支付卡行业数据安全标准 (PCI DSS) 是一组安全要求,旨在在整个生命周期中保护持卡人数据(持卡人的主要账号 (PAN)、姓名、到期日期、服务代码)以及其他敏感的持卡人信息。
PCI DSS 适用于存储、处理或传输持卡人数据的任何商家、服务提供商或其他组织,以及连接到存储、处理或传输持卡人数据的系统的任何组织。(这些系统被称为持卡人数据环境或 CDE。)PCI DSS 概述了组织为保护持卡人数据而应实施的详细安全控制、流程和测试。这些安全措施涵盖持卡人数据环境的广泛功能领域,包括电子商务交易、销售点系统、无线热点、移动设备、云计算和纸质存储系统。
PCI DSS 合规性要求商户和服务提供商每年进行报告,并在 CDE 发生重大变化后进行额外报告。验证合规性还涉及对组织安全状况的持续评估以及持续的补救措施,以应对安全策略、技术或程序中的任何漏洞。
可由合格安全评估员 (QSA) 对组织和服务提供商进行评估,并在成功完成评估后发布合规性证明 (AOC)。
第一版 PCI DSS 由支付卡品牌 American Express、Discover、JCB International、MasterCard 和 Visa 于 2004 年发布,它们共同成立了支付卡行业安全标准委员会 (PCI SSC) 来管理该标准的技术要求。2020 年,PCI SSC 增加了银联银行卡协会。PCI DSS 会定期更新以应对支付卡数据面临的最新网络安全威胁,例如身份盗用、欺诈和数据泄露。
深入了解 PCI DSS 合规性在 IBM Cloud 上的作用方式。
IBM 是 PCI DSS 的 1 级服务提供商,客户可以使用 IBM Cloud 构建符合 PCI-DSS 标准的环境和应用程序。
许多 IBM Cloud 平台服务都有由合格安全评估员 (QSA) 发布的 PCI DSS 合规证明 (AOC)。
请联系 IBM 为下列任何服务申请 PCI DSS AOC
最新版本的 PCI DSS (v4.0) 于 2022 年 3 月发布。组织必须在 2025 年 3 月 31 日之前实施这 12 项要求以实现合规性。
IBM Cloud 提供以下服务套件,可帮助您满足特定的 PCI DSS 要求并加速您的合规之旅。
1. 安装和维护网络安全控制措施 |
---|
IBM® Cloud Internet Services (CIS)
IBM Cloud Internet Services 在您的外部 Web 内容和互联网应用程序到达云之前为其提供市场领先的安全性和性能。
IBM Cloud Direct Link
IBM® Cloud Direct Link 的速度和可靠性有助于扩展组织的数据中心网络而无需接触公共互联网。
IBM Cloud 网关设备
网关设备可以增强对网络流量的控制、提高网络性能、加强网络安全性。
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway 有助于连接和管理 IBM Cloud Virtual Private Cloud (VPC) 网络。
FortiGate Security Appliance
在您的环境中部署一对 FortiGate Virtual Appliances,可以通过在虚拟基础架构中实施关键的安全控制来帮助您降低风险。
硬件防火墙
一个重要的安全层,可按需配置,不会中断服务。
2. 将安全配置应用于所有系统组件 |
---|
FortiGate Security Appliance
在您的环境中部署一对 FortiGate Virtual Appliances,可以通过在虚拟基础架构中实施关键的安全控制来帮助您降低风险。
硬件防火墙
一个重要的安全层,可按需配置,不会中断服务。
IBM Security and Compliance Center
集成的解决方案套件可将策略定义为代码,实施安全数据控制和工作负载部署,并评估安全和合规状况。
IBM® Security and Compliance Center - 工作负载保护
查找软件漏洞并确定其优先级,检测和响应威胁,并管理从源到运行的配置、权限和合规性。
IBM QRadar Suite
IBM® Security QRadar 套件是一个现代化的威胁检测和响应解决方案,旨在统一整合安全分析师体验,提高他们在整个事件生命周期中的响应速度。
3. 保护存储的持卡人数据 |
---|
IBM Key Protect for IBM Cloud
IBM Key Protect for IBM Cloud 服务支持在 IBM Cloud 服务中为应用程序供应和存储加密密钥,便于从一个中心位置查看和管理数据加密以及整个密钥生命周期。
IBM Security and Compliance Center - Data Security Broker - Manager
这是 Security and Compliance Center 套件中的安全解决方案,它提供集中式加密策略和跨不同数据源的数据审计。
IBM Cloud Hyper Protect Virtual Servers
完全托管的机密计算容器运行时,支持在具有技术保障的高度隔离的环境中部署敏感的容器化工作负载。
IBM Cloud Hardware Security Module
通过在防篡改硬件设备中更安全地管理、处理和存储加密密钥来保护加密基础设施。
IBM Security Guardium
IBM Security 产品组合中的数据安全软件可发现漏洞并保护敏感的本地部署和云数据。
IBM Cloud 存储服务
可扩展、高度安全且经济高效的数据存储位置,同时支持传统和云原生工作负载。配置和部署访问对象、块和文件存储等服务。
IBM Cloud Database 服务
将开发人员和 IT 人员从复杂而耗时的任务中解放出来,包括基础设施和数据库软件的部署和更新、基础设施运行和备份。
4. 在通过开放式公共网络传输时使用强大的加密技术保护持卡人数据 |
---|
IBM Cloud Direct Link
IBM® Cloud Direct Link 的速度和可靠性有助于扩展组织的数据中心网络而无需接触公共互联网。
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway 有助于连接和管理 IBM Cloud Virtual Private Cloud (VPC) 网络。
IBM Key Protect for IBM Cloud
IBM Key Protect for IBM Cloud 服务支持在 IBM Cloud 服务中为应用程序供应和存储加密密钥,便于从一个中心位置查看和管理数据加密以及整个密钥生命周期。
5. 保护所有系统和网络免受恶意软件的侵害 |
---|
IBM® Cloud Internet Services (CIS)
IBM Cloud Internet Services 在您的外部 Web 内容和互联网应用程序到达云之前为其提供市场领先的安全性和性能。
IBM Cloud Direct Link
IBM® Cloud Direct Link 的速度和可靠性有助于扩展组织的数据中心网络而无需接触公共互联网。
FortiGate Security Appliance
在您的环境中部署一对 FortiGate Virtual Appliances,可以通过在虚拟基础架构中实施关键的安全控制来帮助您降低风险。
IBM QRadar Suite
IBM® Security QRadar 套件是一个现代化的威胁检测和响应解决方案,旨在统一整合安全分析师体验,提高他们在整个事件生命周期中的响应速度。
IBM Security Guardium
IBM Security 产品组合中的数据安全软件可发现漏洞并保护敏感的本地部署和云数据。
6. 开发和维护安全系统和软件 |
---|
IBM® Cloud Internet Services (CIS)
IBM Cloud Internet Services 在您的外部 Web 内容和互联网应用程序到达云之前为其提供市场领先的安全性和性能。
IBM® Security and Compliance Center - 工作负载保护
查找软件漏洞并确定其优先级,检测和响应威胁,并管理从源到运行的配置、权限和合规性。
IBM Security Guardium
IBM Security 产品组合中的数据安全软件可发现漏洞并保护敏感的本地部署和云数据。
IBM Cloud Container Registry
在完全托管的私有注册表中,存储和分发容器映像。推送私有映像,以便于在 IBM Cloud Kubernetes Service 和其他运行时环境中运行这些映像。
IBM Cloud Continuous Delivery
采用企业就绪的 DevOps。创建支持您的应用程序交付任务的安全工具链。自动执行构建、测试、部署等操作。
IBM Cloud Kubernetes Service
在原生 Kubernetes 体验中部署安全且高度可用的集群。
7. 根据业务需要限制对系统组件和持卡人数据的访问 |
---|
IBM Cloud App ID
轻松为 Web 和移动应用程序添加身份验证。利用多因素身份验证和单点登录等高级安全功能来增强应用程序的功能。
IBM® Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Management 服务可安全地对用户进行身份验证,并一致地控制对 IBM® Cloud Platform 中所有资源的访问。
8. 识别用户并验证对系统组件的访问权限 |
---|
IBM Cloud App ID
轻松为 Web 和移动应用程序添加身份验证。利用多因素身份验证和单点登录等高级安全功能来增强应用程序的功能。
IBM Cloud Secrets Manager
动态创建机密并将其租用给应用程序,同时您可以从单一位置控制访问。基于开源 HashiCorp Vault 构建。
IBM® Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Management 服务可安全地对用户进行身份验证,并一致地控制对 IBM® Cloud Platform 中所有资源的访问。
9. 限制对持卡人数据的物理访问 |
---|
IBM Cloud 采用多种措施来提高物理安全性:
10. 记录并监控对系统组件和持卡人数据的所有访问 |
---|
IBM Cloud Flow Logs for VPC
收集、存储和展示虚拟专用云 (VPC) 内进出网络接口的互联网协议 (IP) 流量信息。
IBM QRadar Suite
IBM® Security QRadar 套件是一个现代化的威胁检测和响应解决方案,旨在统一整合安全分析师体验,提高他们在整个事件生命周期中的响应速度。
IBM® Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Management 服务可安全地对用户进行身份验证,并一致地控制对 IBM® Cloud Platform 中所有资源的访问。
IBM Security Guardium
IBM Security 产品组合中的数据安全软件可发现漏洞并保护敏感的本地部署和云数据。
IBM Cloud Logs
利用 IBM® Cloud Logs 获得日志可观察性,从而协助改善基础设施和应用程序性能。
IBM Cloud Monitoring
基础架构、云服务和应用程序的云监控和故障排除。
11. 定期测试系统和网络的安全性 |
---|
IBM Security and Compliance Center
集成的解决方案套件可将策略定义为代码,实施安全数据控制和工作负载部署,并评估安全和合规状况。
IBM® Security and Compliance Center - 工作负载保护
查找软件漏洞并确定其优先级,检测和响应威胁,并管理从源到运行的配置、权限和合规性。
IBM QRadar Suite
IBM® Security QRadar 套件是一个现代化的威胁检测和响应解决方案,旨在统一整合安全分析师体验,提高他们在整个事件生命周期中的响应速度。
IBM Security Guardium
IBM Security 产品组合中的数据安全软件可发现漏洞并保护敏感的本地部署和云数据。
12. 通过组织政策和计划支持信息安全 |
---|
IBM Security and Compliance Center
集成的解决方案套件可将策略定义为代码,实施安全数据控制和工作负载部署,并评估安全和合规状况。
IBM® Security and Compliance Center - 工作负载保护
查找软件漏洞并确定其优先级,检测和响应威胁,并管理从源到运行的配置、权限和合规性。
IBM Cloud Logs
利用 IBM® Cloud Logs 获得日志可观察性,从而协助改善基础设施和应用程序性能。
IBM Cloud Monitoring
基础架构、云服务和应用程序的云监控和故障排除。
最新版本的 PCI DSS (v4.0) 于 2022 年 3 月发布。它列出了保护持卡人数据的 12 项要求。组织必须在 2025 年 3 月 31 日之前实施这些要求以实现合规。
安装和维护网络安全控件
网络安全控件 (NSC) 可能包括防火墙、虚拟设备、容器系统、云安全系统和其他控制系统和数据访问的技术。
将安全配置应用于所有系统组件
不应使用供应商提供的默认密码和其他默认系统设置,因为它们容易受到网络攻击。
保护存储的持卡人数据
除非业务需求需要,否则组织不应存储持卡人数据。如果它被存储,则必须通过加密、屏蔽或其他方式使其不可读。
在通过开放的公共网络传输期间,使用强大的加密技术保护持卡人数据
为防止黑客访问敏感信息,例如卡号和个人身份信息 (PII),应在公共网络传输之前和/或期间对数据进行加密。
保护所有系统和网络免遭恶意软件攻击
维护防病毒软件和其他针对恶意软件的防御措施,例如间谍软件、键盘记录器、勒索软件、脚本和其他病毒。
开发和维护安全的系统和软件
通过在开发应用程序时应用最新的安全补丁并遵循安全实践,组织可以帮助最大限度地降低数据泄露的风险。
根据业务需要限制对系统组件和持卡人数据的访问
强有力的访问控制措施应确保授权用户只能看到执行其工作所需的持卡人信息。
识别用户并验证系统组件访问
应为每个可以通过计算机访问敏感系统和数据的人分配一个具有可追溯身份验证数据的唯一 ID。
限制对持卡人数据的物理访问
为防止未经授权的人员移除包含持卡人数据的硬件或硬拷贝,应限制对系统的物理访问。
记录并监控对系统组件和持卡人数据的所有访问
自动记录和监控敏感系统和数据的能力可以帮助检测可疑活动,并在违规后支持取证分析。
定期测试系统和网络的安全性
由于网络罪犯在不断变化的 IT 环境中不断寻找新的漏洞,因此应定期进行渗透测试和漏洞扫描。
通过组织政策和计划支持信息安全
组织应制定全面的信息安全政策,概述识别和管理风险、持续的安全意识教育以及遵守 PCI DSS 的程序。
受 PCI DSS 管辖的组织必须每年记录合规性。较大的组织需要提交详细的合规报告 (ROC) 和合规证明 (AOC)。ROC 和 AOC 文件都必须由 PCI 标准安全委员会认证的合格安全评估员 (QSA) 填写并签署。中小型组织可以完成自我评估问卷 (SAQ) 来验证合规性。
如果组织通过互联网传输持卡人数据,可能还需要实施漏洞管理以维护网络安全。为了实现合规性,经 PCI SSC 认证的核准扫描供应商 (ASV) 必须每季度执行一次漏洞扫描以测试网络安全。
PCI DSS 的报告要求因组织每年处理的交易数量而异。合规等级分为四级。
1 级
每年有超过 600 万笔支付卡交易。必须提交由合格安全评估员填写的合规性报告。必须让核准扫描供应商每季度进行一次网络漏洞扫描。
2 级
每年 100 万至 600 万次支付卡交易。必须完成自我评估问卷,可能必须每季度进行网络漏洞扫描。
3 级
每年 20,000 到 100 万笔支付卡交易。必须完成自我评估问卷,可能必须每季度进行网络漏洞扫描。
4 级
每年支付卡交易少于 20,000 笔。必须完成自我评估问卷,可能必须每季度进行网络漏洞扫描。
尽管商户和支付服务提供商必须遵守 PCI DSS,但他们的合规性并非由法律、政府甚至 PCI 安全标准委员会执行。相反,合规性由信用卡公司(例如 Visa 或 MasterCard)和收单机构(即处理信用卡付款的银行或金融机构)管理。
处理或存储持卡人数据的组织必须每年验证一次 PCI DSS 的遵守情况。如果组织外包其支付处理,它仍然必须确认信用卡交易受到 PCI DSS 标准要求的保护。
违反 PCI DSS 的罚款由支付卡品牌设定,并由品牌、商家或服务提供商以及受影响的银行或其他金融机构协商。支付卡品牌不公布罚款或费用表,通常不向公众披露罚款信息。
根据经验,在违规行为的前三个月内违规罚款可能为 5,000 至 10,000 美元,不合规行为六个月后每月罚款为 50,000 至 100,000 美元。如果发生数据泄露,违规商家或服务提供商可能会被处以每位客户 50 至 90 美元的额外罚款,最高罚款额为 500,000 美元。
支付卡品牌可以自行决定更高的罚款,而针对组织违反 PCI DSS 的行为(尤其是导致数据泄露的违规行为)的最终协商罚款可能会激增至数百万或数亿美元,以支付调查、政府索赔、集体诉讼等的费用。
除了招致罚款外,不合规的组织还可能被禁止处理支付卡交易。
保护敏感数据
涉及持卡人数据的数据泄露后果非常严重。除了罚款、法律处罚和声誉受损外,企业还可能失去现有客户和潜在客户。PCI DSS 的要求有助于防范敏感数据的盗窃。
增强客户信心
由于欺诈和身份盗窃频繁成为头条新闻,消费者可能不愿意向零售商提供敏感的信用卡信息。PCI DSS 合规性可帮助客户相信他们的数据受到保护,从而使他们在购买时更有信心。
支持更广泛的监管合规
尽管 PCI DSS 不是法律强制要求,但其实施的安全控制可以帮助组织遵守政府法规。PCI DSS 的部分内容是对数据保护法的补充,例如 1996 年《健康保险流通和责任法案》(HIPAA)、《萨班斯-奥克斯利法案》(SOX) 和《通用数据保护条例》(GDPR)。