全國服務熱線

135-1076-8249

新聞資訊

聯係AG亚游集团

地址:深圳市龍崗區平湖平安大道富民工業區17棟3樓
聯係電話:135-1076-8249
郵箱:514298613@qq.com


當前位置:主頁 > 新聞資訊 > 行業新聞 >

行業新聞

支付卡行業PCI數據安全控製標準

作者:admin 時間:2018-07-26 11:16   
    什麽是PCI
 
    2004年,MasterCard、VISA、AmericanExpress、Discovery和JCB五個卡組織,為了更好的促進支付卡產業數據安全的發展,把數據保護的相關要求統一維護,成立PCISSC安全標準委員會。PCISSC為了建立統一的業界標準,最大程度的降低支付卡風險,標準委員會聯合製定了旨在嚴格控製數據存儲以保障支付卡用戶在線交易安全的數據安全標準,即PCI-DSS(PaymentCardIndustryDataSecurityStandard)支付卡行業數據安全標準。該標準是一組全麵的要求,旨在確保持卡人的信用卡和借記卡信息保持安全,而不管這些信息是在何處以何種方法收集、處理、傳輸和存儲。PCIDSS中的要求是針對在日常運營期間需要處理持卡人數據的公司和機構提出的。具體而言,PCIDSS對在整個營業日中處理持卡人數據的金融機構、貿易商和服務提供商提出了要求,通過管理、網絡、軟件設計等方麵來防範用戶數據泄露。
 
    PCI標準的組成
 
    PCIDSS支付卡行業數據安全標準共有6個部分,分別是建立並維護安全的網絡和係統(為數據構建安全的數據環境),保護持卡人數據(通過數據加密提高數據存儲和傳輸安全性),維護漏洞管理計劃(開發安全的軟件並監管軟件和係統的漏洞),實施強效訪問控製措施(對數據訪問進行監管),定期監控並測試網絡(跟蹤對數據的訪問,對所有安全措施進行定期測試)和維護信息安全政策(工作人員保護數據的責任)。
 
    第一部分,建立並維護安全的網絡和係統
 
    首先根據網絡圖和數據流圖,對服務、協議、端口進行記錄,參考防火牆配置要求構建防火牆和路由器,限製數據環境與網絡的連接,實施DMZ,禁止互聯網與係統組件之間的直接公共訪問,即使是在外網中使用的個人設備也應該有統一安裝個人防火牆軟件。其次,始終更改供應商提供的默認值並禁用/刪除默認賬戶,對所有係統組件製定配置標準,同時利用SSH,VPN或SSL/TLS等技術對所有非控製台訪問進行加密。
 
    第二部分,保護持卡人數據
 
    分別在數據存儲和數據傳輸兩方麵實現數據保密。首先實施數據保留和處理政策,盡量減少數據的存儲量同時使敏感數據加密不可讀,同時進行密鑰管理。在數據傳輸過程中,使用強效加密法和安全協議來保護數據。
 
    第三部分,維護漏洞管理計劃
 
    部署殺毒軟件並維護殺毒機製。不斷更新安全漏洞信息,不斷更新安全補丁,並在軟件編寫過程中注意不出現軟件漏洞,開發、測試和生產環境相互分離。
 
    第四部分,實施強效訪問控製措施
 
    分為限製對數據的訪問,對數據訪問過程中操作追蹤到用戶個人,監控物理訪問。首先隻授權訪問執行工作所需的最低限度的數據量和權限,為有訪問權限的每個人分配唯一標示符並有合理的用戶驗證管理。利用攝像頭和訪問控製機製監控對敏感區域的物理訪問,保護所有媒介的物理安全。
 
    第五部分,定期監控並測試網絡
 
    係統組件實施自動檢查記錄,定期審核日誌和安全事件。定期進行漏洞掃描,定期實施穿透測試,實施入侵檢測/入侵防禦。
 
    第六部分,維護信息安全政策
 
    工作人員應了解數據敏感性以及保護這些數據的責任。
 
    引申內容介紹
 
    DMZ是英文“demilitarizedzone”的縮寫,中文名稱為“隔離區”,也稱“非軍事化區”。它是為了解決安裝防火牆後外部網絡的訪問用戶不能訪問內部網絡服務器的問題,而設立的一個非安全係統與安全係統之間的緩衝區。該緩衝區位於企業內部網絡和外部網絡之間的小網絡區域內。在這個小網絡區域內可以放置一些必須公開的服務器設施,如企業Web服務器、FTP服務器和論壇等。另一方麵,通過這樣一個DMZ區域,更加有效地保護了內部網絡。因為這種網絡部署,比起一般的防火牆方案,對來自外網的攻擊者來說又多了一道關卡。