支付卡行业数据安全标准遵守规划指南.docx

《支付卡行业数据安全标准遵守规划指南.docx》由会员分享，可在线阅读，更多相关《支付卡行业数据安全标准遵守规划指南.docx（24页珍藏版）》请在第一文库网上搜索。

1、支付卡行业数据安全标准遵守规划指南OnThisPage简介本指南不包含有关母个组织如何遵守PCIDSS的全面信息。有关与您的组织Ier关的特定遵守问题的解答，请向您的律师或者审核人员咨询。本指南的简介包含下列部分： 摘要此部分提供有关PCIDSS要求与该规划指南要紧目标的广泛概述。在这一部分还会讨论IT管理人员在开始解决PCIDSS遵守要求时需要掌握的知识。 本指南的目标读者.此部分介绍本指南的目标读者、指南的目的与适用范围，与与指南限制有关的注意事项与免责声明。 什么是支付卡行业数据安全标准？此部分提供PCIDSS及其要求的概述。 规划PCIDSS遵守。此部分介绍使用框架满足PCIDSS要求

2、。此方法包含：创建各类类型的IT操纵、如何配合使用这些操纵，与它们为何是您的组织能够用来帮助满足PCIDSS要求与履行其他法规遵守义务的重要组件。 PCIDSS审核流程此部分概述审核人员用来评估组织是否符合PCIDSS要求的PCIDSS审核流程。由于本白皮书是对法规遵守规划指南的补充，因此，当您计划一个满足您的组织适用的所有法规要求的完整解决方案时，您还应当参考该指南。摘要假如您的组织处理、存储或者传输持卡人信息，则您的业务要求务必遵守支付卡行业数据安全标准(PCIDSS)o这些标准中定义的要求是由PC1安全标准委员会制定，旨在为使用您的组织服务的持卡人提供可同意的最低安全级别。有三个问题使此

3、情况变得知杂。第一个问题是遵守PCIDSS要求可能对整个组织产生影响。因此，在部门间协调遵守工作，同时有一个组织范围内的pciDSS遵守策略非常重要。笫二个更杂问题是您的组织可能需要遵守多套法规，每套法规都规定了不一致的一组要求。因此，许多公司发现很难熟悉如何正确响应这些不一致的法规要求并使用经济高效的流程与过程保持法规遵守，也就不足为奇了。第三个复杂问题是与其他许多法规一样，PCIDSS只是顺带提及IT操纵，而关于IT管理人员明确确定毕竟该执行什么工作来实现与保护法规遵守，提供的指导则非常有限。支付卡行业数据安全标准遵守规划指南针对的是在公司担负满足PCIDSS要求职责的IT管理人员。本指南

4、旨在胡助IT管理人员熟悉如何着手解决其组织适用的许多IT操纵要求，包含PCIDSS遵守要求。为实现这目的，本指南提供了有关在此过程中您能够使用的解决方案的信息。重要本规划指南不提供法律意见。本指南仅提供有关法规遵守的事实面与技术面的信息。不要完全依靠本指南提供的有关如何满足法规要求的意见。有关特定问题，请向您的律师或者审核人员咨询。本文的目标读者PCIDSS遵守规划指南要紧针对负货确保其组织安全可兼地收集、处理、传输与存储持k人数据同时保护持卡人隐私的个人。本指南的目标读者包含在组织中担任下列职位的IT管理人员：首席信息官（CIO），负曲系统与IT南美流程的部署与运行。苜席信息安全官（C1SO

5、）,负责整个信息安全计划与对信息安全策略的遵守。Ir席财务官（CFO），负责其组织的整个操纵环境。首席保密官（CPO），负责实施与个人信息管理有关的策略，包含支持遵守保密性与数据保护法的策略。技术决策者.负贵确定适当的技术解决方案来解决特定的业务问题。IT运营经理，运行执行PCIDSS遵守计划的系统与流程。IT安全架构师设计IT操纵与安全系统以提供满足其组织业务需求的相应安全级别。IT基础结构架构师,设计支持IT安全架构师设计的IT安全与操纵的基础结构.咨询人员与合作伙伴，推荐或者实施保密性与安全最佳做法，帮助客户实现PCIDSS遵守H标.此外，本指南关于下列人员可能也非常有价值:风险/合规事

6、务主管.负贲其组织符合PCIDSS要求的总体风险管理。IT审核经理，负责审核IT系统，减少内外IT审核人员的工作量。什么是支付卡行业数据安全标准？支付卡行业（PC1）数据安全标准（DSS）是一组全面的要求，旨在确保持卡人的信用卡与借记卡信息保持安全，而不管这些信息是在何处以何种方法收集、处理、传输与存储。PC1DSS由PCI安全标准委员会的创始成员（包含AmericanExpressDiscoverFinancia1ServicesJCB、MasterCardWor1dwide与VisaInternationa1）制定，旨在鼓励国际上使用一致的数据安全措施.PCIDSS中的要求是针对在日常运营

7、期间需要处理持卡人数据的公司与机构提出的。具体而言PCIDSS对在整个营业日中处理持卡人数据的金融机构、贸易商与服务提供商提出了要求.PCIDSS包含有关安全管理、策略、过程、网络体系结构、软件设计的要求的列表，与用来保护持卡人数据的其他措施。PCIDSSVI.1是2006年9月公布的最新版本标准。该标准由一组共6个原则与12个附属要求构成。每项要求下面包含子要求，您务必按照这些子要求来实施流程、策略或者技术解决方案以遵守该要求。PCIDSS策略与要求包含： 建立与保护安全网络要求1：安装与保护一个防火增配置来保护持卡人数据。要求2：不要对系统密码与其他安全参数使用供应商提供的默认值。 保护持

8、卡人数据 要求3：保护存储的持卡人数据。 要求4：对通过开放的公共网络传输的持卡人数据进行加密。 保护漏洞管理计划 要求5：使用并定期更新防病毒软件。 要求6：开发并保护安全系统与应用程序。 实施强访问操纵措施 要求7：将对持卡人数据的访问限制为业务需要时。 要求8：为具有计算机访问权限的每个人分配唯一的ID： 要求9：限制对持卡人数据的物理访问。 定期监视与测试网络 要求10：跟踪与监视对网络资源与持卡人数据的所有访问。 要求11：定期测试安全系统与流程。 保护信息安全策略要求12：保护解决信息安全的策略。要求9与12不需要您实施技术解决方案。要求9指示您解决存储与处理持卡人数据的位置的物理

9、安全。这可能包含对大楼进出实施安全操纵、安装与保护监视设备与要求对在设施内工作或者访问设施的所有个人进行身份检查。要求12指示您创建信息安全策略，将其传达给您的员工、供应商与在您的组织内处理持卡人数据的其他当事人。规划PCIDSS遵守孤立起来创建PCIDSS遵守解决方案既不高效也不经济。在规划遵守PC1DSS要求的方法时，您还务必考虑其他许多法规。这些法规的例子包含： 萨班斯-奥克斯利法案(SOX) 格宙姆-里奇-比锵利法案(Gramm-1eaChB1i1eyAct)健康保险流通与责任法案(HIPAA) 欧洲数据保护指令(EUDPD) ISO17799:2005信息安全管理实施细则(ISo17

10、799)注意假如您的组织是一个跨国企业，则需要确保遵守所有业务开展地的政府法规。Microsoft建议您向熟悉组织业务开展地的所有法规的律师咨询。您的组织创建的PCIDSS遵守解决方案应该在完全熟悉下列两个问题的情况下制定： 满足其他法规要求的现有解决方案 创建符合所有法规要求的新解决方案的最佳方法为高效且有效地实现您的遵守目标，Microsoft建议您利用操纵框架来帮助实现您组织的法规遵守目标。利用操纵框架，您的组织能够将适用法规与标准映射到框架中。然后，您的组织就能够更高效地将IT操纵工作的重点放在解决框架(而不是各个法规)中定义的要求上。此外，在出现新的法规与标准影响组织时，您也能够将它

11、们映射到框架，然后集中精力解决框架中要求已更换的部分。而且，您能够将与IT操纵布关的各类要求映射到框架中，其中包含支付卡行业安全要求、内部策略等行业特定的要求。框架为寻求实现法规遵守目标的组织提供了许多显著的优势。利用基于框架的法规遵守方法，组织能够： 组合IT操纵以满足多种法规标准，比如，PCIDSS与EUDPD所规定的标准，从而避免单独审核。 在新法规推出时能够迅速做出调整。 通过选择膨响最大的IT操纵，确定支出的优先次序。 避免公司内部的业务部门之间为实现遵守0标所开展的工作出现重复。 通过渐增的更换，更高效地将当前法规更新到所在组织现有的IT操纵。 在IT部门与审计人员之间建立一个公共

12、的平台。有关在操纵框架中使用操纵解决法规要求的全面信息，请参阅法规遵守规划指南oPCIDSS审核流程PCIDSS审核评估由两种第三方组织执行，即合格安全性评估商(QSA)与认可的扫描服务供应商(ASV)QSA执行审核的现场部分，而ASV则对组织面向Internet的环境执行漏洞扫描。关于成为QSA与ASV的企业，每年都务必由PCI数据安全委员会(PCIDSC)进行一次审核与批准。在为组织安排PCIDSS审核之前，或者者最好是在规划PCIDSS遵守时，应该由组织的关键成员对PCIDSS审核过程进行审自。这可能有助于您充分热悉QSA会在审核过程中进行什么检行。作为贸易商或者服务提供商，您的组织务必

13、遵守各个支付卡公司的符合性报告要求，确保每个支付卡公司承认您组织的合规状态。换句话说，假如您的组织是处理与ViSa与AmericanExpress有关的持卡人数据的服务提供商，您务必向ViSa与AmericanExpress提交您的符合性报告。母个支付卡公司的相容规则与过程略不致。有关特定PCIDSS遵守要求与每个公司为实现贸易商与服务提供商相容而推出的支持计划的全面信息，请与您的公司处理、传输或者存储其持卡人数据的支付卡公司联系。满足PCIDSS要求此部分全面说明您的组织规划PCIDSS遵守时能够考虑的Microsoft技术解决方案。您应该将选择的解决方案融合到您的组织的日常工作中。如“规划

14、PCIDSS遵守“部分所述，您的组织策略、过程与技术解决方案应当考虑整个组织的法规遵守情况，还应该考虑PCIDSS遵守会对公司的各个构成部分产生如何的影响。文档管理文档管懂得决方案结合软件与流程来帮助您管理组织内非结构化的信息。此信息可能以许多数字化的形式存在，包含文档、图像、音频与视频文件与XM1文件。满足的PCIDSS要求实施文档管懂得决方案从两个方面捕助实现PCIDSS遵守。一方面，使用此类解决方案来管理包含持卡人数据的文档可抄助满足与数据访问、管理与保护关的PCIDSS要求。具体而言，您能够使用文档管懂得决方案满足要求7与了要求10.2.1，另一方面，您能够使用文档管理系统保护与公布策

15、略，比如满足小节3.6、6.4、9.2与12中的要求所需要的那些策略。可用技术Microsoft提供了许多用于创建文档管理IT操纵的技术，这些技术能够结合起来使用，也能够IY1独使用。您应该设计这些操纵，以满足PCIDSS要求与您的组织适用的其他法规要求。 MicrosoftWindowsRightsManagementServicesWindowsRightsManagementServices(RMS)是一种描助应用程序保护数字信息免遭未经授权使用(包含联机、脱机与在防火墙内外的使用)的软件平台。RMS是MicrosoftOffice与WindowsSharePointServices的信息权限管理(IRM)功能的基础技术。不管是在公司内部部署还是通过托管服务部署，RMS服务器都需要使用这些功能。 MicrosoftOfficeOffice是最要紧的企业生产力应用程序套件。MicrosoftOffice的IRM功能有助于组织操纵对持卡人数据等敏感信息的访问。具体而言，OffiCeIRM功能将招助您的组织： 防止受保护信息的授权接收人转发、纪制、修改、打印、传真或者剪切与粘贴信息来进行未经授权的使用。 防止使用WindowsPrintScreen功能第制受保护的信息.