搜索
支付卡行业数据安全标准遵守规划指南OnThisPage简介满足PCIDSS要求附录简介《支付卡行业数据安全标准遵守规划指南》旨在帮助组织满足支付卡行业数据安全标准(PCIDSS)的要求。具体而言,本指南针对的是接受支付卡的贸易商、处理支付卡交易的金融机构以及服务提供商-即提供支付卡处理或数据存储服务的第三方公司。针对这些群体的IT解决方案必须满足所有PCIDSS要求。本指南是为了进一步强化法规遵守规划指南-它介绍了一种基于框架的方法来创建IT控制,帮助您遵守各种法规和标准。该指南还介绍了您可以用来实施一系列IT控制的Microsoft产品和技术解决方案,这些IT控制有助于满足PCIDSS要求以及履行您的组织可能担负的其他法规义务。注意如果您的组织提供的服务包括自动取款机(ATM)服务,Microsoft将提供支持ATM的软件、系统和网络适用的体系结构和安全指南。有关详细信息,请参阅MSDN网站上的Microsoft银行行业中心下载页。本指南不包含有关每个组织如何遵守PCIDSS的全面信息。有关与您的组织有关的特定遵守问题的解答,请向您的律师或审核人员咨询。本指南的简介包括以下部分:摘要。此部分提供有关PCIDSS要求以及该规划指南主要目标的广泛概述。在这一部分还会讨论IT管理人员在开始解决PCIDSS遵守要求时需要掌握的知识。本指南的目标读者。此部分介绍本指南的目标读者、指南的目的和适用范围,以及与指南限制有关的注意事项和免责声明。什么是支付卡行业数据安全标准?此部分提供PCIDSS及其要求的概述。规划PCIDSS遵守。此部分介绍使用框架满足PCIDSS要求。此方法包括:创建各种类型的IT控制、如何配合使用这些控制,以及它们为何是您的组织可以用来帮助满足PCIDSS要求和履行其他法规遵守义务的重要组件。PCIDSS审核流程。此部分概述审核人员用来评估组织是否符合PCIDSS要求的PCIDSS审核流程。由于本白皮书是对《法规遵守规划指南》的补充,因此,当您计划一个满足您的组织适用的所有法规要求的完整解决方案时,您还应当参考该指南。摘要如果您的组织处理、存储或传输持卡人信息,则您的业务要求必须遵守支付卡行业数据安全标准(PCIDSS)。这些标准中定义的要求是由PCI安全标准委员会制定,旨在为使用您的组织服务的持卡人提供可接受的最低安全级别。有三个问题使此情况变得复杂。第一个问题是遵守PCIDSS要求可能对整个组织产生影响。因此,在部门间协调遵守工作,并且有一个组织范围内的PCIDSS遵守策略非常重要。第二个复杂问题是您的组织可能需要遵守多套法规,每套法规都规定了不同的一组要求。因此,许多公司发现很难了解如何正确响应这些不同的法规要求并使用经济高效的流程和过程保持法规遵守,也就不足为奇了。第三个复杂问题是与其他许多法规一样,PCIDSS只是顺带提及IT控制,而对于IT管理人员明确确定究竟该执行什么工作来实现和维护法规遵守,提供的指导则非常有限。《支付卡行业数据安全标准遵守规划指南》针对的是在公司担负满足PCIDSS要求职责的IT管理人员。本指南旨在帮助IT管理人员了解如何着手解决其组织适用的许多IT控制要求,包括PCIDSS遵守要求。为实现这一目的,本指南提供了有关在此过程中您可以使用的解决方案的信息。有关如何遵守多种法规标准的更全面的讨论,请参阅法规遵守规划指南。重要本规划指南不提供法律意见。本指南仅提供有关法规遵守的事实面和技术面的信息。不要完全依赖本指南提供的有关如何满足法规要求的意见。有关特定问题,请向您的律师或审核人员咨询。本文的目标读者《PCIDSS遵守规划指南》主要针对负责确保其组织安全可靠地收集、处理、传输和存储持卡人数据并且保护持卡人隐私的个人。本指南的目标读者包括在组织中担任以下职位的IT管理人员:首席信息官(CIO),负责系统和IT相关流程的部署和运行。首席信息安全官(CISO),负责整个信息安全计划以及对信息安全策略的遵守。首席财务官(CFO),负责其组织的整个控制环境。首席保密官(CPO),负责实施与个人信息管理相关的策略,包括支持遵守保密性和数据保护法的策略。技术决策者,负责确定适当的技术解决方案来解决特定的业务问题。IT运营经理,运行执行PCIDSS遵守计划的系统和流程。IT安全架构师,设计IT控制和安全系统以提供满足其组织业务需求的相应安全级别。IT基础结构架构师,设计支持IT安全架构师设计的IT安全和控制的基础结构。咨询人员和合作伙伴,推荐或实施保密性和安全最佳做法,帮助客户实现PCIDSS遵守目标。此外,本指南对于以下人员可能也非常有价值:风险/合规事务主管,负责其组织符合PCIDSS要求的总体风险管理。IT审核经理,负责审核IT系统,减少内外IT审核人员的工作量。什么是支付卡行业数据安全标准?支付卡行业(PCI)数据安全标准(DSS)是一组全面的要求,旨在确保持卡人的信用卡和借记卡信息保持安全,而不管这些信息是在何处以何种方法收集、处理、传输和存储。PCIDSS由PCI安全标准委员会的创始成员(包括AmericanExpress、DiscoverFinancialServices、JCB、MasterCardWorldwide和VisaInternational)制定,旨在鼓励国际上采用一致的数据安全措施。PCIDSS中的要求是针对在日常运营期间需要处理持卡人数据的公司和机构提出的。具体而言,PCIDSS对在整个营业日中处理持卡人数据的金融机构、贸易商和服务提供商提出了要求。PCIDSS包括有关安全管理、策略、过程、网络体系结构、软件设计的要求的列表,以及用来保护持卡人数据的其他措施。PCIDSSV1.1是2006年9月发布的最新版本标准。该标准由一组共6个原则以及12个附属要求构成。每项要求下面包含子要求,您必须按照这些子要求来实施流程、策略或技术解决方案以遵守该要求。PCIDSS策略和要求包括:建立和维护安全网络要求1:安装和维护一个防火墙配置来保护持卡人数据。要求2:不要对系统密码和其他安全参数使用供应商提供的默认值。保护持卡人数据要求3:保护存储的持卡人数据。要求4:对通过开放的公共网络传输的持卡人数据进行加密。维护漏洞管理计划要求5:使用并定期更新防病毒软件。要求6:开发并维护安全系统和应用程序。实施强访问控制措施要求7:将对持卡人数据的访问限制为业务需要时。要求8:为具有计算机访问权限的每个人分配唯一的ID。要求9:限制对持卡人数据的物理访问。定期监视和测试网络要求10:跟踪和监视对网络资源和持卡人数据的所有访问。要求11:定期测试安全系统和流程。维护信息安全策略要求12:维护解决信息安全的策略。要求9和12不需要您实施技术解决方案。要求9指示您解决存储和处理持卡人数据的位置的物理安全。这可能包括对大楼进出实施安全控制、安装和维护监视设备以及要求对在设施内工作或访问设施的所有个人进行身份检查。要求12指示您创建信息安全策略,将其传达给您的员工、供应商以及在您的组织内处理持卡人数据的其他当事人。规划PCIDSS遵守孤立起来创建PCIDSS遵守解决方案既不高效也不经济。在规划遵守PCIDSS要求的方法时,您还必须考虑其他许多法规。这些法规的例子包括:萨班斯-奥克斯利法案(SOX)格雷姆-里奇-比雷利法案(Gramm-LeachBlileyAct)健康保险流通与责任法案(HIPAA)欧洲数据保护指令(EUDPD)ISO17799:2005信息安全管理实施细则(ISO17799)注意如果您的组织是一个跨国企业,则需要确保遵守所有业务开展地的政府法规。Microsoft建议您向熟悉组织业务开展地的所有法规的律师咨询。有关对这些法规的遵守工作进行规划的详细信息,请参阅法规遵守规划指南。您的组织创建的PCIDSS遵守解决方案应该在完全了解以下两个问题的情况下制定:满足其他法规要求的现有解决方案创建符合所有法规要求的新解决方案的最佳方法为高效且有效地实现您的遵守目标,Microsoft建议您利用控制框架来帮助实现您组织的法规遵守目标。利用控制框架,您的组织能够将适用法规和标准映射到框架中。然后,您的组织就可以更高效地将IT控制工作的重点放在解决框架(而不是各个法规)中定义的要求上。此外,在出现新的法规和标准影响组织时,您也可以将它们映射到框架,然后集中精力解决框架中要求已更改的部分。而且,您可以将与IT控制相关的各种要求映射到框架中,其中包括支付卡行业安全要求、内部策略等行业特定的要求。框架为寻求实现法规遵守目标的组织提供了许多显著的优势。利用基于框架的法规遵守方法,组织能够:组合IT控制以满足多种法规标准,例如,PCIDSS和EUDPD所规定的标准,从而避免单独审核。在新法规推出时能够迅速做出调整。通过选择影响最大的IT控制,确定支出的优先次序。避免公司内部的业务部门之间为实现遵守目标所开展的工作出现重复。通过渐增的更改,更高效地将当前法规更新到所在组织现有的IT控制。在IT部门和审计人员之间建立一个公共的平台。当然,在开始规划您的遵守工作时,您应该对PCIDSS本身进行检查。您可以从以下位置下载PCIDSS:。此外,PCI安全标准委员会创建了一个自我评估调查表,帮助您的组织确定是否遵守PCIDSS。您还可以利用它帮助您规划组织的PCIDSS遵守工作。您可以从以下位置下载PCIDSS自我评估调查表:。有关在控制框架中使用IT控制解决法规要求的详细信息,请参阅《法规遵守规划指南》。PCIDSS审核流程PCIDSS遵守的审核流程通常与法规遵守规划指南中介绍的流程类似。但是,有一些特定于PCIDSS审核的细节您应该知道。PCIDSS审核评估由两种第三方组织执行,即合格安全性评估商(QSA)和认可的扫描服务供应商(ASV)。QSA执行审核的现场部分,而ASV则对组织面向Internet的环境执行漏洞扫描。对于成为QSA和ASV的企业,每年都必须由PCI数据安全委员会(PCIDSC)进行一次审核和批准。QSA在审核组织之后必须编制一份报告,该报告必须遵照PCIDSC定义的特定准则。这些准则包含在PCI审核过程文档中,该文档可以从以下位置下载:。这些准则规定了QSA在审核之后必须编制的报告应该如何组织。此报告包括组织的联系信息、审核日期、摘要、工作范围以及QSA在审核组织时所采用方法的描述、季度扫描结果以及QSA的发现和观察。最后一部分包含大量有关组织对PCIDSS遵守情况的信息。在此部分,QSA会使用一个模板来报告组织对每项PCIDSS要求以及子要求的遵守情况。在为组织安排PCIDSS审核之前,或者最好是在规划PCIDSS遵守时,应该由组织的关键成员对PCIDSS审核过程进行审查。这可能有助于您充分了解QSA会在审核过程中进行哪些检查。ASV在对组织面向Internet的环境执行漏洞扫描之后,也必须就扫描结果编制一份报告。此报告的准则包含在PCI扫描过程文档中,该文档可以从以下位置下载:。该文档规定了ASV必须扫描组织环境中的哪些元素,并且包含关键字来帮助您阅读和理解ASV的报告。作为贸易商或服务提供商,您的组织必须遵守各个支付卡公司的符合性报告要求,确保每个支付卡公司承认您组织的合规状态。换句话说,如果您的组织是处理与Visa和AmericanExpress有关的持卡人数据的服务提供