一、基本概念
0、概述
PCI DSS(Payment Card Industry Data Security Standard) 是 2004 年启动的一套安全标准;这些标准适用于任何接受、处理、存储或传输信用卡数据的企业。PCI DSS 由 PCI SSC(支付卡行业安全标准委员会,全球安全标准)负责管理,组成该委员会的大型信用卡公司包括Mastercard、Visa、Discover、美国运通和 JCB。
1、术语
1.1 PCI安全标准协会
2006年由美国运通、发现金融(Discover)、JCB 国际信用卡公司、万事达卡(Mastercard)国际组织与 Visa公司共同创建的开放全球论坛。
1.2 持卡人数据 CHD(Cardholder Data)
- 主账号 (PAN,Primary Account Number):一般为银行卡号,大多数信用卡账户由16位字符串组成;
- 持卡人姓名:主账户中登记的归属人的姓名或任何授权使用卡的人;
- 到期日期:卡片到期日
- 服务代码:3至4位数字的编码,用于定义服务属性、识别国际和国内的数据交换、
识别使用限制等信息。
加密存储持卡人信息
1.3 敏感身份验证信息(SAD,Sensitive Authentication Data)
- 全磁道数据(磁条数据或芯片上的等效数据):
信用卡背面磁条中存储的数据,每个磁条拥有三条磁道,分别记录了PAN、姓名、失效日、业务码、CVV、PVV等数据;
- 信用卡安全码:银行卡安全验证码,一般为3至4位,常见的安全码有CVV2(VISA)、CVC2(万事达卡)、CVN2(中国银联)、CID(美国运通卡)、CAV2(日本JCB)等;
- CVV号(Card Verification Value):CVV号是信用卡上的一种安全码,用于在不需要实体卡片的交易中验证卡片的真实性。通常是3位或者4位数字。
- PIN/PIN 数据块:信用卡交易密码
禁止存储:敏感验证信息在交易完成后禁止存储。
1.4 持卡人数据环境(CDE,Cardholder Data Environment)
存储、处理或传输持卡人数据或敏感验证数据的人员、流程或技术。
2、适用场景
PCI DSS 标准适用于接受、处理、存储或传输持卡人数据的任何企业,因此以下类型的企业必须满足该标准的要求:
- 各种规模的商家
- 金融机构
- 支付服务提供商,包括硬件和软件提供商
- 销售点 (POS) 供应商
除了金融机构和支付机构需要对系统本身加强保护,越来越多的行业都开始关注卡数据的安全。
尽管 PCI DSS 是作为支付卡数据安全标准,但目前也已经不再局限于支付卡行业,而是更广泛的被借鉴成为数据保护的信息安全标准。
二、内容框架
1、6大领域、12个安全控制项
PCI DSS包含 建立并维护安全的网络和系统、保护帐户数据、维护漏洞管理计划、实施强效访问控制措施、定期监控并测试网络、维护信息安全政策这6大领域内容,具体囊括12项 具体安全标准要求。
2、评估范围
- 业务流程
- 保护技术及其业务环境安全:持卡人数据、敏感验证身份信息、持卡人数据环境
- 人员(员工、供应商)