支付卡行业数据安全标准 (PCI DSS)
F5 分布式云服务符合 PCI-DSS 标准,是 1 级服务提供商
支付卡行业数据安全标准 (PCI DSS) 鼓励和加强支付卡账户数据安全,并促进全球更广泛地采用一致的数据安全。 PCI DSS 提供了旨在保护帐户数据的技术和操作要求的基础。 PCI DSS 专门针对具有支付卡账户数据的环境而设计,但也可用于防范威胁并保护支付生态系统中的其他元素。
PCI DSS 适用于存储、处理或传输持卡人数据 (CHD) 和/或敏感身份认证数据(SAD) 或可能影响持卡人数据环境 (CDE) 安全的所有实体。 这包括参与支付卡账户处理的所有实体——包括商家、处理商、收单机构、发行商和其他服务提供商。
遵守 PCI DSS 还可确保企业在处理、存储和传输信用卡数据时遵循行业最佳实践。 反过来,PCI DSS 合规性可以培养客户和利益相关者之间的信任。
PCI DSS 包含一组保护帐户数据的最低要求,并且可以通过额外的控制和实践来增强,以进一步降低风险。 下表列出了 PCI DSS 的概要要求,F5 有资格成为 1 级服务提供商,虽然它不处理、存储或传输 CHD/SAD;但它可能会影响我们客户的持卡人数据环境 (CDE) 的安全性。
适用产品: F5 分布式云、Bot Defense 和 Silverline
| PCI DSS 安全标准 - 高级概述 |
|
|
|||
|---|---|---|---|---|---|
| 建立并维护安全的网络和系统 | 1. 安装和维护网络安全控制 2. 将安全配置应用于所有系统组件。 |
||||
保护帐户数据 |
3. 保护存储的帐户数据。 4. 在开放的公共网络上传输持卡人数据时,使用强加密技术保护持卡人数据。 |
||||
| 维护漏洞管理计划 | 5. 保护所有系统和网络免受恶意软件的侵害。 6. 开发和维护安全系统和软件。 |
||||
| 实施强有力的访问控制措施 | 7. 根据业务需要限制对系统组件和持卡人数据的访问。 8. 识别用户并验证对系统组件的访问。 9. 限制对持卡人数据的物理访问。 |
||||
| 定期监控和测试网络 | 10. 记录并监控对系统组件和持卡人数据的所有访问。 11. 定期测试系统和网络的安全性。 |
||||
| 维护信息安全政策 | 12. 通过组织政策和计划支持信息安全。
|
||||
来源: 支付卡行业数据安全标准: 要求和测试程序,v4.0
常问问题
F5 为其客户处理哪些个人数据?
对于许多服务,F5 充当提供服务所需的个人数据的“处理者”(而非控制者)。 F5 处理的个人数据的详细信息列于每项服务的隐私声明中。 在https://www.f5.com/company/policies/privacy-notice上,您可以找到有关 F5隐私声明介绍的所有特定于服务的隐私声明链接。
F5 针对个人数据提供哪些具体的安全措施?
F5 及其服务优先保护个人数据并坚持最高的数据隐私标准。 保护 F5 收集的个人数据的技术和组织控制列在特定服务合同(例如,适用于我们最终用户服务协议下提供的服务的特定服务条款)和 F5 的 SOC2 Type II 报告中。 F5 全球支持已通过 ISO 27001 认证,F5 分布式云服务也已通过 ISO 27001 认证,同时还通过了 ISO 27017 和 ISO 27018 的扩展认证。 作为 F5 分布式云服务的一级服务提供商,F5 还符合 PCI-DSS 标准。 额外的安全认证适用于特定的 F5 服务和 F5 硬件。 有关数据安全实践的更多详细信息,请访问https://www.f5.com/company/policies/privacy-notice 。
