什麼是支付卡產業 (PCI) 資料安全標準 (DSS)?
PCI 資料安全標準是一套可提高付款帳戶資料安全的完善規定,由 American Express、Discover Financial Services、JCB International、MasterCard Worldwide 及 Visa Inc. International 共同訂制。制訂這套標準是為了協助全球採用一致的安全標準。所有為 American Express、Discover、JCB、MasterCard及 Visa 處理、儲存或進行付款卡資料的商店都需遵守 PCI 資料安全標準。主要有六大項,具體包含12項控制目標,67要求來保護持卡人數據資訊不遭受洩露。這6個控制域具體如下:
1、構建並維護安全的網路
2、保護持卡人資料
3、維護漏洞管理程式
4、執行嚴格的存取控制措施
5、定期監控網路和測試網路
6、維護資訊安全政策
PCI標準自發佈以來,得到了國際卡組織和金融機構的支援和推廣,他們通過制定最後合規期限、處罰條例等方式促使這一標準成為了商戶和服務提供者必須遵循的一項強制規範。對於支付產業鏈中那些在國外上市的企業來說,sox和pci就像是為企業護航的左右臂膀,從內控和安全兩個方面保證著必要的法律遵循及標準合規。
|
Control Objectives |
PCI DSS Requirements |
|---|---|
|
Build and Maintain a Secure Network |
1. Install and maintain a firewall configuration to protect cardholder data 2. Do not use vendor-supplied defaults for system passwords and other security parameters |
|
Protect Cardholder Data |
3. Protect stored cardholder data 4. Encrypt transmission of cardholder data across open, public networks |
|
Maintain a Vulnerability Management Program |
5. Use and regularly update anti-virus software on all systems commonly affected by malware 6. Develop and maintain secure systems and applications |
|
Implement Strong Access Control Measures |
7. Restrict access to cardholder data by business need-to-know 8. Assign a unique ID to each person with computer access 9. Restrict physical access to cardholder data |
|
Regularly Monitor and Test Networks |
10. Track and monitor all access to network resources and cardholder data 11. Regularly test security systems and processes |
|
Maintain an Information Security Policy |
12. Maintain a policy that addresses information security |
留言列表
Google Analytics (0)
