立即开始  联系销售 
立即开始  联系销售 

企业 PCI DSS 合规清单:如何满足合规标准

Payments
Payments

提供面向各类企业的全方位支付解决方案,满足从初创公司到跨国企业的多维度需求,助力全球范围内线上线下付款。

了解更多 
  1. 导言
  2. 什么是 PCI DSS 合规?
  3. PCI DSS 合规清单包括哪些内容?
    1. 1.安装和维护防火墙
    2. 2.避免使用默认密码和设置
    3. 3.保护已存储的持卡人数据
    4. 4.加密传输中的数据
    5. 5.防御恶意软件
    6. 6.补丁系统和应用
    7. 7.按角色限制数据访问
    8. 8.用户身份唯一性验证
    9. 9.控制物理访问
    10. 10.跟踪并监控访问情况
    11. 11.定期测试安全性
    12. 12.维护安全策略并提供员工培训
  4. 如何监控和测试网络的 PCI 合规性?
    1. 日志记录和监控
    2. 漏洞扫描
    3. 渗透测试
    4. 持续验证
  5. 公司如何维护安全的持卡人数据环境?
    1. 明确并缩小范围
    2. 不存储不必要的数据
    3. 实施数据代币化与加密
    4. 对网络进行分段
    5. 限制并监控访问情况
  6. 您应该采取哪些步骤以确保 PCI DSS 合规?
    1. 范围
    2. 资产盘点
    3. 差距分析
    4. 验证路径
    5. 时间线和角色
  7. 如何长期保持 PCI DSS 合规?
    1. 安排定期检查
    2. 开展重复性培训
    3. 关注供应商情况
    4. 做好应对准备
  8. Stripe Payments 如何提供帮助
  9. 开始使用 Stripe 

保护客户支付数据,关乎建立信任和维持企业有效运营。2024 年,全球平均数据泄露成本已高达 488 万美元,因此维持高标准至关重要。

支付卡行业数据安全标准 (PCI DSS) 合规清单将这一令人望而生畏的标准转化为任何企业都能遵循的明确步骤,以保障持卡人信息。下面,我们将详细说明该清单的要求以及如何长期维持合规。

本文内容

  • 什么是 PCI DSS 合规?
  • PCI DSS 合规清单包括哪些内容?
  • 如何监控和测试网络的 PCI 合规性?
  • 公司如何维护安全的持卡人数据环境?
  • 您应该采取哪些步骤以确保 PCI DSS 合规?
  • 如何长期保持 PCI DSS 合规?
  • Stripe Payments 如何提供帮助

什么是 PCI DSS 合规?

PCI DSS 是保护信用卡和借记卡信息的规则手册。它于 2004 年由 American Express、Discover、JCB、Mastercard 和 Visa 共同制定,旨在最大程度降低欺诈和数据泄露风险。如今,对于任何存储、处理或传输银行卡数据的企业而言,PCI DSS 都是基础安全标准。

PCI DSS 合规是强制性的。如果您的企业接受信用卡或借记卡支付,那么无论它是一家单店商铺、一家快速发展的软件即服务 (SaaS) 公司,还是一家全球性企业,都需遵循 PCI DSS。代表他人转移或存储银行卡数据的服务提供者也必须遵守该标准。具体报告步骤会因交易量不同而有所差异,但安全要求是一视同仁的。

PCI DSS 并非法律,但通过您与银行和支付处理商的合同来强制执行。若不遵守,您可能会面临罚款、高额审计费用、法律诉讼,甚至失去处理银行卡支付的能力。

PCI DSS 合规清单包括哪些内容?

PCI DSS 基于 12 项要求制定。

1.安装和维护防火墙

您的第一道防线是配置良好的防火墙,它可以拦截不需要的流量。定期审查并消除任何不必要的规则。自定义规则很重要。

2.避免使用默认密码和设置

设备和软件出厂时通常附带广为人知的默认值。需立即更改这些设置,禁用未使用的账户,并关闭不需要的服务。

3.保护已存储的持卡人数据

如果无需存储银行卡数据,那就不要存储。如果必须存储,请使用强算法进行加密,如有可能,还需要对数据进行掩码处理或截断,并安全地管理加密密钥。不再需要数据时,将其清除。

4.加密传输中的数据

任何时候,只要银行卡信息在开放网络中传输,就必须进行加密。需要使用现代协议,如传输层安全协议 (TLS) 1.2 或更高版本。安全套接层协议 (SSL) 等旧协议的防护效果较差。切勿通过电子邮件或未加密的渠道发送银行卡号。

5.防御恶意软件

每个可能遭受恶意软件攻击的系统,都需要安装最新且自动运行的防恶意软件保护程序。PCI DSS v4.0 进一步要求,不仅要采用传统的防病毒保护措施,还鼓励使用先进的检测工具。

6.补丁系统和应用

漏洞是黑客的突破口。需要保持资产清单的更新,订阅安全公告,并迅速应用补丁。如果自行开发应用程序,则需要遵循安全编码规范。

7.按角色限制数据访问

应用最小权限原则。只有真正需要访问银行卡数据的员工才能拥有访问权限。使用基于角色的控制,当角色发生变化时,及时撤销访问权限,对于敏感任务,可考虑采用即时访问方式。

8.用户身份唯一性验证

每个人都有一个唯一的 ID。不允许共享登录。对于持卡人数据环境 (CDE) 内所有系统的访问,都要求使用强密码和多因素身份验证。这是 PCI DSS v4.0 的明确要求。

9.控制物理访问

保护银行卡数据的物理存放位置:服务器机房、支付终端、纸质记录和备份。使用身份证、门锁和摄像头监控。销毁不再需要的记录。

10.跟踪并监控访问情况

对涉及持卡人数据的系统,启用详细日志记录功能。记录谁在何时做了什么。至少存储一年的日志记录——最近三个月的日志记录应便于随时调取查看——并定期检查是否有任何异常情况。

11.定期测试安全性

每季度进行一次漏洞扫描。如果您有线上业务,需选择经 PCI 安全标准委员会认证的扫描供应商。至少每年进行一次渗透测试。在任何重大变更后,都需要进行内部扫描。测试可以让您在攻击者利用问题之前发现并解决问题。

12.维护安全策略并提供员工培训

合规不仅取决于系统,还取决于人员。需要制定正式的安全策略,每年更新一次,并定期对员工进行培训,使每个人都知道如何保护支付数据。

将您的 PCI DSS 合规清单视为一份行动指南。随着业务的增长,不断进行配置、加密、限制、监控、测试和培训。

如何监控和测试网络的 PCI 合规性?

PCI DSS还要求您每日验证自身控制措施是否切实有效。这涵盖监控与测试环节。

日志记录和监控

涉及持卡人数据的系统必须生成详细日志,记录何人在何时访问了哪些内容、执行了何种操作。您至少要存储一年的日志记录,且最近三个月的日志记录需能随时调取查看。同时,您还需要对这些日志记录进行审查。不少企业会借助自动警报来标记可疑活动,比如管理员账户在非正常时段登录等。

漏洞扫描

PCI DSS明确规定,需由经认证的扫描供应商每季度对您面向互联网的系统开展一次漏洞扫描。此外,还应安排内部扫描,特别是在系统发生重大变更之后。这些扫描旨在查找攻击者可能利用的已知弱点,如过时的软件、配置错误的防火墙等。

渗透测试

每年至少进行一次渗透测试。这类模拟攻击由像黑客一样思考的专业人员实施。与自动化扫描不同,渗透测试会深入探究不同漏洞如何形成实际风险,帮助您以攻击者的视角审视自身环境。

持续验证

PCI 合规意味着要遵循一个持续循环的过程:配置系统、扫描系统、修复问题并重新测试。其目的在于在问题引发数据泄露之前将其发现,并证明您的控制措施经得起检验。

公司如何维护安全的持卡人数据环境?

保障持卡人数据安全,关键在于营造一个各层面风险均能有效降低的环境。PCI DSS 将此环境称为持卡人数据环境 (CDE),而要确保其安全,就需要关注范围、存储、访问以及架构。

以下是保障 CDE 安全的方法。

明确并缩小范围

首先,准确找出银行卡数据在系统中的流动路径。列出接触或传输银行卡数据的应用程序、数据库、终端和网络。然后,缩小范围:如果系统不需要处理银行卡数据,便将其排除在范围之外。

不存储不必要的数据

存储的每一条银行卡数据都可能带来风险。只保留必要的数据,并设置自动流程来清除旧数据。如有可能,可以使用数据掩码和截断技术,这样即便数据泄露,对攻击者来说也毫无用处。

实施数据代币化与加密

在必须处理银行卡号时,可以使用系统之外无利用价值的代币来替换它们。对静态和传输中的持卡人数据进行加密,并以与保护数据相同的严谨态度来管理加密密钥:限制访问权限,定期更换密钥,并记录密钥的使用情况。

对网络进行分段

将 CDE 与其他系统隔离开来。网络分段能够确保即便某个区域被攻破,攻击者也无法直接获取支付数据。

限制并监控访问情况

实施严格的访问控制:采用基于角色的权限设置、多因素身份验证,并记录每一次访问尝试。经常审查权限,并在不再需要时立即撤销访问权限。

受保护的 CDE 需要定期审查、更新和测试。通过缩小范围、有效加密以及限制暴露,您可以构建一个能够抵御失误和攻击的稳健环境。

您应该采取哪些步骤以确保 PCI DSS 合规?

在填写问卷或安排审计之前,您需要清楚地了解企业处理银行卡数据的方式以及风险所在。这能让 PCI DSS 合规要求从一个抽象标准转变为一个具体的项目计划,从一开始就明确范围、证据和责任。

以下是准备方法。

范围

确定每一个涉及持卡人数据的系统、应用程序和网络。创建一个数据流程图,准确展示银行卡信息从输入点(如网站、终端、应用程序)到处理或存储位置,在您所处的环境中是如何流动的。任何与银行卡数据交互的内容都在合规范围内。

资产盘点

列出所有参与支付处理的硬件、软件和服务提供者。这有助于了解哪些需要保护,以及第三方责任所在。

差距分析

将您当前的控制措施与 PCI DSS 的 12 项要求进行对比。差距分析能揭示缺失的政策、过时的配置或未打补丁的系统,并为您提供一个优先的补救路线图。

验证路径

企业通常通过自我评估问卷来验证合规性。但大型企业通常需要由合格安全评估员出具的正式合规报告。具体采用哪种路径取决于您的交易量以及支付处理方式。

时间线和角色

预留出用于补救、编写文档、测试和培训的时间。明确划分责任,确保各项任务不会出现疏漏。

如何长期保持 PCI DSS 合规?

合规是一个循环往复的过程。要实现长期的 PCI 合规,就需将安全措施融入日常运营中。

以下是具体做法。

安排定期检查

安排季度性的漏洞扫描、年度渗透测试、政策审查以及定期风险评估。记录每一项活动,以便为审计人员提供书面记录,同时也便于自身问责。

开展重复性培训

人是系统的重要组成部分。定期举办安全意识培训课程,让员工了解如何识别银行卡盗刷者、网络钓鱼企图以及篡改迹象。当标准或自身流程发生变化时,及时更新培训内容。

关注供应商情况

第三方提供商通常是支付流程的一部分。定期审查他们的合规状态,并确保合同中明确规定了安全责任。

做好应对准备

维护事件响应计划:知晓在出现问题时应联系谁、如何隔离系统以及如何通知利益相关者。一旦出现问题,必须能够迅速采取行动。

Stripe Payments 如何提供帮助

Stripe Payments 提供一体化的全球支付解决方案,帮助任何企业——从成长型初创公司到全球性企业——在全球范围内接受线上和线下付款。

Stripe Payments 可帮您:

  • 优化结账体验: 通过预构建的支付用户界面、超过 125 种支付方式以及 Stripe 构建的数字钱包 Link,营造顺畅的客户体验,并节省数千个小时的工程时间。

  • 更快拓展新市场: 覆盖全球客户,并通过跨境支付选项降低多币种管理的复杂性和成本,服务覆盖 195 个国家、支持 135 种以上的货币。

  • 统一线下与线上付款: 整合线上与线下渠道,打造一体化商务体验,实现个性化互动、奖励客户忠诚度并增加收入。

  • 优化支付性能: 通过一系列可定制、易于配置的支付工具提升收入,包括无代码的欺诈保护功能与提高授权率的高级功能。

  • 依托灵活可靠的平台加速业务增长: 采用专为弹性扩展设计的平台架构,提供 99.999% 正常运行时间与业界领先的可靠性保障。

了解关于 Stripe Payments 如何助力线上与实体支付业务的更多信息,或立即开始使用

本文中的内容仅供一般信息和教育目的,不应被解释为法律或税务建议。Stripe 不保证或担保文章中信息的准确性、完整性、充分性或时效性。您应该寻求在您的司法管辖区获得执业许可的合格律师或会计师的建议,以就您的特定情况提供建议。

更多文章

  • Something went wrong. Please try again or contact support.

准备好开始了?

创建账户即可开始收款,无需签署合同或填写银行信息。您也可以联系我们,为您的企业定制专属支付解决方案。
Payments

Payments

借助为各种企业打造的支付解决方案,实现全球范围线上线下收款。

Payments 文档

查找 Stripe 的付款 API 集成指南。