仔细看看支付卡行业数据安全标准(PCI DSS)
之间打破壁垒PCI遵从性和网络安全
的支付卡行业数据安全标准(PCI DSS)由数以百计的操作和技术要求的组织接受,存储,处理或传输持卡人信息。组织如商人,处理器,收购方、保险公司和服务提供商可能会受制于PCI DSS合规。
由PCI安全标准委员会(PCI SSC), PCI DSS框架旨在保护支付数据和网络罪犯使其更难以访问这个敏感信息。PCI SSC也监督支付卡标准软件和应用程序开发人员付款应用程序数据安全标准(PA-DSS),以及销交易安全(PTS)委托组织创建信用卡交易设备。
有15 PCI安全标准商家、金融机构和服务提供商预计申请付款流程的目的是确保所有相关的安全技术和实践。
最新的版本是PCI DSS v4.0, PCI SSC在2022年3月发布。这是第一个更新这些标准自2018年的夏天。3.2.1版本将一直有效,直到退休的3月31日,2024年。PCI SSC需要组织满足v4.0要求在3月31日,2025年。
在这篇概述中,了解更多关于最新的版本,包括PCI DSS的目标,谁应该符合PCI和最佳实践实施和管理。
了解更多:
![Understanding Zero-Day Vulnerabilities, Exploits and Attacks 理解零日漏洞,攻击和攻击](http://www.yyueer.com/themes/custom/tenable/img/seo/hero-pci-dss.png)
![Make PCI Compliance Business-as-Usual 使PCI遵从常态](http://www.yyueer.com/themes/custom/tenable/img/solutions/Make-PCI-compliance-business-as-usual.png)
使PCI遵从常态
攻击者知道信用卡和借记卡信息是有价值的,而且他们开发更加复杂和广泛的措施,试图偷取你。保护这些数据不仅仅是一个良好的商业实践,这是一个PCI DSS的合规要求。
PCI DSS覆盖范围基线技术和操作安全控制旨在保护持卡人数据破坏和盗窃。接受这些标准适用于任何组织,商店、流程或传送持卡人信息。它适用于销售点供应商,硬件和软件开发人员、商人和金融机构——基本上任何人参与处理信用卡和借记卡数据。
这个解决方案简要探讨了最佳实践如何超越仅仅通过PCI审计,但也——为什么——你应该如何使PCI遵从常态操作的一部分。
在这个短暂的,了解更多关于:
- 的潜在影响PCI安全标准操作
- 为什么PCI DSS不仅仅是审计过程
- 如何不断地评估你的PCI遵从性吗
- 接近实时洞察潜在持卡人数据的威胁
- 之间保持合规评估
PCI的见解
解决PCI DSS
违反你的客户的持卡人数据可能导致罚款,罚款,和响应和恢复成本,可以快速达到数百万美元。除此之外,它让你的客户身份盗窃的风险,可以迅速摧毁你的品牌和声誉。这就是为什么重要的是要了解什么是预期的组织符合PCI安全标准和建立客户信心,你把维护他们的敏感数据的安全性和隐私非常重视。
这个解决方案简单需要仔细看看内部和外部的漏洞扫描的作用满足PCI要求。如果您的组织仍然手动管理您的安全与合规控制,你可能会受益于接触学习更多关于如何使用一个类似站得住脚的管理平台可以帮助组织提高效率和减少的可能性也许你忽略关键漏洞持卡人数据系统和应用程序。
阅读更多的了解:
- 如何开发配置标准,你所有的持卡人数据环境系统
- 解决威胁和弱点在面向公众的web应用程序
- 如何利用主动和被动扫描吗
- 基于风险的脆弱性管理最佳实践PCI遵从性
成立社区:你的首选资源PCI
如果你有问题关于PCI遵从性和安全性,加入站得住脚的社区与其他类似的利益。在社区里,您可以了解更多关于重要的PCI、扫描等主题,PCI验证、PCI审计等等。
下面是一些示例对话正在发生:
对PCI常见问题
你新的PCI安全与合规吗?你有问题但不确定从哪里开始?看看其中的一些常见问题关于PCI。
PCI代表什么?
一种总线标准是什么?
谁是PCI安全标准委员会(PCI SSC)和他们做什么?
PCI为什么重要?
PCI遵从法律规定吗?
PCI兼容是什么意思吗?
PCI DSS是什么?
PCI DSS打算做什么?
12主PCI遵从性需求是什么?
有12个主要PCI遵从性要求:
- 安装和维护一个防火墙配置保护持卡人数据
- 不要使用供应商提供的系统密码和其他安全参数的默认值
- 保护存储持卡人数据
- 在开放的持卡人数据的加密传输,公共网络
- 使用和定期更新杀毒软件或程序
- 开发和维护安全的系统和应用程序
- 由业务应限制对持卡人数据的访问
- 为每个人分配一个惟一的ID与计算机的访问
- 限制对持卡人数据的物理访问
- 跟踪和监视所有访问网络资源和持卡人数据
- 定期测试安全系统和过程
- 维护信息安全政策为所有人员
谁应该PCI兼容?
PCI遵从性的好处是什么?
有很多好处的PCI遵从性。下面是一些例子:
- 保障客户的持卡人数据
- 减少数据泄露等安全事故的风险
- 建立客户的声誉和信任
- 保护您的组织/品牌
- 者不承担罚款或惩罚
- 竞争优势
如果我不是PCI兼容吗?
PCI遵从性级别是什么?
PCI DSS,被认为是持卡人数据(冠心病)?
被认为是敏感的身份验证数据是什么?
什么是PCI DSS持卡人数据环境(CDE) ?
什么是PCI软件安全框架(SSF) ?
PCI SSC软件标准是什么?
什么是验证软件通过PCI SSC软件标准?
什么被认为是验证软件厂商通过PCI SSC软件标准?
PA-DSS是什么?
什么是PCI SSC批准扫描供应商(ASV) ?
站得住脚的ASV认证吗?
漏洞扫描PCI遵从性的一部分吗?
PCI多久需要一个漏洞扫描吗?
一些常见的侵犯PCI是什么?
PCI ASV的弱点是什么?
应该一个PCI ASV扫描需要多长时间?
PCI扫描过程的主要阶段是什么?
使用站得住脚的,PCI扫描过程的主要阶段:
- 使用模板创建一个扫描。
- 启动扫描。
- 提交扫描你的PCI ASV仪表板。
- 创建一个认证请求草案。
- 解决所有失败后,提交扫描认证、审核。
系统应该在什么范围PCI ASV扫描吗?
asv一样合格的安全评估(QSA) ?
PCI DSS实现的最佳实践是什么?
理解PCI DSS商人的水平
组织合规水平分为四种基于支付卡交易量在12个月期间。这包括信用卡、借记卡、预付费、礼品、芯片和存储值卡PCI SSC参与支付品牌的标志(PCI SSC成员或会员)。
每个信用卡品牌可以设定自己的标准商业水平基于多种因素,所以重要的是要检查直接与你的收购银行或信用卡品牌对你合适的水平。这是一个商人从Visa和万事达水平的例子:
商人1级
每年超过600万的信用卡或借记卡交易。
要求:进行年度内部审计和扫描季度批准供应商(ASV) PCI扫描。
商人级别2
1 - 6每年几百万的交易。
要求:进行年度自我评价问卷。可以受到季度ASV PCI扫描。
商人三级
20000 - 100万年度交易。
要求:进行年度自我评价。可以受到季度ASV PCI扫描。
商人四级
少于20000年度交易和其他商人,每年处理100万交易。
要求:进行年度自我评价问卷。可能是受季度ASV PCI扫描。
根据PCI SSC,有三个其他品牌(JCB,发现,美国运通)付款。尽管他们有自己的商业水平和需求,在很多情况下,会议上面的标准通常会达到他们的标准。但是,别忘了检查你的品牌的细节。
PCI DSS理解需求
经过三轮的评论请求(rfc),超过6000反馈项和输入从200多家公司,电脑SSC PCI DSS v4.0 2022年3月发布。虽然v3.2.1将一直有效,直到2024年第一季度结束时,组织应该已经采取措施实现4.0标准。新的需求将成为有效的3月31日,2025年。
根据PCI SSC,四个主要目标新标准:
会议支付行业的安全需求
例子:扩大多因素身份验证,更新密码和新的电子商务和网络钓鱼的需求。
促进安全作为一个持续的过程
例子:明确分配角色和职责为每一个需求和更多的指导如何实现和维护安全
添加不同的方法的灵活性
例子:允许集团共享和通用账户和有针对性的风险分析。
加强验证方法
例子:更一致性的信息在报告和证明。
PCI DSS理解需求
帮助组织接受、存储过程或支付卡信息保护客户的敏感数据传输安全、私下里,有12个主要要求PCI DSS v4.0。
它们是:
建立和维护一个安全的网络和系统
- 安装和维护网络安全控制
- 安全配置适用于所有系统组件
保护账户的数据
- 保护存储账户数据
- 与强大的加密保护持卡人数据在传输过程中在开放、公共网络
维持一个漏洞管理程序
- 从恶意软件保护系统和网络
- 开发和维护安全的系统和软件
实现强大的访问控制措施
- 限制对系统组件的访问和持卡人数据由业务需要
- 识别用户和认证系统组件
- 限制对持卡人数据的物理访问
定期监控和测试网络
- 日志和监控所有系统组件和持卡人数据的访问
- 定期测试系统和网络的安全
维护和信息安全政策
- 支持信息安全与组织的政策和程序
这些要求适用于:
- 持卡人数据环境(CDE)
- 系统组件、人、和存储过程,过程和传输持卡人数据和/或敏感的身份验证数据
- 系统组件,这些组件可能不存储、处理或传输冠心病/悲伤但有无限制的连接系统组件,商店,过程或传输冠心病/伤心
- 系统组件、人员和流程可能会影响CDE的安全
在一些事件中,PCI DSS需求可能适用于组织不存储、处理或传输持卡人数据。例如,组织管理持卡人数据环境(CDE)或实体,将他们的支付处理外包给第三方。如果您的组织外包这样的第三方,你还负责保护持卡人数据通过确保第三方符合PCI DSS标准。
确保PCI DSS合规
您可能想知道如果你需要符合PCI DSS v3.2.1或PCI DSS v4.0。
如果您的组织尚不符合PCI DSS,集中你的合规旅途会议版本4.0的要求。PCI DSS v4.0的生效日期是3月31日,2025年。
如果您的组织是兼容的版本3.2.1,那么现在是时候关注会议确立的标准版本4。
PCI遵从性的第一步应该从建立你的开始商人的水平。如上所述,这一水平是基于的支付卡的交易数量在12个月的时间框架和每个信用卡品牌可以设置自己的每个级别和相关标准的要求。
验证符合PCI DSS而言,基于你的交易量,您的组织可以完成自我评估问卷(SAQ)合规报告(ROC)或您可能需要使用一个第三方独立合格安全评估员(QSA)。获得一个PCI认证,您必须使用QSA。通过PCI SSC QSA来认证您的组织符合PCI DSS标准并能出具合规认证(AOC),如果你满足所有需求的评估。
确定您是否有资格获得自我评估或需要使用QSA,咨询你的信用卡品牌或金融收购者。
如果你能完成自我评估,需要注意的有几个不同的自我评估问卷适用的基于环境的类型。根据PCI SSC,每个问卷都有一个“前”一节,讨论了环境,适用于问卷调查,包括合格标准。
选择合适的调查问卷后,确认您的环境标准,你应该完成所有部分在SAQ以及每个AOC包含在每个SAQ。家也可以作为独立的文件。
如果您的组织需要完成外部脆弱性扫描,您可以使用一个ASV供应商评估你的漏洞管理实践,确保您的扫描流程符合PCI DSS的标准。ASV批准供应商可以为您提供扫描报告。
一旦你完成了你的SAQ, AOC,扫描,提交所有必需的文件到你的支付品牌或收购者。
再次,个人支付品牌最终确定一个组织的分类或风险水平,但总的来说,根据PCI SSC,六个关键步骤对PCI遵从性。在高级别上,这就是一个PCI DSS评估可能包括:
范围
知道哪个系统组件和网络在PCI DSS的空间。
评估
检查合规系统组件的范围后,测试程序为每个PCI DSS的要求。
报告
评估员和/或实体完成所需文档——例如,自我评估、问卷(SAQ)或合规报告与文档(ROC)——所有的补偿控制。
证明
完成适当的合规认证(AOC)
提交
AOC提交SAQ、中华民国和其他支持文档如ASV收购者扫描报告(商人)或支付品牌/请求者(服务提供商)
纠正
执行补救(如果需要的话),以解决需求不到位然后提供一个更新的报告
PCI博客字节
![Everybody Does Good VM When S#*t Hits the Fan 每个人行善VM当S # * t风扇](http://www.yyueer.com/themes/custom/tenable/img/seo/everybody-does-good-vm-when-sh-hits-the-fan.jpg)
每个人行善VM当S # * t风扇
符合PCI DSS合规,您的组织需要了解的关键弱点在您的环境中存在的现在,你会做些什么来纠正他们,以及你将如何在未来解决这些问题。读这个博客学习如何保持你的脆弱性管理程序来满足您的PCI标准。
![Cloud Security: 5 Key Takeaways from the SANS DevSecOps Survey 云安全:5关键外卖SANS DevSecOps调查](http://www.yyueer.com/themes/custom/tenable/img/seo/SANS 2022 DevSecOps Survey.jpg)
云安全:5关键外卖SANS DevSecOps调查
不管你有多或大或小,很可能今天你的组织管理多个安全与合规框架如PCI。但是,你怎么知道如果你使用最佳实践?这个博客需要仔细看看发现从“无2022年DevSecOps调查”,包括洞察方法PCI合规实践中树立信心。
![Cyber Hygiene: 5 Advanced Tactics to Maximize Your Risk Reduction 网络卫生:5先进策略来最大限度地减少你的风险](http://www.yyueer.com/themes/custom/tenable/img/seo/Cyber Hygiene.jpg)
网络卫生:5先进策略来最大限度地减少你的风险
大多数现代企业今天接受某种类型的信用卡或借记卡支付。如果你这样做,你可能需要符合PCI DSS。如果你不支付数据的保护,你把你的客户和你的商业风险。这个博客,网络卫生系列的一部分,概述方法可以确保网络的全面了解。
一种总线标准需求
当涉及到有效的云安全,共享是关怀
对于许多组织来说,不同的部门、地方或部门可以有各种各样的云计算服务和应用程序。因此,重要的是要建立跨团队合作,以确保您的云安全措施的有效性和符合PCI DSS云计算需求。
在这个网络研讨会,了解更多关于:
- 如何改善跨团队参与政策的采用代码
- 如何与关键规模云采用云安全功能
- 云安全的发展姿态管理(CSPM)包括基础设施代码
有效地保护你的微软Azure云从代码部署到运行时
配置错误和其它错误可能会影响你的PCI遵从性。这就是为什么重要的是要有全面的了解您的云环境中,这样你就可以确定你的安全漏洞,先优先考虑什么需要你的关注,有效地分析和纠正您的云安全风险。
在这个网络研讨会,了解更多关于:
- 用户管理等关键微软Azure安全注意事项和云资源
- 如何有效地防止Azure部署运行时政策
- 如何识别、评估和保护组织的Azure攻击路径
确保您的云环境符合PCI DSS的标准
随着越来越多的组织系统和应用程序转移到云,PCI SSC包括云计算控制和考虑的PCI DSS指导。无论你是在一个私人工作,社区,公共或混合云环境,成立一个可以给你全面了解你需要确保你保护你的客户的支付卡数据,同时满足PCI DSS合规标准。
评估范围
作为PCI DSS合规的一部分,您的组织必须了解你的系统和网络的范围。许多组织的斗争,因为他们没有可视性他们所有的资产。成立一个,你会发现你所有的作用资产,如服务器、web应用程序、网络设备和数据库。
文档有信心
完成并提交适当的文档是PCI DSS合规旅程的一部分。如果你仍然手动跟踪这些数据在电子表格或其他集选区工具,它是耗时的,你可以忽略重要信息。成立一个开箱即用的报告和扫描模板简化了文档。
发现和优先考虑的漏洞
确保你保持支付卡数据安全,你需要知道的不仅仅是有漏洞。你还需要了解的潜在影响合规首先你知道哪些补救。成立一个使风险评估可以发现,优先和纠正——on-prem和云中的安全问题。