支付卡行业(pci)数据安全v1-1.pdf

支付卡行业（PCI）数据安全 标准支付卡行业（PCI）数据安全 标准 _____________________________ 版本：V1.1版本：V1.1 发布时间：2006 年 9 月 支付卡行业（PCI）数据安全标准 v.1.1 2建立并维护安全的网络 建立并维护安全的网络 要求1: 安装并且维护防火墙以保护持卡人信息 要求2: 避免使用供应商提供的默认系统口令和其他安全参数 保护持卡人数据 保护持卡人数据 要求3: 保护存储的持卡人数据 要求4: 加密开放/公共网络上的持卡人数据传输. 维护一个弱点管理程序 维护一个弱点管理程序 要求5: 使用定期升级的防病毒软件或计算机程序 要求 6: 开发并维护安全的系统和应用 实施强有力的安全访问控制措施 实施强有力的安全访问控制措施 要求 7: 根据业务需要限制对持卡人数据的访问 要求 8: 为每一个具有计算机访问权限的用户分配唯一的ID 要求 9: 限制对于持卡人数据的物理访问 定期监视并测试网络 定期监视并测试网络 要求 10: 追踪并监控对网络资源和持卡人数据的所有访问 要求 11: 定期测试安全系统和流程 维护一个信息安全策略 维护一个信息安全策略 要求 12: 维护一个信息安全策略 支付卡行业（PCI）数据安全标准 v.1.1 3前言前言 本文描述了支付卡行业（PCI）数据安全标准（DSS）的12项要求。

这些要求被分为6组， 每组要求都是为了实现某个控制目标 下表阐明了通常会使用到的持卡人数据和敏感认证数据、它们是否允许被保存是否允许被保存以及各数据元 素各数据元 素是否必须受保护受保护本表格没有列举出所有的数据元素，只阐明了应用于各类数据元 素的不同类型的要求 支付卡行业数据安全标准（以下简称“PCI DSS”）的要求是否适用，取决于主账号 （Primary Account Number，以下简称“PAN”）是否被存储、处理或者传输如果答案 为否，那么PCI DSS要求不适用 数据元素 数据元素 存储许可存储许可 保护要求保护要求 PCI PCI DSS DSS 要求 3.4要求 3.4 持卡人数据持卡人数据 主账号（PAN） YES YES YES 持卡卡人姓名* YES YES* NO 服务代码* YES YES* NO 有效期* YES YES* NO 敏感认证数据**敏感认证数据** 全部磁条信息 NO N/A N/A CVC2/CVV2/CIDNO N/A N/A PIN / PIN Block NO N/A N/A *当这些数据元素与PAN一起存储时必须受到保护。

保护措施必须符合PCI DSS的相关要求另外，基于 某种原因（比如，顾客个人信息保护、隐私保护、防止身份盗窃或保护数据安全），其他法律可能对 这些数据会提出特别的保护要求，或者要求在经营活动中收集了顾客的个人信息的公司适当地公开其 某些活动，以符合法律的要求在 PAN 没有被存储、处理或传输的情况下，PCI DSS不适用 **认证结束后，禁止存储敏感认证数据（即使已加密） PCI DSS 安全要求适用于所有系统组件系统组件可以是持卡人数据环境中或与之相 连的任何网络组件、服务器和应用等持卡人数据环境是处理持卡人数据或敏感认证 信息的网络部分网络组件包括（但不限于）防火墙、交换机、路由器、无线接入 点、网络设备和其他安全设备等服务器类型包含但不仅限于：Web、数据库、认证、 邮件、代理、网络时间协议（NTP）和域名服务（DNS）等服务器应用是指所有购买 的和定制的应用，包括内部和外部（例如，Internet）应用 支付卡行业（PCI）数据安全标准 v.1.1 4建立并维护安全的网络 建立并维护安全的网络 要求 1: 安装并且维护防火墙以保护持卡人信息要求 1: 安装并且维护防火墙以保护持卡人信息 火墙是一种计算机设备，它控制着出入组织网络或出入组织内部敏感网络的流量。

防火墙检查所有的网络通信并阻止不符合特定安全要求的流量 所有系统必须受到保护，以防止来自Internet的非授权访问，这些非授权访问可能 伪装成一次电子商务交易、员工通过桌面电脑进行Internet浏览或员工的电子邮件 访问通常，看似平常的Internet路径可以成为进入关键系统的途径所以，防火 墙是计算机网络的一个关键保护 机制 1.1 1.1 建立防火墙配置标准，包括： 1.1.1 1.1.1 一个正式的流程，用以对所有的外部网络连接和防火墙配置变更进行批准和测 试 1.1.2 1.1.2 当前的网络图中必须标明所有连接到持卡人数据的所有连接（包括所有无线网 络连接） 1.1.3 1.1.3 要求在所有Internet连接点以及隔离区（DMZ）与内部网络区域之间配置防 火墙 1.1.4 1.1.4 网络组件逻辑管理的组、角色和职责描述 1.1.5 1.1.5 业务必需的服务和端口清单文件 1.1.6 1.1.6 任何采用的传输协议都必须经过审批和记录传输协议不仅限于超文本传输 协议（HTTP）、安全套接字层（SSL）、安全Shell （SSH）和虚拟专用网络 （VPN）协议 1.1.7 1.1.7 对采用的任何风险较高的协议（比如FTP）进行审批和记录。

内容包括， 使用此协议的原因和已采取的安全措施 1.1.8 1.1.8 每季度复审防火墙和路由器的规则设置 1.1.9 1.1.9 路由器的标准配置 1.2 1.2 建立一个防火墙配置用以拒绝来自不可信网络和主机的所有通信，持卡人数据环境所 必需的协议除外 1.3 1.3 任何存储有持卡人数据的系统（及其组成部分）与公共服务器之间的任何连接（包 括无线连接），都需建立一个防火墙配置加以限制这个防火墙配置应包含： 1.3.1 1.3.1 限制Internet输入流量到达隔离区内的互联网协议（IP）地址 （进入过滤） 1.3.2 1.3.2 不允许内部地址经由Internet访问 DMZ 1.3.3 1.3.3 实施状态检测 － 也称为动态包过滤 － 只允许通过已建立的连 接进入网络 1.3.4 1.3.4 将数据库放置于内部网络区域，且必须与DMZ隔离 1.3.5 1.3.5 限制持卡人数据环境的入站和出站流量，仅允许必需的流量 出入 1.3.6 1.3.6 保护并将路由器配置文件同步化例如，运行配置文件（路由器 在正常工作状态下使用的配置文件）和初始化配置文件（当路由 器重新启动时会使用）应具有相同的安全配置。

1.3.7 1.3.7 拒绝所有未被明确允许入站和出站的流量 支付卡行业（PCI）数据安全标准 v.1.1 51.3.8 1.3.8 在任何无线网络和持卡人数据环境之间安装边界防火墙，并且将这些防火 墙配置为拒绝所有来自无线环境的流量或控制业务必需的流量 1.3.9 1.3.9 任何与Internet直接相连、又被用于访问组织（内部）网络的移动电脑和 员工所有的电脑（比如，员工使用的笔记本电脑）应安装个人防火墙软件 1.4 1.4 禁止任何存储持卡人数据的内部网络和系统组件（比如，数据库，日志，跟踪文 件） 被外部网络间接/直接地公开访问 1.4.1 1.4.1 建立一个DMZ以过滤和并屏蔽所有流量，禁止为Internet流量提供直接的入 站和出站路由 1.4.2 1.4.2 限制源自支付卡应用、目的地为DMZ区IP地址的出站流量 1.5 1.5 实施IP伪装以防止内部地址被识别并被暴露在Internet上使用私人地址空间（参考RFC 1918）并利用端口地址转换（PAT）或网络地址转换（NAT） 要求 2: 避免使用供应商提供的默认系统密码和其他安全参数要求 2: 避免使用供应商提供的默认系统密码和其他安全参数 （组织内部或外部的）攻击者经常使用供应商默认密码和其他供应商默认设置来 攻击系统。

这些默认密码和其他一些默认设置在黑客团体中广为知晓，而极易根 据公开的信息推定 2.1 2.1 将系统安装到网络上之前之前，应修改供应商提供的默认设置（比如，密码、SNMP社区字符 串，并删除不必要的账户） 2.1.1 对于无线环境2.1.1 对于无线环境，修改无线设备的供应商默认设置，包括但不仅限于 WEP 密码、SSID、口令和SNMP社区字符串禁止SSID广播在WPA可用的情况下， 启用WiFi访问保护（WPA和WPA2）技术提供加密和身份认证 2.2 2.2 为所有的系统组件开发配置标准保证这些标准考虑了所有已知的安全弱点， 并与行业认可的系统加固标准相一致，例如，由SANS、NIST和CIS定义的相关标准 2.2.1 2.2.1 每一台服务器只承担一项主要功能（例如，Web服务器、数据库服务器和 DNS 应该被分别部署在不同的服务器上） 2.2.2 2.2.2 禁用所有不必要的、不安全的服务和协议（指某设备完成它特定的任务不直 接需要的服务和协议） 2.2.3 2.2.3 设定系统安全参数以防止误用/滥用 2.2.4 2.2.4 移除所有不必要的功能，例如，脚本、驱动、特性、子系统、文件系统和不 必要的 Web 服务器。

2.3 2.3 对所有非控制台管理连接进行加密利用SSH、VPN或SSL/TLS等技术保护基于 Web的管理和其他非控制台管理访问 2.4 2.4 主机服务商必须保护各组织的主机环境和数据这些服务商必须满足一些特定的要求 （详见附录A ：PCI DSS对于主机服务商的适用性) 支付卡行业（PCI）数据安全标准 v.1.1 6保护持卡人数据 保护持卡人数据 要求 3: 保护存储的持卡人数据 要求 3: 保护存储的持卡人数据 加密是持卡人数据保护的一项关键组成部分如果入侵者绕过其它网络安全控制措施， 但没有正确的密钥，即使能获得经过加密的数据，这些数据对他也是毫无意义的其它 一些被认为是降低潜在风险的措施也可以有效的保护存储数据的安全例如，除非绝对 必要，否则不保存持卡人数据；在不需要完整PAN的情况下，保存时截去部分持卡人信 息；不使用未加密的电子邮件传送 PAN 3.1 3.1 保留最少的持卡人数据开发一个数据保留和处置策略限制数据存储量和保留时间， 达到恰好能满足业务，法律和管理规定需要的程度上述策略应文档化 3.2 3.2 禁止在身份认证结束后存储敏感认证数据 （即使经过加密） 。

敏感认证数据包括要求3.2.1 至 3.2.3 中引用的数据： 3.2.1 3.2.1 禁止存储磁条中任一磁道的全部内容 （磁条可能位于卡的背面、在一个芯片中或其 他位置） 这项数据可以被称为全部磁道、磁道、磁道 1、磁道 2 和磁条数据 在常见的业务过程中，可能需要保留磁条中的一些数据字段，如持卡人姓名，主账号，有 效日期和服务代码为了将风险降至最低，只存储业务必须的数据字段切勿存储卡验证 码或个人标识代码（PIN）注：其他信息请参阅术语表 3.2.2 3.2.2 不允许存储卡验证码或/验证值（打印在支付卡的正面或背面3或4位阿拉伯数字） 注：其他信息请参阅术语表 3.2.3 3.2.3 不允许以明文或密文的形式存储个人标识代码（PIN） 3.3 3.3 显示 PAN 时采用隐蔽措施（最多只显示最前6位和最后4位数字） 注：在员工和其他组织因特殊原因需要看到完整 PAN 的情况下，本要求不适用；同时， 本要求也不能代替其他更为严格的关于持卡人信息显示的要求 （例如，对于 POS 收条 的要求） 3.4 3.4 存储于任何位置（包括PDA，存储介质，日志和由无线网络获得/存储的数据的PAN， 在呈递。