什么是PCI合规？12个关键要求详解

什么是PCI合规？12个关键要求详解

PCI DSS（支付卡行业数据安全标准）是确保所有存储、处理或传输信用卡信息的公司为其客户提供安全环境的一系列要求。它于2006年9月7日首次作为官方法规推出，旨在提高信用卡交易所有阶段的账户安全性。本文将深入探讨PCI DSS的重要性、合规要求、成本、验证方法以及违规处罚。

PCI DSS的意义

支付卡行业数据安全标准（PCI DSS）是一系列要求，确保所有存储、处理或传输信用卡信息的公司为其客户提供安全的环境。虽然听起来可能很复杂，但这些规则和指南实际上非常实用，能够帮助商家和客户更安全地防范攻击者。PCI DSS于2006年9月7日首次作为官方法规推出，作为提高信用卡交易所有阶段账户安全性的措施。

PCI DSS由美国运通、Discover、JCB、Mastercard和Visa创建的一系列官员管理。这些实体负责执行法规遵循法规。

改善卡片支付系统的数据安全是PCI安全标准协会的工作，也称为SSC。他们提供标准和材料，整合工具、测量、框架和资源，以支持组织努力维护持卡人信息的安全。该委员会使用PCI DSS作为建立全面的支付卡安全流程的框架，以便检测、预防和响应安全问题。

本文将深入探讨为什么遵守PCI很重要，以及如何在您的组织中达到充分的PCI合规。它还将探讨成本、如何验证您的法规遵循，以及未遵守这些法规的处罚。

为什么遵守PCI很重要？

遵守PCI规范非常重要，因为存储和处理客户信用卡信息的企业如果不采取适当的预防措施，可能会使客户遭受欺诈攻击，银行也可能遭受重大损失。

如果您维持PCI DSS法规遵循，也可以勾选其他几个基本的监管方块。也就是说，您可以保持隐私和安全法律的合规性，例如Gramm-Leach-Bliley法案（GLBA）和一般数据保护法规（GDPR）。

根据Verizon最近的一项研究指出，86%的入侵是由于黑客正在寻求经济利益。黑客将您的数据视为潜在的收入来源，因此，通过实施PCI合规措施，迫不及待地中断访问。

您如何符合PCI？

PCI合规涉及12个不同的要求，所有这些都旨在增强安全性。如下所示：

PCI DSS法规遵循十二点检查清单：

1. 安装并维护防火墙

防火墙可以防止未知或外国发发动者访问您的网络，试图未经授权访问数据。在许多网络安全计划中，防火墙是封锁黑客的第一道防线。由于它们在防止黑客和其他人访问敏感数据方面非常有效，因此对于需要获得PCI DSS法规遵循的商户或公司而言，防火墙是必要的。

2. 启用强大的密码保护

接受信用卡付款的组织，其大多数基础设施都随附易于理解的通用密码。包括调制解调器、路由器、销售点（POS）系统和其他产品。如果企业未采取适当步骤使密码更安全，其系统可能有一个或多个人容易访问的点。

为了符合建立强式密码或其他安全访问措施的要求，组织必须维护所有需要认证的软件和设备的清单。此外，黑客也必须不容易猜到密码。

3. 保护持卡人的数据

为实现PCI DSS法规遵循，组织必须确保持卡人数据的双重保护。卡片数据必须使用特定算法加密。然后，使用加密密钥进行加密，加密密钥也会加密。然后，需要定期维护和扫描主要账号，以确保所有数据持续加密。

4. 加密传输的数据

所有持卡人数据都会通过黑客可以访问的多个通道传输。为了保护数据安全，必须加密。这样一来，即使黑客找到拦截的方法，他们也必须完成解密的繁琐任务，才能开始使用。此外，除非账号经验证为合法，否则无法发送至目的地。

5. 安装和维护防毒软件

使用防毒软件始终是个好主意，但任何存储或与主要账号互动的设备都需要使用防毒软件。为确保软件维持其可行性，应定期更新并修补。此外，如果企业无法将防毒软件直接安装在特定设备上，组织的POS供应商应使用防毒软件。

6. 更新您的软件

防毒软件和防火墙都需要定期更新。企业必须更新其执行的所有软件。在大多数情况下，软件可以执行自动更新，作为额外的保护层。对于与客户客户资料互动的设备来说，实施这些更新尤为重要。

7. 限制对数据的访问

持卡人数据仅应由绝对需要知道的人查看。任何不需要访问数据才能完成工作的人，都不应该能够看到或使用这些数据。任何取得访问权限的人都应记录其姓名和访问权限，且这些记录应保持最新状态。

8. 为具有访问权限的人员建立唯一的ID

授予持卡人数据访问权限的任何人都必须获得唯一的识别和凭证，才能获得访问权限。例如，如果有几名员工使用相同的登录凭证来访问系统或设备，组织就可能不符合法规遵循。如果每个人都有唯一的ID和凭证，就更容易找出入侵的来源。

9. 实体访问必须受限

持卡人数据应保存在安全的地方。无论是实体输入数据还是存储在硬盘或其他设备上，都需要将其存放在安全的抽屉、机柜或房间内。除了限制访问之外，组织还必须记录访问数据的时间，以维持法规遵循。

10. 建立和维护访问记录

每当有人访问持卡人的主要账号时，都应记录活动。为了保持法规遵循，您需要记录数据流以及人们需要访问的频率。

11. 扫描并执行测试以识别漏洞

为确保系统法规遵循，您必须扫描系统是否有漏洞。执行测试，确保它能够做到应有的。如果长时间没有攻击，可能很难知道系统是否正常运行，除非经过适当检查。

12. 记录您的政策

记录您的政策不仅仅涉及写下来。您还必须维护软件和设备的清单，以及与数据互动的员工清单。您必须记录信息如何流入您的组织，以及存储和使用信息的方式。

点击查看大图

符合PCI标准的成本为何？

虽然达到PCI合规的成本因您已实施的措施而异，但不合规的成本却相当庞大。不合规的成本最好通过计算安全漏洞的成本来确定。

如何验证PCI合规

您经过的验证流程取决于您使用的信用卡公司。每个公司都有自己的流程来验证法规遵循。一旦您了解要求，就可以使用两种方法进行验证：

1. 完成您自己的PCI自我评估问卷，也称为SAQ。
2. 聘用经认证的PCI质量安全评估商或QSA。

违反PCI合规的处罚

虽然未公开罚款，但可能相当陡峭。您违反法规遵循的每个月，其金额通常介于5,000美元至100,000美元之间。这对于内部部署和云端系统来说都是如此，例如Amazon Web Services（AWS）中的系统。

PCI合规常见问题

什么是PCI DSS？

PCI DSS由实用的规则和指南组成，可让卖家及其客户更安全地免受攻击者攻击。

为什么遵守PCI很重要？

符合PCI规范很重要，因为存储和处理客户信用卡信息的企业如果不采取适当的预防措施，可能会使客户遭受欺诈攻击，银行可能遭受巨额损失。