标准简介
PCI DSS(支付卡行业数据安全标准)是由支付卡行业安全标准委员会(PCI SSC)制定的全球信息安全标准,该委员会于 2006 年由主要支付卡品牌 Visa、Mastercard、American Express、Discover 和 JCB 创立。2022 年 3 月发布、2024 年 3 月 31 日强制执行的 4.0.1 是当前 v4.x 基线,建立在 2024 年 3 月 31 日强制实施的 PCI DSS 4.0 基础上。该标准适用于所有存储、处理或传输持卡人数据的实体,包括商户、支付处理商、收单机构、发卡机构和服务提供商。PCI DSS 包含 6 大控制目标下的 12 项核心要求:构建和维护安全网络、保护持卡人数据、维护漏洞管理程序、实施强访问控制措施、定期监控和测试网络、维护信息安全策略。
PCI DSS 4.0.1 保留 v4.0 的安全目标,并加入有限修订与澄清。该标准同时支持规定方法和定制化方法,强化身份验证、电子商务保护、防钓鱼控制和自动化日志审查。合规验证取决于交易量:一级商户通常需要由合格安全评估师(QSA)进行年度现场评估,并由认可扫描供应商(ASV)进行季度网络扫描;二至四级商户可使用自我评估问卷(SAQ)。不合规可能导致罚款、交易费用增加以及丧失收单资格。v4.x 的未来日期要求已于 2025 年 3 月 31 日生效。
持卡人数据保护
在整个交易生命周期内,专注于保护信用卡/借记卡的账号、持卡人姓名、有效期以及服务代码等信息。
网络分段
强烈建议将持卡人数据环境 (CDE) 与其他网络隔离,以缩小合规范围并简化合规工作。
强加密
要求对通过开放网络传输的以及静态存储的持卡人数据进行加密,并制定明确的密钥管理程序。
list_alt 12 项要求
- 安装并维护网络安全控制
- 对所有组件应用安全配置
- 保护存储的账户数据
- 在开放网络上加密持卡人数据
- 防范恶意软件
- 开发并维护安全系统
- 根据业务需要限制访问权限
- 识别用户并对访问进行身份验证
谁需要合规?
任何存储、处理或传输支付卡数据的组织——包括商户、支付处理商、收单机构、发卡机构和服务提供商,与交易量无关。
关键要求
持卡人数据环境范围界定
识别存储、处理或传输持卡人数据的所有系统组件、人员和流程。合理的范围界定是基础——缩小范围可减轻合规负担。
漏洞管理
每季度进行内部和外部漏洞扫描(外部扫描由 ASV 执行)。每年进行渗透测试。在规定时限内修复严重漏洞。
访问控制
仅允许因工作需要的人员访问持卡人数据。对所有访问 CDE 的操作以及远程网络访问实施多因素身份验证。
日志与监控
记录对网络资源和持卡人数据的所有访问。每日审阅日志。审计记录须保留至少 12 个月,其中 3 个月须可立即调阅。
事件响应计划
建立、记录并测试事件响应计划。包括遏制、取证、通知卡组织以及事后审查等程序。
实施路线图
准备并界定CDE范围
识别每一个存储、处理或传输持卡人数据的系统、流程和人员,并界定持卡人数据环境(CDE)。确定您的商户级别和适用的验证类型,并端到端地梳理账户数据流,以便准确了解哪些内容属于PCI DSS的范围。
差距分析与范围缩减
对照12项PCI DSS要求评估现有控制措施,识别与v4.0.1之间的差距。在可能的情况下,通过网络分段和消除对持卡人数据的不必要存储来缩减范围,然后优先整改风险最高的差距。
实施控制措施
部署所需的安全控制措施,包括防火墙、强访问控制、MFA、对传输中和静态持卡人数据的加密、漏洞管理以及日志记录和监控。落实那些已于2025年3月31日生效为强制的未来生效版v4.0要求,并记录政策和程序。
验证与维护
完成相应的SAQ或由QSA出具的合规报告(ROC),取得合规证明(AOC),并运行所需的ASV扫描。通过持续监控、季度扫描、年度重新评估和及时打补丁来保持合规,将PCI DSS视为一项持续性计划,而非某一时点的活动。
合规检查清单
checklist 范围界定与治理
checklist 技术控制措施
checklist 监控与验证
处罚与执行
不合规组织将面临卡组织每月 $5,000 至 $100,000 的罚款。发生数据泄露后,成本包括取证调查($20K-$500K+)、欺诈责任、处理费用上升以及可能丧失受理银行卡的资格。
常见问题解答
谁必须遵守PCI DSS?
expand_more
PCI DSS适用于任何存储、处理或传输持卡人数据的实体,以及可能影响该数据安全性的实体。这包括商户、服务提供商、处理机构和收单机构,无论其规模或交易量大小。该标准由各支付品牌和收单银行以合同方式强制执行,而非由政府机构执行。
什么是CDE,分段如何缩减范围?
expand_more
持卡人数据环境(CDE)由存储、处理或传输持卡人数据或敏感身份验证数据的人员、流程和技术以及相连系统组成。网络分段利用防火墙等控制措施将CDE与网络其余部分隔离。有效的分段可将范围外的系统排除在评估之外,从而降低成本、风险和复杂度。
PCI DSS的12项要求是什么?
expand_more
这12项要求归入六大目标之下:建立并维护安全的网络和系统;保护账户数据;维护漏洞管理计划;实施强访问控制措施;定期监控和测试网络;以及维护信息安全政策。它们共同涵盖防火墙、加密、防恶意软件、访问控制、日志记录、测试和治理。每一项要求都必须得到满足,或以书面的补偿性控制来处理。
什么是商户级别,适用于我的是SAQ还是ROC?
expand_more
商户主要根据年交易量被划分为四个级别,其中一级为最高,您的级别决定了您如何进行验证。较低级别可使用自评估问卷(SAQ)进行自我验证,其不同类型对应不同的支付场景;而一级商户和许多服务提供商通常需要由QSA执行的正式合规报告(ROC)。无论哪种路径都会产生一份合规证明(AOC),最终由您的收单机构或支付品牌确认您的具体要求。
v4.0有哪些变化,2025年3月的截止日期是什么?
expand_more
PCI DSS v4.0引入了更灵活的定制化方法,扩展了身份验证和MFA方面的预期,并加强了对脚本、钓鱼和持续性流程的要求;v3.2.1已于2024年3月退役,v4.0.1为当前版本。一组未来生效的v4.0要求原为最佳实践,直至其于2025年3月31日成为强制要求。自该日起,评估必须纳入这些新生效的控制措施。
MFA有哪些要求?
expand_more
PCI DSS要求对进入网络的所有远程访问实施多因素身份验证(MFA),并在v4.0下对进入CDE的所有访问(包括管理访问和非控制台访问)实施MFA。MFA必须结合至少两个独立因素,并能抵御重放攻击。对许多组织而言,这一MFA范围的扩大是v4.0中较为重大的变化之一。
如果我使用像Stripe这样的第三方处理机构,还需要PCI DSS吗?
expand_more
需要。使用合规的第三方支付处理机构可以显著缩减您的范围,并可能让您有资格使用更简单的SAQ,但它并不消除您的PCI DSS义务。您仍需对支付的集成方式、不存储被禁数据以及验证合规负责,通常根据您的集成方式采用SAQ A或SAQ A-EP。外包处理转移了责任,但并未消除责任。
不合规的处罚和后果有哪些?
expand_more
PCI DSS通过与支付品牌和收单银行的合同强制执行,它们可以处以每月罚款、提高交易费用,或终止您接受卡支付的能力。若在不合规期间发生数据泄露,组织可能面临重大责任、取证调查费用和声誉损害。保持合规既是一项合同义务,也是一种降低风险的措施。