主机巴巴

当前位置:首页 > 国外服务器 > 什么是PCIDSS它的合规性要求是什么(pcidss不合规是什么意思)
什么是PCIDSS它的合规性要求是什么(pcidss不合规是什么意思)

什么是PCIDSS它的合规性要求是什么(pcidss不合规是什么意思)

浏览次数:
信息来源: 用户投稿
更新日期: 2025-12-01
文章简介

组织必须制定有效的第三方风险管理(TPRM)计划,以确保其供应商满足网络安全要求。否则,他们将承担因客户数据泄露而造成的财务和声誉损害的风险。PCIDSS标准涵盖了第三方风险管理的各个方面,因为它适用

2025阿里云双十一服务器活动

组织必须制定有效的第三方风险管理(TPRM)计划,以确保其供应商满足网络安全要求。否则,他们将承担因客户数据泄露而造成的财务和声誉损害的风险。PCIDSS标准涵盖了第三方风险管理的各个方面,因为它适用于所有处理信用卡数据的组织,尤其是受到严格监管的金融行业。避免巨额罚款和负面新闻头条足以鼓励PCI合规性。这些担忧往往掩盖了标准实施的实际好处,例如安全态势成熟度和更有效的TPRM实践。

支付卡行业数据安全标准(PCIDSS)是一项国际信息安全标准,旨在保护信用卡数据和敏感的身份验证数据并减少信用卡欺诈。该标准于2004年首次发布,调整了五个主要支付品牌——Visa、MasterCard、Discover、AmericanExpress和JCB的数据安全控制。自2006年五个卡品牌成立其管理机构——支付卡行业安全标准委员会(PCISSC)以来,PCIDSS经历了多次修订。

PCIDSS的最新版本是v3.2.1,于2018年5月发布。自2013年以来最重大的变化将伴随着PCIDSS4.0的预期发布,即2022年第一季度,这将解决数字化转型和不断扩大的攻击面。

任何处理信用卡或借记卡数据的组织都必须符合PCI标准。此类组织包括:

  • 第三方服务提供商

    • 最新版本的PCIDSS包含12项主要要求,分为六个更广泛的目标。

    目标1:建立和维护安全的网络和系统

    要求1.安装并维护防火墙配置以保护持卡人数据。

    要求2.不要将供应商提供的默认值用于系统密码和其他安全参数。

    要求3.保护存储的持卡人数据。

    要求4.加密跨开放公共网络的持卡人数据传输。

    要求5.保护所有系统免受恶意软件的侵害,并定期更新防病毒软件或程序。

    要求6.开发和维护安全的系统和应用程序。

    目标4:实施强大的访问控制措施

    要求7.限制业务需要知道的对持卡人数据的访问。

    要求8.识别和验证对系统组件的访问。

    要求9.限制对持卡人数据的物理访问。

    目标5:定期监控和测试网络

    要求10.跟踪和监控对网络资源和持卡人数据的所有访问。

    要求11.定期测试安全系统和流程。

    要求12.维护针对所有人员的信息安全问题的政策。

    PCI安全标准委员会要求每年对合规性进行验证。商户必须完成自我评估问卷(SAQ),如果他们处理大量交易,他们将接受合格安全评估员的现场审核。不遵守PCIDSS的组织将面临每月5,000至100,000美元不等的罚款。

    有四种不同级别的PCIDSS合规性要求,具体取决于:

  • 商家处理的信用卡交易数量,

  • 商家使用的支付处理媒介,以及

  • 商户的数据泄露状态。

    • 涵盖每年处理超过600万笔信用卡交易(包括现实世界和电子商务交易)的商家,或任何最近经历过数据泄露的商家。

    什么是PCIDSS它的合规性要求是什么,pcidss不合规是什么意思

  • 由合格的安全评估员(QSA)进行的年度审计

  • 由经批准的扫描供应商(ASV)执行的季度网络扫描

  • 每年收到合规证明(AoC)和合规报告(RoC)

    • 涵盖每年处理1到600万次信用卡交易的商家,包括现实世界和电子商务交易。

  • 每年完成一份自我评估问卷(SAQ)

  • 由经批准的扫描供应商(ASV)执行的季度网络扫描

    • 涵盖每年处理20,000至100万笔电子商务交易的商家。

  • 每年完成一份自我评估问卷(SAQ)

  • 由经批准的扫描供应商(ASV)执行的季度网络扫描

    • 涵盖每年处理少于20,000和100万笔电子商务交易或每年处理多达100万笔实际交易的商家。

  • 每年完成一份自我评估问卷(SAQ)

  • 由经批准的扫描供应商(ASV)执行的季度网络扫描

    • 第三方的PCIDSS要求是什么?

    PCI安全标准委员会的信息补充:第三方安全保证文件指出,实体可以将其信用卡业务外包给第三方服务提供商(TPSP),例如“代表实体存储、处理或传输持卡人数据,或管理实体持卡人数据环境(CDE)的组件。”

  • 加密或令牌化服务

    • 虽然理事会承认此类TPSP“……可以成为实体持卡人数据环境的组成部分……影响实体的PCIDSS合规性……[和]持卡人数据环境的安全性”,但它强调实体“最终[ly]]负责[le]自己的PCIDSS合规性,[而不是]免除……确保其持卡人数据(CHD)和CDE安全的责任和义务。”

    PCISSC在四个主要领域提供指导,以帮助实体实施符合PCIDSS标准安全要求的TPRM计划。

    进行供应商尽职调查,以确保根据其安全实践审查和选择潜在供应商?。

    2.与PCIDSS要求的服务相关性

    就TPSP将满足哪些PCIDSS要求以及实体将满足哪些要求达成相互协议,并了解实体最终对合规性负责。

    创建书面协议,明确说明TPSP和实体就PCIDSS合规性要求达成的共同协议。

    4.监控第三方服务提供商合规状态

    了解每个相关TPSP的PCIDSS合规状态,以确保实体本身保持合规。

    PCI数据安全标准包括一个简明的供应商风险管理计划,根据要求12.8进行细分,其中包含五个子要求和一个专门针对第三方服务提供商的附加要求。

    “制定并实施政策和程序,以管理共享持卡人数据或可能影响持卡人数据安全的服务提供商。”

    政策和程序应涵盖以下子要求。

    子要求12.8.1

    “维护服务提供商列表,包括对所提供服务的描述。”

    本文来源:国外服务器--什么是PCIDSS它的合规性要求是什么(pcidss不合规是什么意思)

    本文地址:https://www.idcbaba.com/guowai/2944.html

    版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 1919100645@qq.com 举报,一经查实,本站将立刻删除。

    标签:
    5种网站安全威胁以及如何预防它们(网站安全威胁有哪些方面)
    « 上一篇
    返回列表
    下一篇 »

    如本文对您有帮助,就请抽根烟吧!