PCI 数据安全标准
PCI DSS 有超过 250 条子要求,总体分为 6 个目标和 12 项主要求。
6 个目标,12 项要求
| 目标 |
PCI DSS 要求 |
|---|
| 建立并维护安全网络 |
1:安装并维护防火墙配置,保护持卡人数据
2:不得将供应商提供的默认值作为系统密码和其他安全参数
|
| 保护持卡人数据 |
3:保护所储存的持卡人数据
4:对持卡人数据在公共开放网络之间的传输进行加密
|
| 维护漏洞管理程序 |
5:使用杀毒软件并定期更新
6: 建立并维护安全系统和应用
|
| 采取强大的访问控制措施 |
7:根据业务须知限制获取持卡人数据的权限
8:为每个有电脑访问权限的用户分配唯一的 ID
9:限制对持卡人数据的物理访问
|
| 定期监控和测试网络 |
10:跟踪并监控对网络资源和持卡人数据的所有访问
11:定期测试安全系统和流程
|
| 维护信息安全政策 |
12:维护信息安全政策
|
支付应用数据安全标准
软件开发者和支付应用整合者会对持卡人数据进行存储、处理,在向第三方出售、分销或提供特许应用时的结算和授权过程也会传输持卡人数据。支付应用数据安全标准(PA-DSS)正是针对以上情形而制定。
PA-DSS 要求第三方支付应用的供应商采取合适的安全控制措施,以保护持卡人数据。支付应用数据安全标准(PA-DSS)中有许多控制措施专门用于处理导致信用卡数据丢失的常见漏洞。
已于 2012 年 7 月 1 日生效的万事达卡相关规定
2012 年 7 月 1 日生效:万事达卡修改了万事达卡 SDP 程序标准,要求所有使用第三方支付应用的商户和服务提供商只能使用符合支付卡行业支付应用数据安全标准(PCI PA-DSS)的应用。PCI PA-DSS 程序指南中已明确其对第三方支付应用的适用性。此外,万事达卡将设定一项新的 PA-DSS 合规验证要求,专门针对 1 级、2 级和 3 级商户以及 1 级和 2 级服务提供商。
万事达卡关于支付应用数据安全标准(PA-DSS)的相关规定将有助于继续推动其在全球范围内的采用,并促进支付生态系统中所有利益关系者遵守这一标准。
