< 返回
        

          
PCI DSS合規性的12項要求是什么?

          2023-05-09 12:20
                    作者:joseph wu
                    閱讀量:1926
        

        

            





零售商和在線商店是黑客最喜歡的目標。并且有充分的理由。因為成功地破壞支付卡系統可以為他們帶來巨大的經濟利益。然而,盡管存在風險,商家仍在努力滿足支付卡安全的需求——根據2020 年 Verizon 支付安全報告,目前只有27.9%的組織能夠保持完全符合支付卡行業數據安全標準 (PCI DSS)。與此同時,卡和非接觸式支付的數量繼續增加,因為消費者的偏好穩步轉變為有利于塑料、手機錢包和網上購物。




不僅如此,零售業也正處于數字革命的陣痛之中,因為他們將應用程序從靜態本地硬件遷移到復雜、可擴展且有彈性的基于云的基礎設施。這些新的動態計算環境需要將重點從傳統的網絡安全方法轉向個人工作負載保護、API 安全和配置管理。這篇文章討論了 PCI-DSS 的合規性要求及其對現代混合云和多云環境中托管的支付卡系統的影響。讓我們開始吧。


什么是 PCI DSS?


PCI-DSS 是一種信息處理標準,它提供了一個框架來保護支付卡交易和持卡人詳細信息免受欺詐者的侵害。它指定了一組您必須采取的基準措施,以幫助最大程度地降低持卡人數據泄露的風險。該標準適用于接受或處理卡支付的任何企業或組織。因此,它主要影響零售企業和任何提供用于處理交易的軟件或硬件的公司。


它與同樣影響零售和電子商務行業的數據隱私法(例如通用數據保護條例 (GDPR))有很大不同。例如,PCI-DSS 是一個面向安全的標準。相比之下,安全只是數據保護法規的一部分,它還涵蓋隱私的各個方面,例如網站上的隱私聲明、同意將客戶詳細信息添加到郵件列表以及消費者的訪問權請求。


PCI-DSS 也是由支付卡行業安全標準委員會 (PCI SSC) 開發的,這是一個由商業支付網絡處理器組成的管理組織。但是,數據隱私法由州、國家或國際級別的政府機構管理。


合規與處罰


PCI-DSS 規定了不同的合規途徑,每條途徑對應四個不同的合規級別之一。您每年處理的交易數量決定了您自己的特定合規級別。支付卡公司可自行決定對不遵守 PCI-DSS 的行為處以罰款。此外,違反 PCI-DSS 也可能構成違反適用的隱私立法,例如 GDPR 或加州消費者隱私法 (CCPA)。以及潛在的州法律,例如明尼蘇達州的塑料卡安全法。因此,如果發生違規行為,您可能會受到多種不同的經濟處罰和制裁。


PCI DSS 合規性的 12 項要求是什么?


PCI-DSS 合規性規定了十二項技術和操作要求,如下所示。


1. 安裝和維護防火墻配置以保護持卡人數據


防火墻是您的第一道防線,它根據一組預先配置的規則防止潛在的惡意流量進入您的網絡。但是,傳統的基于邊界的防火墻已不足以保護您的云資產,因為您的用戶和內部網絡之間沒有明確的界限。要克服這個問題,您需要一個云防火墻。它的工作方式與傳統防火墻非常相似,但專門針對云的分布式特性進行了調整,其中應用程序被分解為分散在網絡環境中的離散組件。


2. 不要使用供應商提供的默認系統密碼和其他安全參數


路由器、POS 系統和相關組件的供應商為其設備提供默認用戶名、密碼和配置,以盡可能快速和輕松地進行安裝和設置。這使得網絡犯罪分子很容易成為目標。


這些出廠設置很容易被欺詐者利用,他們利用它們來訪問內部網絡并竊取持卡人數據。因此,僅使用您自己獨特的登錄憑據和配置來幫助防止黑客入侵。還要注意使用其他默認配置,例如訪問權限。CloudSecOps 團隊需要確保他們的應用程序和云工作負載不過分寬松,并且只提供對敏感資源的必要訪問級別以減少攻擊面。


3. 保護存儲的持卡人數據


保護持卡人信息的最佳方式就是避免將其完全存儲。但是,如果您出于商業或法律目的需要它,那么您應該采取措施使其不可讀。實現此目的的最常見和最實用的方法是加密您的數據。為符合 PCI-DSS,任何此類加密都必須使用行業標準AES-256 算法。但請記住,您的數據是否安全取決于您用來加密它的密鑰。因此,您還需要使用有效的密鑰管理系統來保護您的加密密鑰。此外,清楚了解您首先存儲的持卡人數據也很重要——通常是通過使用數據發現工具和數據資產清單。


4. 持卡人數據在開放、公共網絡中的加密傳輸


確保正確配置每個云和本地環境以使用傳輸層安全性 (TLS)加密持卡人數據,其中數據在支付卡生態系統的不同部分之間通過 Internet 移動。考慮為公有云和混合云投資全面的云網絡安全解決方案。另請記住,通過移動設備支付的風險尤其大。因此,請確保每個無線網絡都使用強密碼和最新可用的Wi-Fi 安全協議。


5. 使用并定期更新防病毒軟件或程序


您的防病毒 (AV) 軟件應該能夠保護托管您的支付卡系統的所有環境——跨您的混合云或多云基礎設施。但了解 AV 軟件的局限性也很重要。新的和更復雜的威脅類型已經演變為針對基于云的部署。因此,您現在需要更廣泛的安全方法來保護持卡人的詳細信息,例如云安全狀態管理 (CSPM)和云工作負載保護。


6. 開發和維護安全系統和應用程序


要求 6 的目的是確保您將安全性構建到應用程序開發和生命周期過程中。這包括通過培訓、指南和核對表以及對任何內部或自定義應用程序代碼的定期審查來支持安全編碼實踐。它還涵蓋補丁管理,其中 PCI-DSS 規定您必須在發布后的一個月內為第三方軟件安裝關鍵補丁以保持合規性。


7. 根據業務需要限制對持卡人數據的訪問


您應該將可以訪問持卡人詳細信息的人數限制在最低限度,只允許有合法業務需要的人這樣做。最實用的方法是實施基于角色的訪問控制 (RBAC)系統,該系統應根據最小權限原則授予對敏感資源(如持卡人數據)的訪問權限。


8. 為每個可以訪問計算機的人分配一個唯一的 ID


您系統的每個授權用戶都應該有一個唯一的 ID 和密碼。這可確保您隨時了解訪問持卡人數據的任何人的身份。另請記住,PCI-DSS 現在僅允許那些具有管理權限的用戶使用雙因素身份驗證 (2FA)進行遠程訪問。


9. 限制對持卡人數據的物理訪問


當您在公共云中托管應用程序時,您將服務器的物理安全責任卸載給了云服務提供商。但是,您仍然有責任確保端點設備的物理安全。因此,您應該采取措施,通過視頻監控、安全政策和程序、員工培訓、基于時間的鎖定控制以及確保屏幕遠離公眾視線等措施,幫助防止未經授權訪問支付設備和工作站。


10. 跟蹤和監控對網絡資源和持卡人數據的所有訪問


記錄和監控對支付卡系統的訪問將幫助您發現可疑活動的早期跡象,并在出現問題時為您提供警報和見解。這一領域的需求已經從單純的可見性發展到可觀察性,不僅要保持對所有卡處理組件的可見性,還要快速識別和修復任何問題。為實現這一目標,您可能需要尋找新一代監控工具,以提供跨混合云和多云基礎架構的集中可見性。


11. 定期測試安全系統和流程


為了補充其他安全措施,例如 AV 掃描和補丁管理,您應該定期檢查您的支付卡系統是否足夠強大以抵御潛在威脅。這將涉及自動化工具,例如漏洞掃描和手動方法,例如滲透測試。其他測試程序應包括定期檢查讀卡器是否存在竊取軟件和流程,以識別未經授權的無線接入點。必要時,您應采取相應的補救措施。


12. 維護解決員工和承包商信息安全的政策


記錄完備且溝通良好的信息安全政策將有助于提高員工對持卡人數據風險及其保護責任的認識。相關政策和程序也應納入員工手冊、第三方供應商協議、風險評估和事件響應計劃。


超越 PCI-DSS 合規性


PCI-DSS 合規性對于任何接受卡支付的組織來說都是必要的。但是,雖然它表明您已滿足處理持卡人數據的基本要求,但并不一定能保證得到全面保護。


此外,數字化轉型和云遷移已經改變了安全目標。因此,您需要超越打勾練習和傳統的安全方法。這就需要新的解決方案來適應混合云和多云部署的復雜性和動態性。


例如,您應該考慮使用云工作負載保護平臺 (CWPP),它可以保護單個應用程序以及支持它們的流程和資源。您應該使用云安全態勢管理 (CSPM)解決方案對此進行補充,該解決方案可以通過根據最佳實踐和合規性要求持續監控和基準測試配置來識別安全風險。


您還應該通過提供云網絡安全功能的解決方案保護持卡人免受當今新的和日益復雜的威脅。最重要的是,您應該尋找能夠提供持續保護的工具,而不是簡單地實現每年一次的合規性——從單一管理平臺統一查看支付卡系統的所有組件。


            
        

        
        
      

    

        

      




    


 

 

  聯系我們
  

    


    
  

  



  返回頂部
  
 
    






  


主站蜘蛛池模板:
国内自拍视频一区二区三区
|
一区二区三区在线|日本|
熟女精品视频一区二区三区|
中文字幕人妻第一区|
青娱乐国产官网极品一区|
色老头在线一区二区三区|
国产成人av一区二区三区在线
|
AV天堂午夜精品一区二区三区|
中日av乱码一区二区三区乱码|
精品人妻系列无码一区二区三区
|
国产成人高清视频一区二区|
蜜臀AV免费一区二区三区|
色狠狠一区二区三区香蕉蜜桃|
亚洲AV噜噜一区二区三区|
国产色情一区二区三区在线播放|
国产一区二区福利|
国产免费一区二区三区VR|
久久精品免费一区二区|
中文字幕VA一区二区三区|
美女AV一区二区三区|
鲁丝丝国产一区二区|
亚洲av无码一区二区三区天堂|
天堂资源中文最新版在线一区|
中文乱码精品一区二区三区|
国产亚洲福利一区二区免费看|
亚欧免费视频一区二区三区|
亚洲国产一区在线观看|
日本视频一区在线观看免费|
日韩人妻精品一区二区三区视频|
久久精品国产亚洲一区二区三区|
精品女同一区二区三区在线|
波多野结衣AV一区二区三区中文|
中文乱码人妻系列一区二区|
麻豆一区二区免费播放网站|
亚洲国产成人精品无码一区二区|
亚洲天堂一区二区三区|
亚洲av日韩综合一区久热|
国产三级一区二区三区|
国产精品小黄鸭一区二区三区
|
一区在线免费观看|
国产成人高清精品一区二区三区|