什么是 PCI DSS？ 概述、要求和优势

PCI DSS 的制定是为了鼓励和加强支付账户数据安全，并促进全球广泛采用一致的数据安全。 PCI DSS 提供了技术和操作要求的基本要求，旨在保护支付账户数据并保护消费者和企业免受金融欺诈和声誉损害。

PCI DSS 的主要目的之一是保护持卡人数据未授权访问和潜在的滥用。 其中包括主账号、持卡人姓名、有效期和其他敏感信息。 该标准还旨在最大限度地降低数据泄露的风险，数据泄露可能会导致未授权访问或支付卡信息被盗。 通过实施 PCI DSS 控制，组织还可以帮助防止和检测与支付卡交易相关的欺诈活动。

值得注意的是，PCI DSS 要求会随着时间的推移而发展，以应对新的安全威胁、技术进步和监管环境的变化。 在PCI 安全标准委员会网站上查找最新要求。

PCI DSS 合规性要求组织解决一系列潜在漏洞以确保持卡人数据的安全。 以下是组织必须解决以保持 PCI DSS 合规性的四个常见漏洞领域。

• 销售点 (POS) 系统： POS 系统在交易过程中处理敏感的支付卡数据，容易受到各种漏洞的影响，从而导致数据泄露和未授权访问。 许多 POS 系统运行在过时的硬件和软件上，这些硬件和软件可能没有定期收到安全更新，从而暴露出攻击者可以利用的漏洞。 POS 系统上的弱或默认用户名和密码也可能被攻击者利用。 此外，POS 系统还经常涉及第三方集成。 如果这些第三方供应商的安全措施薄弱或者供应链存在漏洞，则可能会给整个系统带来风险。
• 不安全的无线网络： 这些可以为攻击者提供一个潜在的切入点来窃取敏感的持卡人数据，因为未经授权的个人可以轻松访问不安全的无线网络，以连接到 POS 系统和其他处理支付卡信息的设备。 此外，无线通讯可能缺乏加密，导致传输的数据被拦截和窃听。
• 访问控制和身份验证薄弱： 当访问控制不够健全时，未经授权的个人可能会进入敏感资源，从而增加数据泄露、未经授权的活动和其他安全事件的风险。 例如，依赖没有复杂性要求的简单密码或无法有效验证用户身份的管理不善的用户帐户，可能会导致未经授权的查看、修改或泄露敏感支付信息。 PCI DSS 还强调使用多因素身份验证 (MFA) 来增强访问控制的安全性。 根据最小特权原则，应赋予用户和系统执行其任务所需的最低级别的访问或权限。 访问权限应根据特定的工作角色、职责和功能进行量身定制。
• 加密、标记化和数据存储不足： 如果未能实施强大的加密、标记化和安全的数据存储措施，则可能导致不符合 PCI DSS 标准，并增加数据泄露和敏感支付卡信息泄露的风险。 端到端加密可确保敏感的支付信息在入口点（POS）加密，并在通过各种系统和网络的整个过程中保持加密，直到到达目的地，收件人使用正确的密钥解密数据。 或者，可以对支付信息进行标记化，这一过程涉及用称为标记的非敏感占位符值替换敏感数据（例如信用卡号）。 当发生支付交易时，实际的持卡人数据将被替换为唯一的令牌，该令牌没有内在价值，对于无法访问令牌化系统的攻击者来说毫无用处。 加密和标记化都有助于防止恶意行为者的窃听或拦截，并维护持卡人数据的机密性。

PCI DSS 规定了旨在保护支付账户数据的技术和操作要求的基准。 这些要求在以下六项 PCI DSS 原则中详细说明。

1. 建立并维护安全的网络和系统

保护持卡人数据首先要建立安全的网络基础设施。 这包括使用防火墙来控制和监控网络之间的流量并限制未授权访问。 微分段是另一种推荐的安全策略，它将网络划分为小而不同的部分，通过控制网络内和应用或工作负载级别的“东西”横向流量来减少潜在的攻击面，从而提高安全性。 建立漏洞管理最佳实践对于确保系统得到修补和更新也至关重要。

2. 保护持卡人数据

该原则重点关注持卡人数据在传输和存储过程中的加密和保护，以防止未授权访问敏感信息。 该要求规定使用强加密技术来保护持卡人数据在公共网络上传输时的安全，并制定数据保留策略，以避免在授权后存储敏感的认证数据。 数据保护政策还要求屏蔽或截断主帐号 (PAN)，以最大限度地降低未授权访问和泄露敏感持卡人信息的风险。 根据 PCI DSS 要求，PAN 的前六位数字和后四位数字是 PAN 可见时显示的最大位数。

3. 维护漏洞管理计划

维护安全的环境需要定期识别和解决漏洞。 这包括定期进行漏洞扫描，提醒公司注意其代码中预先存在的缺陷，以及进行渗透测试，以确定是否存在未授权访问或其他恶意活动。 模拟现实世界的攻击来测试现有安全措施的有效性。 及时解决通过扫描或测试发现的任何弱点对于防止系统和其中可能保存的持卡人数据受到损害至关重要。 此外，组织还需要制定和执行安全编码指南，例如OWASP等组织所概述的指南，以防止在软件开发生命周期中引入漏洞。

4. 实施强有力的访问控制措施

限制对系统组件和持卡人数据的访问有助于防止未经授权的个人或系统进入。 PCI DSS 规定根据业务需要限制访问，通常称为最小特权原则，该原则主张用户或系统只能访问完成所需任务所需的特定数据、资源和应用。 类似地，基于角色的访问控制 (RBAC) 根据组织内的角色限制授权用户的系统访问。 这些政策要求经常审查和更新访问控制以反映人员和角色的变化。 他们还呼吁实施 MFA 来访问系统和持卡人数据，并改进密码策略和最佳实践。

5. 定期监控和测试网络

持续的监控和测试对于及时发现和应对安全事件至关重要。 这涉及实施日志记录机制、进行定期安全测试以及持续审查网络活动。 网络监控工具还包括入侵检测系统 (IDS) 和入侵防御系统 (IPS)，它们分析和评估网络流量的完整性以识别攻击模式、异常活动和未经授权的使用。 组织还必须制定事件响应计划和应急程序，并确保定期测试这些流程。

6. 维护信息安全政策

PCI DSS 还要求组织建立并维护全面的安全策略，该策略为保护持卡人数据和指导组织内的安全实践设定框架。 该政策必须记录在案，定期审查和更新，以反映技术和业务流程的变化。 组织还必须确保员工了解安全政策和程序并接受相关培训。

遵守以下 12 项 PCI DSS 要求对于组织建立强大的安全态势、保护持卡人数据和最大限度地降低数据泄露风险至关重要。

1. 安装和维护网络安全控制。 网络安全控制 (NSC)，例如防火墙和其他网络安全技术，是网络策略实施点，通常控制两个或多个逻辑或物理网络段（或子网）之间的网络流量。 NSC 充当安全内部网络和外部网络之间的屏障，并根据预定的安全规则或策略控制传入和传出流量，以帮助防止未授权访问持卡人数据。
2. 对所有系统组件应用安全配置。 更改默认配置可确保系统从一开始就得到安全配置，从而降低未授权访问的风险，因为默认密码和设置对攻击者来说是众所周知的。 请勿使用供应商提供的系统密码和其他安全参数的默认设置。
3. 保护存储的持卡人数据。 组织必须对存储的持卡人数据进行加密，以防止发生违规行为导致未授权访问，如果没有正确的解密密钥，则无法读取被盗数据。
4. 在开放的公共网络上传输持卡人数据时，使用强加密技术保护持卡人数据。 这可以防止数据传输过程中的窃听和未授权访问。
5. 保护所有系统和网络免受恶意软件的侵害。 定期更新防病毒软件和使用反恶意软件工具有助于预防、检测和删除恶意软件，降低受到攻击的风险。
6. 开发和维护安全的系统和软件。 通过强调安全编码实践和系统与应用的持续维护的重要性，在开发应用时要考虑到安全性。 定期更新和修补软件，以帮助解决可能被攻击者利用的漏洞。
7. 根据业务需要限制对系统组件和持卡人数据的访问。 访问控制将持卡人数据的访问权限限制为仅供工作需要的个人使用。 这降低了未授权访问的风险并帮助组织遵守最小特权原则。
8. 识别用户并验证对系统组件的访问。 分配唯一的 ID 和强密码来验证用户。 这有助于确保只有授权个人才能访问持卡人数据。 多因素身份验证可以增加额外的安全层。
9. 限制对持卡人数据的物理访问。 物理访问控制（例如进入限制和监视）有助于防止未经授权的个人物理访问存储持卡人数据的系统。
10. 记录并监控对系统组件和持卡人数据的所有访问。 日志文件、入侵检测/预防系统和其他跟踪工具有助于有效的持续监控，使组织能够及时检测和应对可疑活动。
11. 定期测试系统和网络的安全性。 主动测试，包括漏洞评估和渗透测试，有助于在攻击者利用安全漏洞之前识别和解决安全漏洞。
12. 通过组织政策和计划支持信息安全。 实施全面的安全政策以确保持续合规，制定保护持卡人数据的规则和指南，并确保所有人员都了解、接受培训并遵守此政策。

PCI 合规级别根据 12 个月内的信用卡、借记卡和预付卡交易总额分为四个级别。 组织必须准确确定其交易量并遵守相应级别的要求，以确保并保持 PCI DSS 合规性。 保持适当的合规水平对于确保电子商务交易的安全、维护持卡人数据的安全环境以及防止潜在的违规行为至关重要。

第一级： 每年交易量超过 600 万笔的企业

PCI 合规级别 1 是最高且最严格的 PCI DSS 级别，旨在确保存储、传输或处理信用卡数据的企业获得最高级别的安全。 此外，任何规模的商家和服务提供商如果遭遇违规或网络攻击，导致信用卡或持卡人数据遭到泄露，都必须满足 PCI 1 级要求。 PCI 1 级验证要求由合格的安全评估员 (QSA) 或内部安全评估员提供年度合规性报告 (ROC)，并且通常还要求进行渗透测试，即模拟现实世界中对计算机系统和应用的网络攻击以识别漏洞。 PCI 1 级验证还要求由经批准的扫描供应商 (ASV) 每季度进行一次网络扫描。

第 2 级： 每年交易量达 100 万至 600 万的企业

PCI DSS 2 级商家必须每年使用自我评估问卷 (SAQ) 进行一次合规性评估，并由 ASV 每季度进行一次网络扫描。他们还必须填写合规性证明 (AOC) 表。 与 1 级一样，一些 2 级商家可能需要进行渗透测试。 除非 2 级商家遭遇数据泄露或网络攻击，导致信用卡或持卡人数据受损，否则无需进行现场 PCI DSS 审核。

第 3 级： 每年电子商务交易量达 2 万至 100 万笔的企业

PCI DSS 3 级商家必须填写相应的年度 SAQ 并由 ASV 执行季度网络扫描。商家还必须填写并提交 AOC 表格。

第 4 级： 每年电子商务交易量少于 20,000 笔或其他交易量不超过 100 万笔的企业

PCI 4 级商家必须完成相应的年度 SAQ，并且可能需要每季度进行一次 ASV 外部网络安全扫描。 商家还必须填写并提交 AOC 表格。 并非所有卡提供商都拥有 4 级称号。

遵守 12 项 PCI DSS 要求对于加强数据安全和促进整体合规性至关重要。 这些要求共同构建了一个保护持卡人数据和防止安全漏洞的综合框架。

PCI DSS 合规性表明了企业致力于保护敏感的持卡人数据，向客户保证他们的信用卡详细信息将按照最高安全标准处理，并增强了企业保护其个人信息能力的信心。 此外，遵守 PCI DSS 的企业能够更好地抵御与数据安全不足相关的法律诉讼和监管处罚。

随着技术和安全形势的发展，保持 PCI DSS 合规性还可带来其他长期优势。 遵守 PCI DSS 要求意味着组织保持警惕并能更好地防止先进和复杂的攻击，并能更快地适应不断演变的网络威胁。 PCI DSS 的遵守还在组织内培育了一种以安全为中心的文化，这种文化超越了合规性，鼓励持续努力加强数据安全实践。

作为 PCI DSS 如何帮助建立（和重建）客户信任的一个例子，2012 年，大型支付处理公司 Global Payments经历了一次数据泄露，导致敏感的支付卡信息被未授权访问。 此次泄密事件影响了大约 150 万张信用卡和借记卡，引发了人们对支付交易安全性的担忧。 Global Payments 立即采取行动遏制违规行为，并展开调查以确定违规程度。 执法机构，包括美国 特勤局人员参与了调查。

为了应对此次违规行为，Global Payments 承诺加强其安全基础设施并实施额外措施，以防止将来发生类似事件。 该公司还承诺优先实现并保持对 PCI DSS 要求的遵守，这有助于向客户和利益相关者保证 Global Payments 正在采取切实措施保护支付数据的安全。

通过主动解决安全漏洞、投资增强安全措施以及实现 PCI DSS 合规性，Global Payments 展示了重建信任的决心。 该公司对透明度、安全投资和实现 PCI DSS 合规性的承诺在恢复客户信心和重建其在支付处理行业的声誉方面发挥了关键作用。

需求的复杂性

执行 12 项 PCI DSS 要求会给组织带来多重挑战，因为实施和维护 PCI DSS 合规性需要充足的人员和技术资源。 各种规模的组织都可能难以准确定义和限制其实施范围，但对于预算和专业知识有限的小型企业或必须更新以满足当前 PCI DSS 标准的旧系统的企业来说，这尤其具有挑战性。 企业通常依赖第三方供应商来实施各种要素，但确保这些供应商遵守 PCI DSS 要求并确保供应链安全也是一项重大责任。

持续维护

保持对 PCI DSS 的遵守是一个持续的过程，需要定期监控、测试和评估。 这要求组织保持警惕并定期更新其安全措施和补丁管理政策。 保持合规性还涉及持续致力于定期测试安全系统和流程，包括进行彻底的渗透测试和漏洞评估，这可能需要大量资源，可能带来后勤挑战，并且随着时间的推移会造成资源紧张。

成本影响

网络安全形势不断发展，新的复杂威胁不断涌现。 PCI DSS 合规性要求公司持续监控和分析威胁形势，以了解并防范这些风险。 识别和缓解零日漏洞对于维护 PCI DSS 合规性也提出了重大挑战，因为这些漏洞是威胁行为者在供应商有机会发布补丁之前利用的未知安全漏洞。 持续改进和致力于了解最新的安全趋势是成功应对新兴威胁挑战的关键，同时确保 PCI DSS 合规性适应网络威胁的动态性质。

不断演变的威胁形势

网络安全形势不断发展，新的复杂威胁不断涌现。 PCI DSS 合规性要求公司持续监控和分析威胁形势，以了解并防范这些风险。 识别和缓解零日漏洞对于维护 PCI DSS 合规性也提出了重大挑战，因为这些漏洞是威胁行为者在供应商有机会发布补丁之前利用的未知安全漏洞。 持续改进和致力于了解最新的安全趋势是成功应对新兴威胁挑战的关键，同时确保 PCI DSS 合规性适应网络威胁的动态性质。

访问PCI 安全标准委员会网站，了解有关 PCI DSS 合规性要求、培训和资格信息以及联系 PCI 合格专业人员的最新信息。 该网站还提供丰富的资源库，其中包括常见问题解答、词汇表和方便的PCI DSS 快速参考指南。

PCI DSS 合规性对于处理信用卡交易的组织来说至关重要，因为它的要求有助于确保持卡人数据的安全、交易网络的保护以及安全系统的强制监控和测试。 F5 提供一套应用安全产品、服务和解决方案，帮助您的组织实现并保持 PCI DSS 合规性。 此外， F5 分布式云服务作为一级服务提供商符合PCI DSS 标准。

F5 还通过F5 实验室的研究、分析、博客和报告为应用安全和保护策略和见解提供思想领导力。