主页 合规性 PCI 《支付卡行业数据安全标准》(PCI DSS)
插图显示一个人与计算机界面交互,计算机后面有各种文件和一个微型摩天大楼模型
什么是 PCI DSS?

支付卡行业数据安全标准 (PCI DSS) 是一组安全要求,旨在在整个生命周期中保护持卡人数据(持卡人的主要账号 (PAN)、姓名、到期日期、服务代码)以及其他敏感的持卡人信息。

PCI DSS 适用于存储、处理或传输持卡人数据的任何商家、服务提供商或其他组织,以及连接到存储、处理或传输持卡人数据的系统的任何组织。(这些系统被称为持卡人数据环境或 CDE。)PCI DSS 概述了组织为保护持卡人数据而应实施的详细安全控制、流程和测试。这些安全措施涵盖持卡人数据环境的广泛功能领域,包括电子商务交易、销售点系统、无线热点、移动设备、云计算和纸质存储系统。

PCI DSS 合规性要求商户和服务提供商每年进行报告,并在 CDE 发生重大变化后进行额外报告。验证合规性还涉及对组织安全状况的持续评估以及持续的补救措施,以应对安全策略、技术或程序中的任何漏洞。

可由合格安全评估员 (QSA) 对组织和服务提供商进行评估,并在成功完成评估后发布合规性证明 (AOC)。

第一版 PCI DSS 由支付卡品牌 American Express、Discover、JCB International、MasterCard 和 Visa 于 2004 年发布,它们共同成立了支付卡行业安全标准委员会 (PCI SSC) 来管理该标准的技术要求。2020 年,PCI SSC 增加了银联银行卡协会。PCI DSS 会定期更新以应对支付卡数据面临的最新网络安全威胁,例如身份盗用、欺诈和数据泄露。

IBM Cloud PCI DSS 指南

深入了解 PCI DSS 合规性在 IBM Cloud 上的作用方式。

IBM Cloud 和 PCI DSS

IBM 是 PCI DSS 的 1 级服务提供商,客户可以使用 IBM Cloud 构建符合 PCI-DSS 标准的环境和应用程序。

许多 IBM Cloud 平台服务都有由合格安全评估员 (QSA) 发布的 PCI DSS 合规证明 (AOC)。

请联系 IBM 为下列任何服务申请 PCI DSS AOC

具有可用 PCI DSS AOC 的 IBM Cloud 服务包括:
    1. IBM® Cloud Activity Tracker(通过 Mezmo)
    2. IBM Cloud App ID
    3. IBM Cloud Backup
    4. IBM Cloud Backup for VPC
    5. IBM Cloud Bare Metal
    6. IBM Cloud Bare Metal Servers for VPC
    7. IBM Cloud Block Storage
    8. IBM Cloud Block Storage for Virtual Private Cloud
    9. IBM Cloud Block Storage Snapshots for VPC
    10. IBM Cloud Container Registry
    11. IBM Cloud Databases for DataStax
    12. IBM Cloud Databases for Elasticsearch
    13. IBM Cloud Databases for EnterpriseDB
    14. IBM Cloud Databases for etcd
    15. IBM Cloud Databases for MongoDB
    16. IBM Cloud Databases for MySQL
    17. IBM Cloud Databases for PostgreSQL
    18. IBM Cloud Databases for Redis
    19. IBM Cloud Direct Link
    20. IBM Cloud Direct Link Connect (2.0)
    21. IBM Cloud Direct Link Dedicated (2.0)
    22. IBM Cloud DNS Services
    23. IBM Cloud File Storage
    24. IBM® Cloud Block Storage for Virtual Private Cloud
    25. IBM Cloud Flow Logs for VPC
    26. IBM Cloud for VMware Solutions (Dedicated)
    27. IBM Cloud Hardware Security Module
    28. IBM Cloud Internet Services Enterprise Package (通过 Cloudflare)
    29. IBM Cloud Internet Services Enterprise Usage (via Cloudflare)
    30. IBM Cloud Internet Services Standard (via Cloudflare)
    31. IBM CloudCloud Kubernetes Service and Red Hat OpenShift on IBM Cloud
    32. IBM Cloud Load Balancer
    33. IBM Cloud Messages for RabbitMQ
    34. IBM Cloud Object Storage
    35. IBM Cloud Object Storage (IaaS)
    36. IBM Cloud Platform - Core Services - IBM Cloud Identity and Access Management
    37. IBM Cloud Secrets Manager
    38. IBM Cloud Transit Gateway
    39. IBM Cloud Virtual Private Cloud
    40. IBM Cloud Virtual Private Cloud - Load Balancer for VPC:应用程序负载均衡器和网络负载均衡器
    41. IBM® Cloud Virtual Private Cloud – VPN for VPC:站点到站点网关和客户端到站点服务器
    42. IBM Cloud Virtual Private Endpoint for VPC
    43. IBM Cloud Virtual Servers
    44. IBM Cloud Virtual Server for VPC
    45. IBM Cloud Virtual Server for VPC - Auto Scale for VPC
    46. IBM Cloud Virtual Server for VPC - VPC 专用主机
    47. IBM Cloudant for IBM Cloud
    48. IBM® Event Streams for IBM Cloud Enterprise
    49. IBM® Event Streams for IBM Cloud Standard
    50. IBM Key Protect for IBM Cloud
    51. IBM Log Analysis (via Mezmo)
    52. IBM® Power Virtual Server on IBM Cloud
    53. IPSec VPN
    54. SAP-Certified Cloud Infrastructure
    使用 IBM Cloud 服务加快合规

    最新版本的 PCI DSS (v4.0) 于 2022 年 3 月发布。组织必须在 2025 年 3 月 31 日之前实施这 12 项要求以实现合规性。

    IBM Cloud 提供以下服务套件,可帮助您满足特定的 PCI DSS 要求并加速您的合规之旅。

     

    1. 安装和维护网络安全控制措施

    IBM® Cloud Internet Services (CIS)

    网络

    IBM Cloud Internet Services 在您的外部 Web 内容和互联网应用程序到达云之前为其提供市场领先的安全性和性能。

    查看服务

    IBM Cloud Direct Link

    网络

    IBM® Cloud Direct Link 的速度和可靠性有助于扩展组织的数据中心网络而无需接触公共互联网。

    查看服务

    IBM Cloud 网关设备

    网络

    网关设备可以增强对网络流量的控制、提高网络性能、加强网络安全性。

    查看服务

     IBM Cloud Transit Gateway

    网络

    IBM Cloud Transit Gateway 有助于连接和管理 IBM Cloud Virtual Private Cloud (VPC) 网络。

    查看服务

    FortiGate Security Appliance

    网络

    在您的环境中部署一对 FortiGate Virtual Appliances,可以通过在虚拟基础架构中实施关键的安全控制来帮助您降低风险。

    查看服务

    硬件防火墙

    网络

    一个重要的安全层,可按需配置,不会中断服务。

    查看服务

    2. 将安全配置应用于所有系统组件

    FortiGate Security Appliance

    网络

    在您的环境中部署一对 FortiGate Virtual Appliances,可以通过在虚拟基础架构中实施关键的安全控制来帮助您降低风险。

    查看服务

    硬件防火墙

    网络

    一个重要的安全层,可按需配置,不会中断服务。

    查看服务

    IBM Security and Compliance Center

    安全性

    集成的解决方案套件可将策略定义为代码,实施安全数据控制和工作负载部署,并评估安全和合规状况。

    查看服务

    IBM® Security and Compliance Center - 工作负载保护

    安全性

    查找软件漏洞并确定其优先级,检测和响应威胁,并管理从源到运行的配置、权限和合规性。

    查看服务

    IBM QRadar Suite

    安全性

    IBM® Security QRadar 套件是一个现代化的威胁检测和响应解决方案,旨在统一整合安全分析师体验,提高他们在整个事件生命周期中的响应速度。

    查看服务

    3. 保护存储的持卡人数据

    IBM Key Protect for IBM Cloud

    安全性

    IBM Key Protect for IBM Cloud 服务支持在 IBM Cloud 服务中为应用程序供应和存储加密密钥,便于从一个中心位置查看和管理数据加密以及整个密钥生命周期。

    查看服务

    IBM Security and Compliance Center - Data Security Broker - Manager

    安全性

    这是 Security and Compliance Center 套件中的安全解决方案,它提供集中式加密策略和跨不同数据源的数据审计。

    查看服务

    IBM Cloud Hyper Protect Virtual Servers

    容器

    完全托管的机密计算容器运行时,支持在具有技术保障的高度隔离的环境中部署敏感的容器化工作负载。

    查看服务

    IBM Cloud Hardware Security Module

    安全性

    通过在防篡改硬件设备中更安全地管理、处理和存储加密密钥来保护加密基础设施。

    查看服务

    IBM Security Guardium

    安全性

    IBM Security 产品组合中的数据安全软件可发现漏洞并保护敏感的本地部署和云数据。

    查看服务

    IBM Cloud 存储服务

    存储

    可扩展、高度安全且经济高效的数据存储位置,同时支持传统和云原生工作负载。配置和部署访问对象、块和文件存储等服务。

    查看服务

    IBM Cloud Database 服务

    数据库

    将开发人员和 IT 人员从复杂而耗时的任务中解放出来,包括基础设施和数据库软件的部署和更新、基础设施运行和备份。

    查看服务

    4. 在通过开放式公共网络传输时使用强大的加密技术保护持卡人数据

    IBM Cloud Direct Link

    网络

    IBM® Cloud Direct Link 的速度和可靠性有助于扩展组织的数据中心网络而无需接触公共互联网。

    查看服务

     IBM Cloud Transit Gateway

    网络

    IBM Cloud Transit Gateway 有助于连接和管理 IBM Cloud Virtual Private Cloud (VPC) 网络。

    查看服务

    IBM Key Protect for IBM Cloud

    安全性

    IBM Key Protect for IBM Cloud 服务支持在 IBM Cloud 服务中为应用程序供应和存储加密密钥,便于从一个中心位置查看和管理数据加密以及整个密钥生命周期。

    查看服务

    5. 保护所有系统和网络免受恶意软件的侵害

    IBM® Cloud Internet Services (CIS)

    网络

    IBM Cloud Internet Services 在您的外部 Web 内容和互联网应用程序到达云之前为其提供市场领先的安全性和性能。

    查看服务

    IBM Cloud Direct Link

    网络

    IBM® Cloud Direct Link 的速度和可靠性有助于扩展组织的数据中心网络而无需接触公共互联网。

    查看服务

    FortiGate Security Appliance

    网络

    在您的环境中部署一对 FortiGate Virtual Appliances,可以通过在虚拟基础架构中实施关键的安全控制来帮助您降低风险。

    查看服务

    IBM QRadar Suite

    安全性

    IBM® Security QRadar 套件是一个现代化的威胁检测和响应解决方案,旨在统一整合安全分析师体验,提高他们在整个事件生命周期中的响应速度。

    查看服务

    IBM Security Guardium

    安全性

    IBM Security 产品组合中的数据安全软件可发现漏洞并保护敏感的本地部署和云数据。

    查看服务

    6. 开发和维护安全系统和软件

    IBM® Cloud Internet Services (CIS)

    网络

    IBM Cloud Internet Services 在您的外部 Web 内容和互联网应用程序到达云之前为其提供市场领先的安全性和性能。

    查看服务

    IBM® Security and Compliance Center - 工作负载保护

    安全性

    查找软件漏洞并确定其优先级,检测和响应威胁,并管理从源到运行的配置、权限和合规性。

    查看服务

    IBM Security Guardium

    安全性

    IBM Security 产品组合中的数据安全软件可发现漏洞并保护敏感的本地部署和云数据。

    查看服务

    IBM Cloud Container Registry

    容器

    在完全托管的私有注册表中,存储和分发容器映像。推送私有映像,以便于在 IBM Cloud Kubernetes Service 和其他运行时环境中运行这些映像。

    查看服务

    IBM Cloud Continuous Delivery

    开发人员工具

    采用企业就绪的 DevOps。创建支持您的应用程序交付任务的安全工具链。自动执行构建、测试、部署等操作。

    查看服务

    IBM Cloud Kubernetes Service

    容器

    在原生 Kubernetes 体验中部署安全且高度可用的集群。

    查看服务

    7. 根据业务需要限制对系统组件和持卡人数据的访问

    IBM Cloud App ID

    安全性

    轻松为 Web 和移动应用程序添加身份验证。利用多因素身份验证和单点登录等高级安全功能来增强应用程序的功能。

    查看服务

    IBM® Cloud Identity and Access Management (IAM)

    安全性

    IBM Cloud Identity and Access Management 服务可安全地对用户进行身份验证,并一致地控制对 IBM® Cloud Platform 中所有资源的访问。

    查看服务

    8. 识别用户并验证对系统组件的访问权限

    IBM Cloud App ID

    安全性

    轻松为 Web 和移动应用程序添加身份验证。利用多因素身份验证和单点登录等高级安全功能来增强应用程序的功能。

    查看服务

    IBM Cloud Secrets Manager

    安全性

    动态创建机密并将其租用给应用程序,同时您可以从单一位置控制访问。基于开源 HashiCorp Vault 构建。

    查看服务

    IBM® Cloud Identity and Access Management (IAM)

    安全性

    IBM Cloud Identity and Access Management 服务可安全地对用户进行身份验证,并一致地控制对 IBM® Cloud Platform 中所有资源的访问。

    查看服务

    9. 限制对持卡人数据的物理访问

    IBM Cloud 采用多种措施来提高物理安全性:

    安全性
    • 数据中心周边的物理安全
    • 出入口访问控制和日志记录
    • 保护办公室、房间和设施
    • 抵御外部和环境威胁
    • 冗余电源和网络设备
    • 在取消配置期间安全处置设备
    • 针对入职、培训和离职的企业人力资源业务政策和安全措施
    查看服务

    10. 记录并监控对系统组件和持卡人数据的所有访问

    IBM Cloud Flow Logs for VPC

    网络

    收集、存储和展示虚拟专用云 (VPC) 内进出网络接口的互联网协议 (IP) 流量信息。

    查看服务

    IBM QRadar Suite

    安全性

    IBM® Security QRadar 套件是一个现代化的威胁检测和响应解决方案,旨在统一整合安全分析师体验,提高他们在整个事件生命周期中的响应速度。

    查看服务

    IBM® Cloud Identity and Access Management (IAM)

    安全性

    IBM Cloud Identity and Access Management 服务可安全地对用户进行身份验证,并一致地控制对 IBM® Cloud Platform 中所有资源的访问。

    查看服务

    IBM Security Guardium

    安全性

    IBM Security 产品组合中的数据安全软件可发现漏洞并保护敏感的本地部署和云数据。

    查看服务

    IBM Cloud Logs

    日志记录和监控

    利用 IBM® Cloud Logs 获得日志可观察性,从而协助改善基础设施和应用程序性能。

    查看服务

    IBM Cloud Monitoring

    日志记录和监控

    基础架构、云服务和应用程序的云监控和故障排除。

    查看服务

    11. 定期测试系统和网络的安全性

    IBM Security and Compliance Center

    安全性

    集成的解决方案套件可将策略定义为代码,实施安全数据控制和工作负载部署,并评估安全和合规状况。

    查看服务

    IBM® Security and Compliance Center - 工作负载保护

    安全性

    查找软件漏洞并确定其优先级,检测和响应威胁,并管理从源到运行的配置、权限和合规性。

    查看服务

    IBM QRadar Suite

    安全性

    IBM® Security QRadar 套件是一个现代化的威胁检测和响应解决方案,旨在统一整合安全分析师体验,提高他们在整个事件生命周期中的响应速度。

    查看服务

    IBM Security Guardium

    安全性

    IBM Security 产品组合中的数据安全软件可发现漏洞并保护敏感的本地部署和云数据。

    查看服务

    12. 通过组织政策和计划支持信息安全

    IBM Security and Compliance Center

    安全性

    集成的解决方案套件可将策略定义为代码,实施安全数据控制和工作负载部署,并评估安全和合规状况。

    查看服务

    IBM® Security and Compliance Center - 工作负载保护

    安全性

    查找软件漏洞并确定其优先级,检测和响应威胁,并管理从源到运行的配置、权限和合规性。

    查看服务

    IBM Cloud Logs

    日志记录和监控

    利用 IBM® Cloud Logs 获得日志可观察性,从而协助改善基础设施和应用程序性能。

    查看服务

    IBM Cloud Monitoring

    日志记录和监控

    基础架构、云服务和应用程序的云监控和故障排除。

    查看服务

    常见问题

    PCI DSS 合规要求是什么?

    最新版本的 PCI DSS (v4.0) 于 2022 年 3 月发布。它列出了保护持卡人数据的 12 项要求。组织必须在 2025 年 3 月 31 日之前实施这些要求以实现合规。

    安装和维护网络安全控件

    网络安全控件 (NSC) 可能包括防火墙、虚拟设备、容器系统、云安全系统和其他控制系统和数据访问的技术。

    将安全配置应用于所有系统组件

    不应使用供应商提供的默认密码和其他默认系统设置,因为它们容易受到网络攻击

    保护存储的持卡人数据

    除非业务需求需要,否则组织不应存储持卡人数据。如果它被存储,则必须通过加密、屏蔽或其他方式使其不可读。

    在通过开放的公共网络传输期间,使用强大的加密技术保护持卡人数据

    为防止黑客访问敏感信息,例如卡号和个人身份信息 (PII),应在公共网络传输之前和/或期间对数据进行加密。

    保护所有系统和网络免遭恶意软件攻击

    维护防病毒软件和其他针对恶意软件的防御措施,例如间谍软件、键盘记录器、勒索软件、脚本和其他病毒。

    开发和维护安全的系统和软件

    通过在开发应用程序时应用最新的安全补丁并遵循安全实践,组织可以帮助最大限度地降低数据泄露的风险。

    根据业务需要限制对系统组件和持卡人数据的访问

    强有力的访问控制措施应确保授权用户只能看到执行其工作所需的持卡人信息。

    识别用户并验证系统组件访问

    应为每个可以通过计算机访问敏感系统和数据的人分配一个具有可追溯身份验证数据的唯一 ID。

    限制对持卡人数据的物理访问

    为防止未经授权的人员移除包含持卡人数据的硬件或硬拷贝,应限制对系统的物理访问。

    记录并监控对系统组件和持卡人数据的所有访问

    自动记录和监控敏感系统和数据的能力可以帮助检测可疑活动,并在违规后支持取证分析。

    定期测试系统和网络的安全性

    由于网络罪犯在不断变化的 IT 环境中不断寻找新的漏洞,因此应定期进行渗透测试和漏洞扫描。

    通过组织政策和计划支持信息安全

    组织应制定全面的信息安全政策,概述识别和管理风险、持续的安全意识教育以及遵守 PCI DSS 的程序。

    PCI DSS 的报告和文档要求是什么?

    受 PCI DSS 管辖的组织必须每年记录合规性。较大的组织需要提交详细的合规报告 (ROC) 和合规证明 (AOC)。ROC 和 AOC 文件都必须由 PCI 标准安全委员会认证的合格安全评估员 (QSA) 填写并签署。中小型组织可以完成自我评估问卷 (SAQ) 来验证合规性。

    如果组织通过互联网传输持卡人数据,可能还需要实施漏洞管理以维护网络安全。为了实现合规性,经 PCI SSC 认证的核准扫描供应商 (ASV) 必须每季度执行一次漏洞扫描以测试网络安全。

    PCI DSS 的报告要求因组织每年处理的交易数量而异。合规等级分为四级。

    1 级

    每年有超过 600 万笔支付卡交易。必须提交由合格安全评估员填写的合规性报告。必须让核准扫描供应商每季度进行一次网络漏洞扫描。

    2 级

    每年 100 万至 600 万次支付卡交易。必须完成自我评估问卷,可能必须每季度进行网络漏洞扫描。

    3 级

    每年 20,000 到 100 万笔支付卡交易。必须完成自我评估问卷,可能必须每季度进行网络漏洞扫描。

    4 级

    每年支付卡交易少于 20,000 笔。必须完成自我评估问卷,可能必须每季度进行网络漏洞扫描。

    如何执行 PCI DSS?

    尽管商户和支付服务提供商必须遵守 PCI DSS,但他们的合规性并非由法律、政府甚至 PCI 安全标准委员会执行。相反,合规性由信用卡公司(例如 Visa 或 MasterCard)和收单机构(即处理信用卡付款的银行或金融机构)管理。

    处理或存储持卡人数据的组织必须每年验证一次 PCI DSS 的遵守情况。如果组织外包其支付处理,它仍然必须确认信用卡交易受到 PCI DSS 标准要求的保护。

    不合规的处罚是什么?

    违反 PCI DSS 的罚款由支付卡品牌设定,并由品牌、商家或服务提供商以及受影响的银行或其他金融机构协商。支付卡品牌不公布罚款或费用表,通常不向公众披露罚款信息。

    根据经验,在违规行为的前三个月内违规罚款可能为 5,000 至 10,000 美元,不合规行为六个月后每月罚款为 50,000 至 100,000 美元。如果发生数据泄露,违规商家或服务提供商可能会被处以每位客户 50 至 90 美元的额外罚款,最高罚款额为 500,000 美元。

    支付卡品牌可以自行决定更高的罚款,而针对组织违反 PCI DSS 的行为(尤其是导致数据泄露的违规行为)的最终协商罚款可能会激增至数百万或数亿美元,以支付调查、政府索赔、集体诉讼等的费用。

    除了招致罚款外,不合规的组织还可能被禁止处理支付卡交易。

    PCI DSS 合规性有哪些好处?

    保护敏感数据

    涉及持卡人数据的数据泄露后果非常严重。除了罚款、法律处罚和声誉受损外,企业还可能失去现有客户和潜在客户。PCI DSS 的要求有助于防范敏感数据的盗窃。

    增强客户信心

    由于欺诈和身份盗窃频繁成为头条新闻,消费者可能不愿意向零售商提供敏感的信用卡信息。PCI DSS 合规性可帮助客户相信他们的数据受到保护,从而使他们在购买时更有信心。

    支持更广泛的监管合规

    尽管 PCI DSS 不是法律强制要求,但其实施的安全控制可以帮助组织遵守政府法规。PCI DSS 的部分内容是对数据保护法的补充,例如 1996 年《健康保险流通和责任法案》(HIPAA)、《萨班斯-奥克斯利法案》(SOX) 和《通用数据保护条例》(GDPR)

    相关解决方案
    IBM Security and Compliance Center

    应对混合多云环境中的统一安全性、合规性和风险可见性问题。

    深入了解 IBM Security and Compliance Center
    IBM Cloud 解决方案

    以较低的成本构建可扩展的基础架构,即时部署新应用程序,并根据需求扩展任务关键型和敏感工作负载,所有这些都可以在高度安全的平台内完成。

    深入了解解决方案
    资源 2023 年《数据泄露的代价》报告

    了解数据泄露原因以及增加或减少成本的因素,以便做好更充分的准备。从 550 多家遭遇数据泄露的组织中汲取经验。

    什么是个人身份信息 (PII)?

    PII 是可用于揭示个人身份的任何信息,例如社会保障号码、全名或电子邮件地址。

    什么是计算机网络安全?

    计算机网络安全是互联网络安全的一个领域,重点是保护计算机网络免受网络威胁。

    采取后续步骤

    对合规计划有疑问?需要一份受保护的合规报告?我们可助您一臂之力。

    查看更多合规计划