他储存、处
理或传输持卡人数据的组织的首席信息
总监(CIO)、首席信息安全总监(CISO)、
首席财务总监 (CFO)、安全与系统保密
总监、IT 经理、风险与控制经理、IT
技术人员或其他行业中想了解支付卡行
II. 此白皮书适读对象及 PCI DSS 适用产业
业安全标准的 IT 从业人员,白皮书适
读对象。
PCI DSS适用产业
持卡人帐户数据由持卡人数据和敏感验
证数据构成,它被存储于磁性卡的磁条
内或存储卡的芯片中,如下所示。其中
主帐户号码 (PAN) 是 PCI DSS 要求管
控的关键信息。
持卡人数据包括:
• 主账户
• 持卡人姓名
• 到期日期
• 业务代码
• 芯片中或完整磁条内的持卡人数据或与之相当的持卡
人数据
• CAV2/CVC2/CVV2/CID
• PIN/PIN 区块
敏感验证持卡人数据包括:
3 4
适用 PCI DSS的组织如果未能及时合规,则很可能带来下列潜在负面风险:
— 仅单一事件所导致的组织名誉严重
受损
— 账户持卡人数据外泄可能导致业务
减少,若为上市公司则可能致使股
价下跌
— 诉讼
— 保险理赔
— 取消账户
— 支付卡发行商罚款
— 政府罚款
— 庞大的财务损失,包括鉴定调查费
用、诈骗赔偿费用、通知客户的支
出及重新发卡成本
— 信用卡相关业务资格或许会被减少
甚至被撤销
— 不合规的当月可能提高您账户的手
续费金额
— 未定期通过合规审核会被加扣手续费
5 6
因此,只要组织储存、处理或传输主帐
户 (PAN),PCI DSS 要求就适用;如果
未储存、处理或传输 PAN,则 PCI DSS
与 PA-DSS 不适用。在符合 PCI DSS 要
求后,使用安全支付应用程序,可以将
潜在的安全漏洞降至最低,从而防止完
整的持卡人数据、卡验证码与验证值
(CAV2、CID、CVC2、CVV2) 以及 PIN
区块遭到侵害,并防止由安全漏洞导致
的严重欺诈行为。
所以,PCI DSS 支付卡行业持卡人数据
安全标准是用来保护持卡人数据安全的
技术与作业要求,本标准适用于所有储
存,处理或传输持卡人信息的组织。因
此不论组织的交易类型是零售(实体店
面)、电话支付或是网络交易等,只要
涉及储存、处理或传输帐户持卡人数据
的组织,包括商户、处理机构、发卡商
和服务提供商等都适用该标准。
III. 了解 PCI DSS
PCI DSS 合规性评估范围
PCI DSS 安全要求适用于所有系统组
件,包含持卡人数据环境或与之相关的
任何网络组件、服务器、应用程序或虚
拟组件。重要组件的说明如下:
1. 持卡人数据环境主要是由人员、程
序以及储存、处理或传输持卡人数
据或敏感验证数据的系统构成;
2. 网络组件重点包括防火墙、交换机、
路由器、无线存取点、网络装置和
其他安全装置;
3. 服务器主要类型包含运行 Web、应
用程序、持卡人数据库、认证、邮件、
代理、网络时间协议 (NTP) 和域名服
务器 (DNS)的主机或虚拟主机系统;
4. 应用程序则包括所有购买、定制的应
用程序,分内部和外部(如 Internet)
应用程序;
5. 虚拟组件则至少由虚拟机、虚拟交
换机或路由器、虚拟设备和虚拟应
用程序或桌面所组成。
PCI DSS 基本结构
支付卡行业 (PCI) 数据安全标准 (DSS)
是目前全球最严格且级别最高的金融数
据安全的评估标准,也是支付卡品牌,
即所有储存、处理或传输持卡人数据组
织所采用的全球性的持卡人数据安全标
准,由系列最佳安全实践组成。PCI
DSS 具备下页第 1 个图示的安全架构,
并以下页第 2 个图示的六大方向共 12
条 PCI DSS 要求作为基础,为商户和服
务提供商提供了可靠的帐户持卡人数据
安全程序(包括预防、侦测和安全事故
响应)框架,从而帮助他们在网络环境
所有系统关键组件范围内,在进行储存、
处理或传输包含持卡人主帐户 (PAN) 的
持卡人数据时,得以促进并提升持卡人
支付帐户资料的安全性,降低威胁的发
生并减轻发生威胁时所产生的影响。
Cardholder Name
PAN(主账户)Expiration Date(到期日)
Chip
Magnetic Stripe
CVV2
支付卡资料类型
7 8
PCI DSS 国际安全评估
物理安全性
逻辑安全性
联机安全性
脱机安全性
设备安全管理
到 2010 年 9 月 30 日
收单银行必须证实每
位 1 级商户都已确认
完全符合 PCI DSS 的
规定
目前全球最严格、级
别最高的金融设备安
全评估标准保障客户数据的机密性、
可用性及完整性
保护支付系统敏感帐户
及交易资料
安全
机制
网络
架构
软硬件
配置
运营操
作体系
传输 存储
处理
持
卡
人
安全
资料
要求 1:安装并维
护防火墙设定以
保护持卡人资料。
要求 2:对于系
统密码以及其他
安全参数,请勿
使用供货商提供
的默认值。
1 目前,PCI DSS版本号已从 1.2.1升级到 2.0。具体版本变更重点,请见附件。
建立并维护
安全网络
要求 3:保护储
存的持卡人资料。
要求 4:通过开
放的公开的网络
传输持卡人资料
须加密。
保护
持卡人资料
要求 5:使用并
定期更新的防病
毒软件或程序。
要求 6:开发并
维护安全系统和
应用程序。
维护漏洞
管理程序
要求 7:限制只有
业务需知者才能
存取持卡人资料。
要求 8:为每个
计算机存取的用
户配置唯一的 ID。
要求 9:限制持卡
人资料实际存取。
实施严格的
访问控制措施
要 求 10:追 踪
并监控网络资源
与持卡人资料的
所有存取。
要 求 11:定 期
测试安全系统与
程序。
定期监视
并测试网络
要求 12:维护满
足所有人员信息
安全需求的政策。
维护信息
安全政策
PCI DSS 国际安全验证的规范 1
PCI DSS 的范围界定─确定 PCI DSS 治理那些系统组件
评估─查验范围内系统组件的合规性
补偿性控制措施─评估商验证替代性控制技术或流程
报告─评估商和/或受评机构提交必要的文件
阐明─(如适用)依支付卡收单银行或支付卡品牌的请求,评估
商和/或受评机构的阐明/更新报告声明
步骤 程序
1
2
3
4
5
受评机构根据每个支付品牌相应的报告要求所规定的内容及格式
完成合规性报告 (ROC)。
确保漏洞扫描已由 PCI SSC 认证的扫描供货商 (ROC) 完成,并从
ASV 获得通过扫描证明。
视情况全部完成服务提供商或商户的合规性证明。
向购买者(对于商户)支付品牌或其他请求者(对于服务提供商)
提交 ROC、通过扫描的证明、合规性证明及每个支付品牌其他要
求的文档。
步骤 程序
1
2
3
4
PCI DSS 合规性程序
尽管 PCI 安全标准协会制定了 PCI 安全
标准,但各支付卡品牌都有自己的政策
规定及各自独立要遵循的执行方案,并
都已制定其符合性验证和报告的具体专
属要求,例如制定执行自我评估、何时
聘请合格安全性评估商(QSA)条款,以
及由支付卡品牌各自对受评机构之分类
级别或风险等级认定,从而决定验证受
评机构合规性与向支付卡收单银行报告
的程序,但其通常遵循下列程序:
PCI DSS各支付卡品牌的合规性计划方案链接如下:
• American Express:www.americanexpress.com/datasecurity
• Discover Financial Services:www.discovernetwork.com/fraudsecurity/disc.html
• JCB International:www.jcb-global.com/english/pci/index.html
• MasterCard Worldwide:www.mastercard.com/SDP
• Visa Inc:www.visa.com/cisp(美国)
PCI DSS 合规性并非一次性的工作,而
是一个持续不断的流程。它不仅管理现
在的安全状态,更关注未来的安全风险,
因此 PCI DSS 合规有助于组织防止安
全违规和支付卡持卡人数据被盗窃的现
象发生。从现在的情况来看,持卡人数
据安全性问题变得越来越复杂,个别商
家想要确保其在该领域的领先地位的难
度也逐渐加大。因此,PCI 安全标准协
会正通过加强改善 PCI 安全标准和针对
安全专业人员的培训,以不断监测和改
善其方法。
PCI DSS合规性实现步骤:
9 10
分析网络基础设施和已知的漏洞的软件工具扫描您的网络
审查和纠正现场评估(如适用)或透过自我评估过程发现的漏洞
分类和排序漏洞以帮助定出纠正优先级
应用修补程序,修复,解决方法,并改变不安全的流程和工作流
重新扫描以确认已修复
步骤 程序
1
2
3
4
5
报告 评估
纠正
合规性PCI DSS
PCI DSS 合规性主要通过评估、纠正和
报告三个持续不断的过程循环实现(左
图所示),具体说明分别如下:
评估是针对支付卡处理,采取清点 IT 资
产和业务流程的一个过程,并针对可能
会暴露持卡人数据的弱点进行分析,测
PCI DSS 合规性为持续不断的流程
试和验证控制是否适当,以在存储、处
理和传输期间保护持卡人数据。
纠正是修正那些漏洞的整改处理,包括
组织如何处理或储存持卡人数据的技
术,软件程序代码的缺陷或不安全的操
作。具体纠正流程包括 5 个步骤:
报告是 PCI DSS 必要的记录编制,以
验证漏洞已被纠正并已提交验证合规性
证明,同时呈现持卡人数据保护控制适
当。该报告是获取银行卡支付品牌业务
的主要文件。
落实 PCI DSS 合规性运作框架,可保
证持卡人数据安全,并为已建立的系统
提供自动报警,且不断监控持卡人数据
的存取和使用,甚至将有利于持卡人数
据的收集与储存的系统控制。
PCI DSS 合规对象分类
PCI DSS合规服务提供商:
PCI DSS合规对象分类包括 PCI DSS合规商户与 PCI DSS合规服务提供商,其合规条件(举例)分别描述如下:
现场安全审核 自我评估 网络安全扫瞄描述PCI DSS 合规商户等级
第一级
第二级
第三级
第四级
每年处理超过 600万项 Visa交易(通过各
种渠道)的商户,或通过任何 Visa地区确定
为 1级的全球商户。
任何每年处理 1,000,000到 6,000,000项
Visa交易的商户。
任何每年处理 20,000到 1,000,000项 Visa
电子商务交易的商户。
任何每年处理不到 20,000项Visa电子商务交
易的商户,以及其它每年处理多达 1,000,000
项 Visa电子商务交易的商户。
需要(每年) 不需要 需要 (每季 )
不需要
不需要
不需要
需要 (每年 )
需要 (每年 )
建议 (每年 )
需要 (每季 )
需要 (每季 )
建议 (每年 )
现场安全审核 自我评估 网络安全扫瞄描述服务提供方等级
第一级
第二级
每年超过 30万项交易
每年小于 30万项交易
需要(每年) 不需要 需要 (每季 )
不需要 需要 (每年 ) 需要 (每季 )
11 12
波耐蒙研究所在对美国 IT及 IT安全从业者调查后,发布了《2011 PCI DSS合规性趋势调查报告》。
图 1:承担遵守 PCI DSS的首要责任人
商户控制的网络和数据库中持卡人数据
受到的威胁最严重
如图 2 显示,43% 的受访者认为商户
控制的网络受威胁最严重;其次,
42% 的受访者认为是商户控制的数据
库;其它方面的脆弱性包括纸质文件和
支付应用。
图 2:对于持卡人数据的安全,受威胁最严重的是哪方面?
业务单位领导
没有人负责
首席信息总监
首席信息安全总监
法律部
IT 合规部
首席技术总监
其它
30%
17%
15%
14%
13%
5%
3%
3%
0% 5% 10% 15% 20% 25% 30% 35%
0% 5%
2%
10% 15% 20% 25% 30% 35% 40% 45% 50%
43%
42%
29%
28%
21%
18%
14%
由商户控制的网络
由商户控制的数据库
书面文件
支付应用软卡
无人值守支付终端设备
销售终端设备
付款处理网络
其它
PCI DSS 合规的发展趋势
经营单位推动组织努力符合 PCI DSS
如图 1 显示,谁首先应当满足 PCI DSS
的要求?报告中显示有 30% 的受访者
认为业务部门的领导人应承担 PCI DSS
符合性的首要责任;15% 和 14% 的
受访者则分别认为是首席信息总监及首
席信息安全总监应承担责任。而认为没
有人应当承担该责任的则占了 17%。
QSA 质量保证方案如何影响持卡人数据
安全
如图 4 显示,60% 的受访者说,QSA
质量保证方案提高了保护持卡人的数据。
另有 32% 的人认为该方案对保护持卡
人的数据没有影响。只有 8% 的人认为
QSA方案削弱了保护持卡人的数据。
图 3:对 QSA方案的经验和看法
图 4:受访者对组织内部 QSA质量保证方案如何影响持卡人数据安全的意见
IT 及 IT 安全从业人员积极地查看 PCI 的
质量保证方案
如图 3 显示,58% 的受访者认为,他
们的组织已经或正在进行 QSA 专业机
构的审核或评估。已完成这些审核或评
估的受访者中,68% 的人认为,该方案
将帮助组织遵守 PCI DSS 的要求。虽然
在图表中没有显示,但是只有 20% 的
认为该方案无用;还有 20% 受访者则
表示不确定。
QSA质量保证方案现已建立。贵
组织是否已经开始或已经完成真正
的 QSA专业审核或评估?
如果是的话,您是否相信QSA质量
保证方案能帮助组织实现其遵守 PCI
DSS的要求或目标(是)?
0% 10% 20% 30% 40% 50% 60% 70% 80%
58%
68%
改善持卡人的数据保护 没有影响到持卡人的
数据保护
削弱了持卡人的数据
保护
60%
32%
8%
70%
60%
50%
40%
30%
20%
15%
0%
60%
13 14
PCI DSS与其他标准相辅相成
萨班斯法案(SOX)
金融服务现代化法案(GLBA)
健康保险流通与责任法案(HIPAA)
欧盟个人资料保护法(EUDPD)
信息安全管理体系标准(ISO 27001)
电信信息安全管理国际标准(ISO 27011)
医疗信息安全管理国际标准(ISO 27799)
供应链安全管理国际标准(ISO 28000/ISO 28001)
项次 标准法规
1
2
3
4
5
6
7
8
PCI DSS 是用来指导保护持卡人数据的最好框架。为了要更好地保护其他敏感的商业持卡人数据,在规划遵循 PCI DSS 要求
方法时,还可与其他标准或规定相整合,以使彼此相辅相成,为组织提供更经济、更高的效益。可整合的重要法规/标准如表
所示:
PCI DSS合规对组织的益处
不论规模大小和业务性质,符合 PCI
DSS 支付卡行业持卡人数据安全标准的
要求,将为组织带来重大利益,可能包
括但不限于:
PCI DSS 合规意味着组织已具有适当
的信息安全措施,可有效保护客户持卡
人数据,免受安全漏洞损害并减少因持
卡人帐户数据外泄而被诈欺或因持卡人
数据外泄所带来的负面媒体报导等潜在
风险。
PCI DSS 合规意味着您的系统是安全
的,客户可以信任您使用其支付卡的敏
感信息:
– 信任意味着客户有信心与您保持业
务往来
– 具信心的客户更可能是回头客,并
推荐给其他人
– 合规性提高组织信誉,让客户对您
的业务更有信心,进而提升品牌忠
诚度
– 随着顾客的信心增加,销售额及业
绩亦可同时提升
IV. SGS专业的 PCI DSS解决方案
但若未能合规且也可能会产生严重或
长期的潜在负面风险,可能包括但不
限于:
– 仅单一事件企业名誉可能严重受损
– 账户持卡人数据外泄可能导致销售
下滑,若为上市公司股价可能下跌
– 诉讼
– 保险理赔
– 取消账户
– 支付卡发行商罚款
– 政府罚款
– 庞大的金钱损失,包括鉴定调查费
用、诈骗赔偿费用、通知客户的支
出及重新发卡的成本
– 信用卡相关业务资格或许会被减少
甚至被撤销
– 不合规的当月可能提高您账户的手
续费金额
– 未定期通过合规审核会被加扣手续费
步骤 1 — SGS 根据组织的规模及业务
类型提供建议书。在您签署建议书后,
评估即可开始。
步骤 2 — SGS 可以为您提供预评审服
务,以确定组织是否具备正式符合性评
估的条件并掌控评估失败的风险。该步
骤虽为可选择项,但是往往被证实能帮
助组织发现系统运行中的缺陷以便改
进,同时也在正式符合性评估前帮助组
织树立信心。
步骤 3 — 初次评估的第一部分为“准
备评估”。此步骤将依照标准要求,对
组织所建立的文件化体系作符合性评
估,从而在充分了解组织业务特性的基
础上,对组织进行体系关键要素评估,
并为下一阶段的评估安排作准备。这让
我们更好地了解您的组织的运作,来定
义数据流向,主要活动和评估范围,并
制定正式符合性评估计划。
步骤 4 — 初次评估的第二部分为“符
合性评估”。评估方式包含与您及您同
事的面谈、文件记录的检查以及现场考
察,SGS 将据此进行系统符合性判定。
现场评估之后,我们会基于客观证据提
出评估发现,并将其进行分类:不符合
项、观察项或改进机会。在您关闭不符
合项之后,SGS审核经理会对评估做技
术评审并签发合格报告。
步骤 5 — 根据合同,每一年我们会进
行评估。在此过程中,我们将针对以往
的不符合项所采取的纠正措施进行评
审。同时,我们也会根据事先提供的评
估计划对系统中必评项目及部分抽样项
目进行评估。
PCI DSS 的评估流程图
评估及审核
步骤一
签订合同
步骤二
预审
(可选)
纠正行动及关闭不符合项
合格报告 1年有效(每年评估一次)
步骤三
准备评估
步骤四
符合性评估
评估通过后
签合格报告
步骤五
再评估
15 16
PCI DSS合规性评估的操作流程: 选择优质 QSA
优质合格安全性评估商(QSA)是经过适
当的培训,并通过 PCI 安全标准协会
现场安全评估为 PCI DSS 认证合规的
持卡人数据安全公司,他们可提供下
列服务:
– 确认商家或服务提供商提供的所有
技术持卡人数据
– 使用独立判断以确认已符合标准
– 在合规性过程中提供支持和指导
– 验证评估或必要时,在现场提供服务
– 审查工作产出支持 PCI DSS 的要求
和安全评估程序
– 确保遵守 PCI DSS 安全评估程序
– 验证评估的范围
– 采用抽样选择系统和系统组件
– 评估补偿控制
– 产生最终报告
优质 QSA 要熟悉客户公司的业务流程,
并有执行过同类组织的安全评估经验,
才能分辨不同业务部门执行的持卡人数
据控制措施所应有的细微差异,另外也
要适合且配合该公司的文化。无论是否
合规,QSA 均会与您的组织一起工作,
并帮助您了解如何实现和保持应有的合
规性,甚至还可提供额外的安全相关服
务,如持续性的脆弱性评估和纠正整改
或其他标准的验证、答疑服务。
作为全球认证领域的领导者和创新者,
SGS 为 IT 行业、金融行业提供了无数
的体系审核、风险评估等服务,积累了
相当丰厚的行业经验。SGS-CSTC目前
已获得 PCISSC 的认可,也作为具有完
全资格从事 PCI DSS 符合性评估项目,
可通过专业的项目管理方式,协助组织
完成风险评估、策略规划、架构和设计、
选择和实行方案、监控和管理等过程实
施符合组织自身特点的 PCI DSS,为组
织提供 PCI DSS QSA 的符合性审核。
同时 SGS 还一同为期两天的 PCI DSS
标准培训课程,帮助提升相关操作人员
对标准的理解。
17
V. 总结
PCI DSS 是目前全球最严格且级别最高的金融数据安全的评估标准。获得 PCI DSS 合规,在有效保护客户持卡人数据、免
受安全漏洞迫害并降低因持卡人帐户资料外泄所引起风险的同时,帮助组织减少受罚的可能性,以及信誉受损的机率。
作者简历:
易换棣 SGS PCI DSS 技术组组长
易先生为 SGS 资深专家及讲师,具有 CIA、CISA、ITIL Service Manager 等多项国际认可,且在 ISO 9001、ISO 20000、
ISO 27001 等管理体系有 15 年以上丰富管理、咨询及体系建立的经验,所覆盖的产业包括石化、人造织维、纺织、水泥、百
货制造、电信、高科技电子产业、金融、信息技术公司等,现主要负责开发 PCI DSS评估及导入的服务。
余裕民 SGS PCI DSS技术组专家
余先生具有 13 年以上的电信、半导体、高科技电子、金融、钢铁、化学、纺织、生物科技等各行业的计算机审计与安全咨询
经验,具有 CISA、CRISC、BS 7799/ISO 27001 Lead Auditor 等国际资质,也是台湾首位通过国家通讯传播委员会 (NCC)
Common Criteria (ISO/IEC 15408) 标准咨询安全保护剖绘评估验证的主任评估员。目前,余先生主要负责开发 PCI DSS相关
服务。
秦家濠SGS PCI DSS 产品经理
秦家濠毕业于多伦多大学,是 IRCA 认可的 ISO 9001、ISO 27001 主任审核员,也是国际信息系统审计与控制协会 (ISACA)
认可的国际注册信息系统审计师,有着超过 12 年的 IT管理及安全管理方面的咨询及审核经验。目前,秦先生已获得 PCI QSA
资质,主要负责 PCI DSS审核的开发及培训服务。
选择 SGS
SGS 是全球检验、鉴定、测试和认证服
务的领导者和创新者,也是公认的品质
与诚信的全球基准。SGS 拥有超过
59,000 名员工及 1,000 多个分支机构
和实验室,服务网络遍及全球。我们一
直致力于提供超越客户及全社会期望的
卓越服务。
选择 SGS,可以使您的流程更加精益
求精、人员更加专业高效、供应链更加
统一合规、客户关系更加持久稳定,从
而赢得更多利润和竞争优势。与全球领
导者合作,引领您走进企业承诺的更高
层面。
我们成功完成了诸多规模庞大、内容复
杂的国际项目。在世界任何地方,您都
可以找到精通当地语言并了解当地市场
的 SGS 员工,为您提供全球统一、可
靠高效的专业服务。
PCI DSS 版本 2.0 变更方向
Ⅰ
消除
多余子要求
界定
范围和报告
提高灵活性
帮助管理
演进的风险
威胁
要求阐明
澄清更清楚
与业界
最佳实践
同步改变
演进
要求
阐明
澄清
补充指南
无主要求
的变更或新增
PCI DSS 1.2.1 版本到 2.0 版本的变
更,并未涉及其主要要求结构的新增
或大修改。该版本的变更主要包括右
图所示的 3 种变更类型:阐明澄清、
补充指南与演变要求的变更类型,而
其变更方向亦如右图所示,主要目的
是为使 PCI DSS:
1.要求阐明澄清得更为清楚
2.提高灵活性
3.帮助管理不断演变的风险威胁
4.与业界最佳实践的同步
5.界定范围和报告
6.消除多余的要求细节
ANNEX PCI DSS 2.0 版本变更重点
Ⅱ
所应用的标准 日 期 :
2010/10/28
2012/01/01
2.0 版本发布
2010/12/31 前 • 评估必须使用 1.2.1 版本
• 不可使用 2.0 版本
2011/01/01~
2011/12/31• 评估可使用 1.2.1版本或 2.0版本。2.0版本于 2011年 1月 1日正式生效
— 评估必须使用 2.0 版本
2012/07/01 起 • 在该日前,PCI DSS要求 6.2和 6.5.6这两项条款为最佳实践
• 自该日起,PCI DSS要求 6.2和 6.5.6这两项条款变更为正式要求
PCI DSS 2.0版本于 2010年 10月 28日发布,并于 2011年 1月 1日正式生效,2012年 1月 1日起进行的评估必须使用
2.0版本,具体如下表所示:
PCI DSS 1.2.1版本到 2.0版本的变更重点体现在以下几个方面:
• 演进要求的变更;
• 新增细项要求的变更;
• 业界最佳实践借鉴;
• 审核与抽样过程要求;
• PCI DSS合规性及报告;
• 其他细项要求的阐明澄清变更或补充指南变更。
2、新增细项要求的变更说明如下:
新增“PCI DSS与 PA DSS的关系”章节:
• 反映 PA DSS的内容
• 澄清单独使用一个 PA DSS 合规的应用程序,无法保证组织
的 PCI DSS合规
测试程序:
• 新的可选择的虚拟化技术的测试程序
要求与测试程序:
• 新增详细要求,以配合测试程序。
• 新的测试程序 3.1.1.e澄清,评估商验证存储的持卡人数据不
超过政策中所界定的保留要求
章节 变更描述 变更类型
概述
2.2.1.b
3.1.1.e
阐明澄清
阐明澄清
补充指南
1、演进要求的变更说明如下:
要求与测试程序:
除增加识别脆弱性外,程序应包括以风险为基础的脆弱性分析,
并提供如何制定风险级别的指南
备注:PCI DSS要求条款 6.2在 2012年 6月 30日(含)之前,
为最佳实践;但 2012年 7月 1日起则成为正式要求
要求与测试程序:
增加新的要求与测试程序,满足要求 6.2中所识别的高风险漏洞。
备注:PCI DSS要求条款 6.5.6在 2012年 6月 30日(含)之前,
为最佳实践;自 2012年 7月 1日起,成为正式要求
6.5.6
6.2
章节 变更描述 变更类型
演进要求
演进要求
Ⅲ
章节 变更描述 变更类型
3.6 阐明澄清可以从各种途径(包括 NIST)获得许多密钥管理行业标准,具
体可登录 http://csrc.nist.gov获得
3.64 阐明澄清基于行业最佳实践与指南实施(例如:NIST特殊出版物 800-57)
演进要求6.2/6.2a 风险排名是行业最佳实践
6.3 阐明澄清基于行业最佳实践,开发软件应用程序
6.5 阐明澄清更新漏洞管理的行业最佳实践
6.5.6 阐明澄清漏洞识别程序确定的所有“高危”漏洞
12.1.2 补充指南风险评估方法的范例包括但不限于 OCTAVE、ISO 27005 及
NIST SP 800-30
3、业界最佳实践借鉴所涉及的条款分别如下:
更多细节,请登录www.pcisecuritystandards.org
Ⅳ22
版权:
此白皮书仅供参考。SGS 对所包含信息,不附带任何保证、传输、暗示或者法规的含义。
此文件所包含的所有信息只代表 SGS-CSTC 在讨论上述内容时的观点。由于 SGS 必须时刻应对不断变化的市场,此文件不作为 SGS 承诺的
一部分,并且 SGS 不能完全保证其自出版后的信息精确度。
若要使用此文件,必须遵守所有版权法。虽然不限制版权的权利,但是在没有 SGS 书面允许的前提下,此文件不得为任何目的进行转载、储存
或被加入检索系统、又或通过其它形式进行传递(包括电子、器械、照片、录音或其他)。
此文件所涉及的内容,SGS 有相应的专利、专利申请、商标、版权及其它知识产权。除非事先获得 SGS 书面的许可,否则这些专利、商标、
版权及其它知识产权都不得擅自使用。
除非是在版权法 ©SGS-CSTC 2011 ALL RIGHTS RESERVED 认可的前提下,任何此文件的重新印刷,转载、或翻译都必须事先获得 SGS 的
书面认可。
更多信息,请发送邮件至
[email protected],我们将竭诚为您服务。
