pci audit procedures v1 1 Chinese final april 23 TCH€¦ ·...

安全審計程式 V1.1

1

支付卡行業（PCI）資料安全標準

安全審計程式

版本：V1.1

發佈時間：2006年9月


2

目錄

前言………...................................................................................................................................................…............................................................................... 3 PCI DSS適用性信息……………..............................................................................................................…................................................................................. 4 PCI DSS要求合規評估範圍……………………………………............................................….................…................................................................................. 5

無線….. ..............................................................................................................................................…................................................................................. 6 外包……….......................................................................................................................….................…............................................................................... 6 取樣……...............................................................................................................................................…................................................................................ 6 補償控制…………...............................................................................................................……………..............................................................................… 6

合規報告的指導和內容...............................................................................................................................….……………………………................................. 7 公開事項再評估………….. .....................................................................................…................................................................................. 8

構建和維護安全網路………………….........................................................................................................…........................................................................... .... 8 要求 1:安裝並且維護防火牆以保護持卡人資料………………………………………………………….………………………………………………………... 8 要求 2:避免使用供應商提供的默認系統口令和其他安全參數 ..........................…………………………………………………........................................ 12

保護持卡人資料………........................................................................................................................................................................................................…...... 15 要求 3:保護存儲的持卡人資料..................................................................................................................................................................…………….…... 15 要求 4:加密開放/公共網路上的持卡人資料傳輸…………………………………………………………………………………………………………….…... 21

維護一個弱點管理程式.........................................................................................................................................................................………………….…… 23 要求 5:使用定期升級的防病毒軟體或電腦程式...................................................................................................................................................………. 23

要求 6:開發並維護安全的系統和應用..........................................................................................................................……………………………………… 24 實施強有力的訪問控制措施............................................................................................................................................................................……………………28

要求 7:根據業務需要限制對持卡人資料的訪問 ................................................................................................................…………………………….…… 28 要求 8:為每一個具有電腦訪問許可權的用戶分配唯一的ID .....................................................................................................................………….…... 29 要求 9:限制對於持卡人資料的物理訪問 ............................................................................................................................................…………….…… 33

定期監視並測試網路........................................................................................................................................................................................…………….…….. 36 要求 11:定期測試安全系統和流程......................................................................................................................................………………………….……… 39

維護一個資訊安全策略.....................................................................................................................................................................................………….……….. 41 要求 12:維護一個策略用以向員工和合同商傳達資訊安全 ................................................……………………………………………….........…............... 41

附錄 A：PCI DSS對於主機服務商的適用性（及測試程式）……………………………………………………………………………………...…...…...…...…...47 要求 A1:主機服務商保護持卡人資料........................................................................................................................................…….………………………... 47 附錄 B — 補償控制…………....................................................................................................................................................................….......................….… 49

補償控制 — 概要…………..................................................................................................................................................................…..........................… 49 要求 3.4 的補償控制.................................................................................................................................................................................................……..... 49

附錄 C：補償控制備忘錄/完整示例.....................................................................................................................................…………………………..…….……. 50


3

前言

支付卡行業（PCI）安全審計程式的目標用戶是執行現場審查的評估機構，在商家和服務提供商的要求下，評估機構根據支付卡

行業資料安全標準（以下簡稱PCI DSS）要求進行合規審核。本文檔中闡述的要求和審計程式基於PCI DSS。

本文檔包括以下內容:

• 前言

• PCI DSS適用性信息

• PCI DSS要求合規評估範圍

• 合規報告的指導和內容

• 公開事項再評估

• 安全審計程式

附錄

• 附錄 A：PCI DSS對於主機服務商的適用性（及測試程式）

• 附錄 B：補償控制

• 附錄 C：補償控制備忘錄/完整示例


4

PCI DSS 適用性信息

下表介紹了通常會使用到的持卡人資料和敏感認證資料、它們是否允許被保存以及各資料元素是否必須受到保護。本表格沒有列

舉出所有的資料元素，只闡明了應用於各類資料元素的不同類型的要求。

資料元素存儲許可

保護要求 PCI DSS

要求 3.4

持卡人數據

主帳號（PAN） YES

YES YES

持卡卡人姓名* YES

YES* NO

服務代碼* YES

YES* NO

有效期* YES

YES* NO 敏感認證資料** 全部磁條資訊 NO

N/A N/A

CVC2/CVV2/CID NO

N/A N/A

PIN / PIN Block NO

N/A N/A

*當這些資料元素與PAN一起存儲時，它們必須受到保護。保護措施必須符合PCI DSS的相關要求。另外，基於某種原因（比如，顧客個人資訊保護、隱私保護、防止身份盜竊或保護資料安全），其他法律可能對這些資料會提出特別的保護要求，或者要求在經營活動中收集了顧客的個人資訊的公司適當地公開其某些活動，以符合法律的要求。在PAN沒有被存儲、處理或傳輸的情況下，PCI DSS不適用。

**認證結束後，禁止存儲敏感認證資料（即使已加密）。


5

PCI DSS 要求合規評估範圍

PCI DSS 安全要求適用於所有“系統元件”。系統元件可以是持卡人資料環境中或與之相連的任何網路元件、伺服器和應用等。持卡人資料環境是處理持卡人資料或敏感認證資訊的網路部分。網路元件包括（但不限於）防火牆、交換機、路由器、無線接

入點、網路設備和其他安全設備等。伺服器類型包含但不僅限於：Web、資料庫、認證、郵件、代理、網路時間協定（NTP）和

功能變數名稱服務（DNS）等伺服器。應用是指所有購買的和定制的應用，包括內部和外部（例如，互聯網）應用。

通過適當的網路劃分，將存儲、處理或傳輸持卡人資料的系統與其他系統分離，可以縮小持卡人資料環境的範圍。評估機構必

須檢查網路劃分是否充分而且縮小了審計範圍。

服務商或商家可以使用第三方服務提供商來管理路由器、防火牆、資料庫、物理安全設備和/或伺服器等元件。如果是這樣，持

卡人資料環境的安全性可能受到影響。必須根據 1) 第三方服務提供商的客戶的PCI審計程式；或者 2)第三方服務提供商自己的

PCI 審計程式對第三方服務商提供的相關服務進行審查。

對於需要接受年度現場審查的服務提供商，必須對存儲、處理或傳輸持卡人資料的所有系統元件進行合規審查。

對於需要接受年度現場審查的商家，合規審查範圍的重點是與授權和結算相關的任何系統或系統元件，這些系統/系統元件存

儲、處理或傳輸持卡人資料，它們包括： • 商家網路中的所有外部連接（例如，員工遠端存取、執行處理和維護任務的支付卡公司和第三方的訪問） • 授權和結算環境的入站或出站連接（例如，員工訪問連接或防火牆和路由器等設備的連接） • 任何位於授權和結算環境之外且存付的帳號超過50萬的資料倉庫。注：即使一些資料倉庫或系統不要求進行審計，

但是商家仍然有責任確保所有存儲、處理或傳輸持卡人資料的系統符合PCI DSS要求 • POS 環境 – 它是商家場所（如零商店、餐館、酒店、加油站、超市或其他POS場所）中接受交易的位置 • 如果商家場所沒有外部訪問（通過互聯網、無線、虛擬專用網（VPN）、撥號、寬帶或公用設備（如自動售貨機）

訪問），可以排除對POS環境的審計


6

無線

外包

如果使用無線技術存儲、處理和傳輸持卡人資料（例如，POS 交易資料和“line-busting”），或者部分持卡人資料環境與無

線局域網相連（例如，未使用防火牆明確地隔離），必須採用並執行針對無線環境的要求和測試程式。無線安全目前還不成

熟，這些要求規定了提供最低限度的保護所需要實現的基本無線安全特性。由於無線技術安全性還得不到保障，因此在採用無

線技術之前，組織應認真考慮無線技術的必要性，以防範風險。可以考慮僅將無線技術應用於非敏感性資料傳輸，或者等待部

署更安全的技術。

取樣

對於那些將持卡人資料的存儲、處理和傳輸外包給第三方服務提供商的實體，合規報告必須記錄每個服務提供商承擔的任務。

此外，服務提供商還有責任審查他們自己的 PCI DSS 要求合規情況，這與客戶的合規審計無關。另外，商家和服務提供商必

須簽署合約，要求所有相關的第三方訪問持卡人資料時必須遵守 PCI DSS 的規定。有關詳細介紹請參閱本文檔中的要求 12.8

評估機構可以選擇一個具有代表性的系統元件進行測試。樣本必須是從所有類型的系統元件中選擇的具有代表性的元件，而且

應覆蓋受審查區域的各種作業系統、功能和應用。例如，審查者可以選擇運行 Apache 的 Sun 伺服器、WWW 伺服器、運行

Oracle 的 NT 伺服器、運行傳統支付卡處理應用的大型主機系統、運行 HP-UX 的資料傳輸伺服器和運行 MYSQL 的 Linux 伺

服器。如果所有應用都運行在一個OS（例如NT或Sun）上，樣本仍然應該覆蓋各種應用（例如、資料庫伺服器、Web 伺服器和資

料傳輸伺服器）。

選擇商家的商店或連鎖店樣本時，評估機構應考慮以下事項： • 如果制定了相關的標準，而且每家商店都遵循了所要求的PCI DSS流程，取樣範圍可以小於所要求的範圍，如果沒有標準

流程，應確保每家商店都根據標準流程進行配置。 • 如果實施了多種類型的標準流程（例如，不同類型的商店實施不同的流程），取樣範圍應足夠大，以確保覆蓋實施了不

同類型流程的各類商店。 • 如果未實施標準PCI DSS流程而且每家商店都實施他們自己的流程，取樣範圍應較大，以確保每家商店都理解並正確地實

現PCI DSS要求。補償控制評估機構必須書面記錄補償控制措施，而且隨同合規報告一起呈遞，請參閱附錄C – 補償控制備忘錄/完整示例


7

有關“補償控制”的定義，請參閱PCI DSS術語和縮略語。

合規報告的指導和內容

評估機構可以將此文檔作為範本來創建《合規報告》。接受審計的實體應遵守支付卡公司的相關報告要求，以確保每家支付

卡公司都認可實體的合規地位。聯繫各家支付卡公司，以確定各公司的報告要求和指導說明。編寫《合規報告》時，所有評

估機構都必須參照報告的內容和格式指導說明：

1. 聯繫資訊和報告日期

• 包括商家或服務提供商和評估機構的聯繫資訊 • 報告的編寫日期

2. 執行摘要

包括以下內容：

• 業務說明 • 與公司共用持卡人資料的服務提供商和其他實體 • 執行人關係 • 說明實體是否直接連接到支付卡公司 • 對於商家，列出所使用的POS產品 • 任何必須遵守PCI DSS規定的全資附屬實體 • 任何需要遵守PCI DSS規定的國際實體 • 任何連接到持卡人資料環境的無線 LAN 和/或無線 POS 終端

3. 工作範圍和採用的方法說明

• 執行評估所使用的安全審計程式文檔的版本 • 評估時間安排 • 進行重點評估的環境（例如，客戶的互聯網接入點、公司內部網、支付卡公司的處理點） • 任何未接受審查的區域 • 網路拓撲和控制的簡要說明和概要圖 • 訪談人員列表 • 審查的文檔列表


8

• 所使用的硬體和關鍵軟體（如資料庫或加密軟體）列表

• 對於託管服務提供商（MSP）審查，明確地說明本文檔中的哪些要求適用於 MSP（並需要進行審查），以及哪些要求不需要接受審查，而是由MSP的客戶進行審查。說明進行MSP季度弱點掃描時必須對 MSP 的哪些IP位址進行掃描，以及哪些IP位址由 MSP 的客

戶執行他們的季度掃描任務時進行掃描。

4. 季度掃描結果

• 在“要求 11.2”的備註中對最近的季度掃描結果進行總結 • 掃描必須覆蓋實體中所有的外部可訪問（互聯網介面）IP 位址

5. 結果和報告

• 所有評估機構都必須使下面的範本提供每項要求和子要求的評估結果詳細報告 • 可行的情況下，應記錄為了實施控制而採用的所有補償控制。 • 有關補償控制的定義，請參閱PCI DSS術語和縮略語。

公開事項再評估

需要提供“已實施的控制措施”報告，以確保合規性。如果審計員/評估機構編寫的原始報告包含“公開事項”，商家/服務提

供商必須提出這些事項，然後才能進行驗證。評估機構/審計員將進行重新評估，以確定是否發生了變更，以及所有要求是否

都得到了滿足。重新驗證之後，評估機構將發佈新的《合規報告》，說明系統完全合規，然後按照指導說明呈遞報告（參閱前

面的內容）

構建和維護安全網路

要求 1: 安裝並且維護防火牆以保護持卡人資料

防火牆是一種電腦設備，它控制著出入組織網路或出入組織內部敏感網路的通信。防火牆檢查所有的網路通信並阻止不符合特定安全要求的通信。

所有系統必須受到保護，以防止來自互聯網的非授權訪問，這些非授權訪問可能偽裝成一次電子商務交易、員工通過桌面電腦進行互聯網流覽或員工的電子郵件訪問。通常，看似平常的互聯網通路可以成為進入關鍵系統的途徑。所以，防火牆是電腦網路的一個關鍵保護機制。


9

PCI DSS 要求測試程式已實施未實施目標日期/備註

1.1 建立防火牆配置標準，包括：

1.1 獲得並查看防火牆配置標準和下面指出的其他文檔，以檢查標準是否完備。必須檢查本節中規定的所有專案。

1.1.1 一個正式的流程，用以對所有的外部網路連接和防火牆配置變更進行批准和測試

1.1.1 檢查防火牆配置標準是否包含一個正式的流程，這個流程應規定了如果如何對外部連接和防火牆配置的所有更改進行測試和審批。

1.1.2 當前的網路圖中必須標明所有連接到持卡人資料的所有連接（包括所有無線網路

連接）

1.1.2.a 檢查是否存在當前網路圖，並檢查這個網路圖是否記錄了連接到持卡人資料的所有連接（包括所有無線網路連接）

1.1.2.b.檢查這個網路圖是否為最新的網路圖。

1.1.3 要求在所有互聯網連接點以及隔離區（DMZ）與內部網路區域之間配置防火牆

1.1.3 檢查防火牆配置標準是否要求在每個互聯網連接點以及在隔離區（DMZ）與內聯網之間配置防火牆。檢查當前網路圖是否與防火牆配置標準相一致。

1.1.4 網路元件邏輯管理的組、角色和職責描述

1.1.4 檢查防火牆配置標準是否包括了網路元件邏輯管理的組、角色和職責描述。

1.1.5 業務必需的服務和埠清單檔

1.1.5 檢查防火牆配置標準是否包括一個業務必需的服務和埠清單檔

1.1.6 任何採用的傳輸協議都必須經過審批和記錄。傳輸協定不僅限於超文本傳輸協定

（HTTP）、安全套接字層（SSL）、安全

Shell（SSH）和虛擬專用網路（VPN）協定

1.1.6 檢查防火牆配置標準是否包括任何可用協議（不僅限於 HTTP、SSL、SSH 和 VPN）的審批和記錄規定。

1.1.7 對採用的任何風險較高的協議（比如FTP）進行審批和記錄。內容包括，使用此協定的原因和已採取的安全措施

1.1.7.a 檢查防火牆配置標準是否包括任何風險性協議（如 FTP）的審批和記錄規定，並且必須說明使用此類協議的原因以及已採取的安全措施

1.1.7.b 檢查每項運行中的服務的文檔和設置，以獲得能夠證明服務的必要性和安全性的證據。


10


1.1.8 每季度復審防火牆和路由器的規則設置

1.1.8.a 檢查防火牆配置標準是否要求每季度復審防火牆和路由器的規則設置

1.1.8.b 檢查是否每季度都復審了這些規則設置

1.1.9 路由器的標準配置 1.1.9 檢查防火牆配置標準是否應用于防火牆和路由器

1.2 建立一個防火牆配置用以拒絕來自不可信網路和主機的所有通信，持卡人資料環境所必需的協定除外。

1.2 選擇一個樣本防火牆/路由器，它位於 1)互聯網與 DMZ 之間，2）DMZ與內部網路之間。這個樣本應包括互聯網上的扼制點路由器、DMZ 路由器和防火牆、DMZ 持卡人區域、邊界路由器和內部持卡人資料網路區域。檢查防火牆和路由器配置，以確定是否只允許持卡人資料環境所必需的協議的入站和出站流量。

1.3 任何存儲有持卡人資料的系統（及其組成部分）與公共伺服器之間的任何連接（包括無線連接），都需建立一個防火牆配置加以限制。這個防火牆配置應包含：

1.3 檢查防火牆/路由器配置，以確定公用伺服器與存儲有持卡人資料的元件之間的連接是否受到限制，方法如下:

1.3.1 限制互聯網輸入流量到達隔離區內的互聯網協議（IP）位址（進入過濾）

1.3.1 檢查是否僅允許互聯網流量到達DMZ內的IP位址

1.3.2 不允許內部位址經由互聯網訪問DMZ

1.3.2 檢查是否允許內部位址經由互聯網進入DMZ。

1.3.3 實施狀態檢測－也稱為動態包過濾－只允許通過“已建立”的連接進入網路。

1.3.3 檢查防火牆是否執行狀態檢查（動態包過濾）。[只允許通過已建立的連接進入，而且這些連接必須與預先建立的會話相關聯（使用“syn reset”或“syn ack”位組對所有 TCP 埠運行 NMAP – 如果收到回應，表示允許資料包通過，即使它們不是預先建立的會話中的一部分）]。

1.3.4 將資料庫放置於內部網路區域，且必須與 DMZ 隔離

1.3.4 檢查資料庫是否位於與DMZ相隔離的內部網路區域。


11


1.3.5 限制持卡人資料環境的入站和出站流量，僅允許必需的流量出入

1.3.5 檢查是否僅允許持卡人資料環境所必需的入站和出站流量，以及是否使用文檔記錄了這些限制規定。

1.3.6 保護並同步路由器配置檔。例如，運行配置檔（路由器在正常工作狀態下使用的配置檔）和初始化配置檔（當路由器重新啟動時會使用）應具有相同的安全配置。

1.3.6 檢查路由器配置檔的安全性和同步性[例如，運行配置檔（路由器在正常工作狀態下使用的配置檔）和初始化配置檔

（當路由器重新啟動時會使用）應具有相同的安全配置]。

1.3.7 拒絕所有未被明確允許入站和出站的流量

1.3.7 檢查是否拒絕 1.2 和 1.3 中未述及的所有其他入站和出站流量。

1.3.8 在任何無線網路和持卡人資料環境之間安裝邊界防火牆，並且將這些防火牆配置為拒絕所有來自無線環境的流量或控制業務必需的流量

1.3.8 檢查無線網路與存儲了持卡人資料的系統之間是否安裝了防火牆，以及這些防火牆是否拒絕或控制任何從無線環境進入持卡人資料存儲系統的流量。

1.3.9 任何與互聯網直接相連、又被用於訪問組織（內部）網路的移動電腦和員工所有的電腦（比如，員工使用的筆記本電腦）應安裝個人防火牆軟體

1.3.9 檢查任何與互聯網直接相連、又被用於訪問組織（內部）網路的移動電腦和員工所有的電腦（比如，員工使用的筆記本電腦）上是否安裝並啟用個人防火牆系統，以及是否按照組織規定的標準對防火牆進行了配置而且員工無法修改配置。

1.4 禁止任何存儲持卡人資料的內部網路和系統元件（比如，資料庫，日誌，跟蹤檔）被外部網路間接/直接地公開訪問。

1.4 檢查是否禁止了外部公用網絡與存儲持卡人資料的系統元件之間的直接訪問，按照以下方法進行檢查，並且重點檢查 DMZ 與內部網路之間的防火牆/路由器配置：

1.4.1 建立一個DMZ以過濾和遮罩所有流量，禁止為互聯網流量提供直接的入站和出站路由

1.4.1 檢查防火牆/路由器配置，並檢查是否存在互聯網流量的直接入站或出站路由


12


1.4.2 限制源自支付卡應用、目的地為DMZ區IP地址的出站流量

1.4.2 檢查防火牆/路由器配置，並檢查是否僅允許持卡人應用的內部出站流量到達 DMZ內的IP位址。

1.5 實施IP偽裝以防止內部位址被識別並被暴露在互聯網上。使用私人位址空間（參考 RFC 1918）並利用埠位址轉換（PAT）或網路位址轉換（NAT）。

1.5 對於上面的樣本防火牆/路由器元件，檢查是否採用了 NAT 或其他使用 RFC 1918 位址空間的技術，以限制將IP位址從內部網路廣播到互聯網（IP 偽裝）。

要求 2: 避免使用供應商提供的默認系統口令和其他安全參數

（組織內部或外部的）攻擊者經常使用供應商默認口令和其他供應商默認設置來攻擊系統。這些默認口令和其他一些默認

設置在黑客團體中廣為知曉，而極易根據公開的資訊推定。


2.1 將系統安裝到網路上之前，應修改供應商提供的默認設置（比如，口令、

SNMP（社區字串），並刪除不必要的帳戶）。

2.1 選擇一個樣本系統元件、關鍵伺服器和無線接入點，（在系統管理的幫助下）嘗試使用供應商提供的默認帳戶和口令登錄

設備，以檢查是否已經更改了默認的帳戶和口令。（通過供應商

手冊和網上資源獲取供應商提供的默認帳戶/口令）

2.1.1 對於無線環境，修改無線設備的供應商默認設置，包括但不僅限於 WEP 口令、SSID、口令和 SNMP 社區字串。禁止SSID廣播。在WPA可用的情況下，啟用 WiFi 訪問保護（WPA 和WPA2）技術提供加密和身份認證。

2.1.1 對於無線環境，檢查下列相關的供應商默認設置：

• 安裝時是否更改了WEP密鑰，知曉密鑰的員工離開組織或轉換工作崗位時否更改了WEP 密鑰。


13


• 是否更改了默認SSID • 是否禁止了SSID廣播 • 是否更改了接入點的默認SNMP社區字串• 是否更改了接入點的默認口令 • 如果無線系統支援WPA，是否啟用了WPA

或WPA2 技術 • 是否更改了其他與安全相關的無線供應

商默認設置（如果適用）

2.2 為所有的系統元件開發配置標準。保證這些標準考慮了所有已知的安全弱點，並與行業認可的系統加固標準相一致，例如，由SANS、NIST和CIS定義的相關標準。

2.2.a 檢查組織為網路元件、關鍵伺服器、無線接入點制定的系統配置標準，並檢查系統配置標準是否與行業認可的系統加固標準相一致，例如，由SANS、NIST和CIS定義的相關標準

2.2.b 檢查系統配置標準是否包括後面的項目（2.2.1 – 2.2.4）

2.2.c 檢查是否遵照系統配置標準配置新系統

2.2.1 每一台伺服器只承擔一項主要功能（例如，Web伺服器、資料庫伺服器和 DNS 應該被分別部署在不同的伺服器上）

2.2.1 對於樣本系統元件、關鍵伺服器和無線接入點，檢查是否每台伺服器只承擔一項主要功能

2.2.2 禁用所有不必要的、不安全的服務和協定（指某設備完成它特定的任務不直接需要的服務和協定）

2.2.2 對於樣本系統元件、關鍵伺服器和無線接入點，檢查啟用的系統服務、守護程式（daemon）和協定。檢查是否禁用了不必要或不安全的服務，以及是否對使用的服務進行審批和記錄（例如，不使用FTP，或者通過SSH或其他技術對FTP進行加密）。

2.2.3 設定系統安全參數以防止誤用/濫用

2.2.3.a 與系統管理員和/或安全負責人面談，以確認他們是否知曉作業系統、資料庫伺服器、Web伺服器和無線系統的常用安全參數設置。


14


2.2.3.b 檢查系統配置標準中是否包括了常用安全參數設置

2.2.3.c 對於樣本系統元件、關鍵伺服器和無線接入點，檢查常用安全參數的設置是否正確。

2.2.4 移除所有不必要的功能，例如，腳本、驅動、特性、子系統、檔系統和不必要的Web伺服器。

2.2.4 對於樣本系統元件、關鍵伺服器和無線接入點，檢查是否移除了所有不必要的功能（例如、腳本、驅動、特性、子系統和檔系統等）。檢查是否記錄了啟用的功能、這些功能是否支援安全配置，以及樣本設備上是否只存在經過記錄的功能。

2.3 對所有非控制臺管理連接進行加密。利用SSH、VPN或SSL/TLS等技術保護基於Web的管理和其他非控制臺管理訪問。

2.3 對於樣本系統元件、關鍵伺服器和無線接入點，通過下面的方法檢查是否對非控制臺管理訪問進行了加密：

• 監測登錄到各個系統的管理員，以檢查要求輸入管理員口令之前是否調用了 SSH（或其他加密方法）。

• 復查系統上的服務和參數檔，以確定禁止內部使用 Telnet和其他遠端登錄命令。

• 檢查是否使用SSL/TLS技術對無線管理介面的管理員訪問進行了加密。另外，還可以檢查管理員是否能夠

遠端連接到無線管理介面（所有無線環境的管理都只

能在控制臺上進行）

2.4 主機服務商必須保護各實體的主機環境和資料。這些服務商必須滿足一些特定的要求（詳見附錄A ：“PCI DSS 對於主機服務商的適用性”）

2.4 執行“附錄 A：PCI DSS對於主機服務商的適用性（及測試程式）”A.1.1 – A.1.4 中介紹的測試程式，完成針對共用主機服務商的PCI審計，檢查共用主機服務商是否為實體（商家和服務提供商）的主機環境和資料提供了保護。


15

保護持卡人資料

要求 3: 保護存儲的持卡人資料

加密是持卡人資料保護的一項關鍵組成部分。如果入侵者繞過其他網路安全控制措施，但沒有正確的密鑰，即使能獲得經過加密的資料，這些資料對他也是毫無意義的。其他一些被認為是降低潛在風險的措施也可以有效的保護存儲資料的安全。例如，除非絕對必要，否則不保存持卡人資料；在不需要完整PAN的情況下，保存時截去部分持卡人資料；不使用未加密的電子郵件傳送PAN。


3.1 保留最少的持卡人數據。開發一個資料保留和處理策略，限制資料存儲量和保留時間，達到恰好能滿足業務，法律和管理規定需要的程度。上述策略應文檔化。

3.1 獲得並檢查公司的資料保留和處理策略和程式，執行以下檢查步驟：

• 檢查策略和程式是否包括針對資料保留的法律、法規和業

務要求，包括持卡人資料的具體保留要求（例如，根據業務原因確定持卡人資料的保留時間）

• 檢查策略和程式是否要求法律、法規或業務不需要保留

資料時立即銷毀資料，包括銷毀持卡人資料

• 檢查策略和程式是否覆蓋所有的持卡人資料存儲，包括資料庫伺服器、大型主機、傳輸目錄、用於在伺服器之間傳輸資料的批量資料複製目錄和用於協調伺服器流量的目錄等

• 檢查策略和程式是否包含一個程式化（自動）流程，用

於每季度移除超過業務或審計所需要的保留期限的持卡人資料，以確保存儲的持卡人資料未超過業務所要求的保留期限。


16

PCI DSS 要求

測試程式已實施未實施目標日期/備註

3.2 禁止在身份認證結束後存儲敏感認證資料（即使經過加密）。敏感認證資料包括要求3.2.1 至 3.2.3 中引用的資料：

3.2 如果需要接收和刪除機密認證資料，獲得並檢查資料刪除流程，以確定資料是否不可恢復。對於下面的機密認證資料項目，執行以下檢查步驟：

3.2.1 禁止存儲磁條中任一磁軌的全部內容。（磁條可能位於卡的背面、在一

個晶片中或其他位置）。這項資料可以

被稱為全部磁軌、磁軌、磁軌 1、磁

軌2和磁條資料

在常見的業務過程中，可能需要保留磁條中的一些資料欄位，如持卡人姓名，主帳號，有效日期和服務代碼。為了將風險降至最低，只存儲業務必須的資料字段。切勿存儲卡驗證碼或個人標識代碼（PIN）。

注：其他資訊請參閱術語表。

3.2.1 對於樣本系統元件、關鍵伺服器和無線接入點，檢查以下專案，並確定在任何情況下都禁止存儲卡背面的磁條中任一磁軌的全部內容：

• 輸入的事務處理資料 • 事務處理日誌 • 歷史文件 • 追查文件 • 調試日誌 • 若干資料庫結構 • 資料庫內容

3.2.2 不允許存儲卡驗證碼或/驗證值（列印在支付卡的正面或背面3或4位阿拉伯數字）。注：其他資訊請參閱術語表。

3.2.2 對於樣本系統元件、關鍵伺服器和無線接入點，檢查下列專案，並確定在任何情況下都不存儲印刷在卡背面或簽名條

上的三位或四位卡驗證碼（CVV2、CVC2、CID、CAV2）數據：

• 輸入的事務處理資料 • 事務處理日誌 • 歷史文件 • 追查文件 • 調試日誌


17


• 若干資料庫結構 • 資料庫內容

3.2.3 不允許以明文或密文的形式存儲個人標識代碼（PIN）

3.2.3 對於樣本系統元件、關鍵伺服器和無線接入點，檢查以下專案，並確定在任何情況下都不允許以明文或密文存儲個人

標識碼（PIN）： • 輸入的事務處理資料 • 事務處理日誌 • 歷史文件 • 追查文件 • 調試日誌 • 若干資料庫結構 • 資料庫內容

3.3 顯示 PAN 時採用隱蔽措施（最多只顯示最前6位元和最後4位元數字）。注：在員工和其他組織因特殊原因需要

看到完整 PAN 的情況下，本要求不適用；同時，本要求也不能代替其他更為嚴格的關於持卡人資料顯示的要求（例

如，對於 POS 收條的要求）。

3.3 獲得並檢查書面的策略，檢查信用卡資料的聯機顯示，以確定顯示持卡人資料時是否採用了隱蔽措施，除非需要看到完整的信用卡卡號。


18


3.4 存儲於任何位置（包括 PDA，存儲介質，日誌和由無線網路獲得/存儲的資料）的 PAN，在呈遞時，通過採用下列任一途徑，使 PAN 至少不可讀：

• 強壯的單向散列函數（散列索引）

• 截斷（刪除或省略字串的頭部或尾部）

• 口令本（口令本必須被安全保存）

• 強壯的加密機制，並結合相應密鑰管理流程和管理程式

提交/呈現帳戶資訊時，至少保證 PAN 不可讀（經過散列函數/截斷/加密等處理）。如組織由於某些原因不能對持卡人資

料進行加密,則需參考附錄 B：“補償控制”。

3.4.a 獲得並檢查已存儲資料保護系統的文檔內容，包括供應商、系統/流程的類型和加密演算法（如果適用）。檢查是否使用了以下其中一種方法對資料進行了處理，使之不可讀：

• 單向散列（散列索引）演算法，如 SHA-1 • 截斷或隱藏 • 口令本（口令本必須被安全保存） • 強壯的加密機制，並結合相應密鑰管理流程和管理程式

3.4.b 檢查樣本資料庫服器中的若干個表，以確認資料是否經過了處理而不可讀（即不以純文本形式存儲資料）

3.4.c 檢查可移動介質（例如備份磁帶）樣本，以確認持卡人資料是否經過了處理而不可讀

3.4.d 檢查樣本審計日誌，以確認持人資料是否經過了處理或被清除出日誌

3.4.e 檢查從無線網路接收到的持卡人資料是否經過了處理並且無法在其存儲位置中解讀數據。

3.4.1 如採用了磁片加密（它優於檔加密或資料庫列級加密），邏輯訪問必須獨立於本地作業系統的訪問控制機制（例如，避免使用本地系統帳號或活動目錄帳號）。解密密鑰不能和用戶帳號綁定或關聯。

3.4.1.a 如果採用磁片加密，檢查是否通過與本地作業系統機制不同的機制實現對加密檔系統的邏輯訪問（例如，不使用本地帳號或活動目錄帳號）。

3.4.1.b 檢查解密密鑰是否不存儲在本地系統上（例如，將密鑰存儲在軟碟、CD-ROM 上，以確保其安全並且僅在需要時取回）


19

PCI DSS 要求

測試程式已實施未實施目標日期/備註

3.4.1.c 檢查是否對移動介質上存儲的持卡人資料進行了加密（磁片加密方法通常不能對移動介質進行加密）

3.5 保護持卡人資料的加密密鑰，防止洩露和濫用。

3.5 檢查加密密鑰保護流程（加密密鑰用於對持卡人資料進行加密以防止洩露和濫用），執行以下步驟：

3.5.1只允許最少的保管人接觸密鑰

3.5.1 檢查用戶訪問列表，以確定是否僅允許少數保管人接觸密鑰

3.5.2密鑰應安全保存在儘量少的場所和表單中

3.5.2 檢查系統配置檔，以確定密鑰是否以加密格式存儲，並且密鑰加密密鑰與資料加密密鑰分開存儲

3.6 對於所有用以加密持卡人資料的密鑰，應制定並實施全面的密鑰管理流程和程式，包括：

3.6.a 檢查是否制定了密鑰管理程式並且應用該流程管理持卡人資料加密密鑰

3.6.b 本檢查步驟僅針對服務提供商。如果服務提供商與他們的客戶共用密鑰，以進行持卡人資料傳輸，檢查服務提供商是否為客戶提供了相關文檔，文檔中應包括如何安全存儲和更改客戶的加密密鑰（用於在客戶與服務提供商之間傳輸資料）等指導內容。

3.6.c 檢查密鑰管理流程並執行以下步驟：

3.6.1 強壯密鑰的生成 3.6.1 檢查密鑰管理流程是否要求生成強壯的密鑰

3.6.2 密鑰安全分發 3.6.2 檢查密鑰管理流程是否要求確保密鑰分發的安全。

3.6.3 密鑰安全存儲 3.6.3 檢查密鑰管理流程是否要求確保密鑰存儲的安全


20


3.6.4 密鑰定期更換 • 根據自身認為必要和應用推

薦的方式來進行（例如，重設密鑰）；

• 至少每年一次

3.6.4 檢查密鑰管理流程是否要求定期更換密鑰。檢查密鑰更換流程是否至少每年執行一次。

3.6.5 過期密鑰的銷毀 3.6.5 檢查密鑰管理流程是否要求銷毀過期密鑰。

3.6.6 知識分割並建立密鑰的雙重控制（兩人或三人分別掌握部分密鑰片斷，必須聚齊所有片斷才能重建整個密鑰）

3.6.6 檢查密鑰管流程是否要求知識分割和密鑰的雙重控制（兩人或三人分別掌握部分密鑰片斷，必須聚齊所有片斷才能重建整個密鑰）

3.6.7 防止非授權的密鑰更換 3.6.7 檢查密鑰管理流程是否要求禁止非授權的密鑰更改

3.6.8 更換已被知曉或可能被洩漏的密鑰

3.6.8 檢查密鑰管理程式是否要求更換已被知曉或可能被洩漏的密鑰。

3.6.9 收回過期或失效的密鑰 3.6.9 檢查密鑰管理程式是否要求收回過期或失效的密鑰（主要針對 RSA 密鑰）

3.6.10 要求密鑰保管人簽署一份檔，申明他（她）理解並接受密鑰保管責任

3.6.10 檢查密鑰管理流程是否要求保管人簽署一份檔以申明他/她理解並接受密鑰保管責任


21

要求 4: 加密開放/公共網路上的持卡人資料傳輸.

在易被攻擊者截獲、篡改和重定向的網路上傳輸敏感資訊時必須加密。


4.1 使用強壯的加密演算法和安全協定，例如安全套接字層（SSL）/傳輸層安全（TLS）和IP 安全協議（IPSEC）來保護敏感持卡人資料在開放/公共網路上的傳輸。在PCI DSS中，開放/公共網路的例子包括互聯網、WiFi（IEEE 802.11x）、全球移動通信系統（GSM）和通用分組無線業務（GPRS）

4.1.a 檢查在開放/公共網路上傳輸或接收持卡人資料時是否使用了加密技術（例如，SSL/TLS或IPSEC）

• 檢查資料傳輸期間是否使用了強壯的加密方法 • 對於SSL實現，檢查流覽器統一資源定位符（URL）

中是否有HTTPS，URL中沒有HTTPS時，不能有持卡人資料。

• 選擇一個樣本交易，觀察交易發生過程，確定傳輸期間是否對持卡人資料進行了加密。

• 檢查是否僅接受可信任的SSL/TLS密鑰/證書。 • 檢查是否為所使用的加密演算法實現了適合的加

密強度（查看供應商建議/最佳實踐）

4.1.1 通過無線網路傳輸持卡人資料時，使用WiFi保護訪問（WPA 或

WPA2）技術，IPSEC VPN 或SSL/TLS進

行傳輸加密。不要僅僅依賴WEP保護無線網路的機密性和訪問許可權。

4.1.1.a 對於傳輸持卡人資料或連接到持卡人資料環境的無線網路，檢查是否使用了適當的加密演算法進行無線傳輸加密，例如：Wi-Fi保護訪問（WPA 或 WPA2）、IPSEC VPN或SSL/TLS

]


22


如果使用了WEP，應進行以下設置： • 使用不低於104 位的加密密鑰和 2

位的初始值 • 必須與WAP/WAP2、VPN或SSL/TLS 配

合使用 • 每季度更換WEP共用密鑰（或在

技術條件允許的情況下採用自

動更換的方式） • 掌握密鑰的人員一旦發生變更，

密鑰也必須立即更換 • 根據MAC位址進行訪問限制

4.1.1.b 如果使用了WEP，應檢查：

• WEP是否使用不低於104位的加密密鑰和24位的初始值

• WEP是否與則WAP/WAP2、VPN 或SSL/TLS配合使用 • 是否至少每季度更換一次共用的 WEP 密鑰（或在技

術條件允許的情況下採用自動更換的方式） • 是否在掌握密鑰的人員發生變更時立即更換密鑰 • 是否根據MAC位址對訪問進行限制

4.2 從不使用電子郵件發送未經加密的PAN。

4.2.a 檢查通過電子郵件發送持卡人資料時是否使用了電子郵件加密方法

4.2.b 檢查是否制定了相應的策略，以聲明禁止通過電子郵件發送未加密的PAN

4.2.c 與3-5名員工面談，檢查是否要求使用電子郵件加密軟體對包含PAN的電子郵件進行加密


23

維護一個弱點管理程式

要求 5: 使用定期升級的防病毒軟體或電腦程式

許多漏洞和惡意病毒經常通過員工的電子郵件進入網路。必須在所有容易受感染的系統上使用防病毒軟體。


5.1 在所有容易感染病毒的系統上部署防病毒軟體（尤其是個人電腦和伺服

器）注：通常受病毒感染的系統不包

括基於 UNIX 的作業系統或大型主機系統。

5.1 對於樣本系統元件、關鍵伺服器和無線接入點，檢查是否安裝了防病毒軟體

5.1.1 確保防病毒電腦程式具有檢測，移除其他形式惡意軟體的功能，包括間諜軟體或廣告軟體

5.1.1 對於樣本系統元件、關鍵伺服器和無線接入點，檢查防病毒程式能否檢測、清除和防禦其他惡意軟體，包括間諜軟體和廣告軟體

5.2 確保所有的防病毒措施及時更新和正常運行，並能生成審計日誌。

5.2 檢查防病毒軟體是否為最新版本並且運行正常，而且能夠生成日誌

• 獲得並檢查相關策略，核實策略是否要求及時更新防病毒軟體和病毒庫。

• 檢查防病軟體的宿主系統是否支援自動更新和定期掃描，以及樣本系統元件、關鍵伺服器和無線

接入點是否啟用了這些功能 • 檢查是否支援日誌生成以及是否根據組織的資訊保

留策略對日誌進行了保留


24

要求 6: 開發並維護安全的系統和應用

不道德的個人會利用安全弱點獲得系統訪問特權。許多安全弱點可以使用供應商提供的補丁加以彌補。所有的系統必須安裝最新的、適當的補丁，以防內部員工、外部攻擊者和病毒的侵害。注：適當的補丁指那些已經過充分的評估和測試、被確定不會與現有的安全配置相衝突的補丁。對於內部開發的應用，採用標準的系統開發流程和安全編碼技術可以減少大量的弱點。


6.1 確保所有的系統元件和軟體都安裝了最新的、供應商提供的安全補丁。相關補丁應在發佈後的一個月之內被安裝。

6.1.a 對於樣系統元件、關鍵伺服器、無線接入點和相關的軟體，將每個系統上安裝的安全補丁列表與最新的供應商安全列表

進行比較，以檢查是否安裝了供應商最新提供的補丁

6.1.b 檢查與安全補丁安裝相關的安全策略，以確定這些安全策略是否要求在30天之內安裝所有相關的新安全補丁

6.2 建立一個流程以識別最新發現的安全弱點（例如，從互聯網上訂閱一個免費的預警服務）。根據新的弱點進行相應的升級。

6.2.a 與負責人員面談，以確定是否實施了這些用於識別最新安全弱點的流程。

6.2.b 發現新的弱點公告後，對這個流程進行驗證，確定其是否能夠識別新的安全弱點，包括使用外部安全弱點資訊源和更新要求 2 中所述的系統配置。

6.3 在業界最佳實踐的基礎上開發軟體應用，並將資訊安全與整個軟體發展生命週期相結合。

6.3 獲取並檢查書面的軟體發展流程，以檢查它們是否基於業界標準，以及是否整個生命週期都考慮了安全性。通過檢查軟體發展流程、與軟體發展人員面談和檢查相關資料（網路配置文檔、生產和測試資料等），核實以下事項：

6.3.1 所有的安全補丁以及對系統和軟體的配置變更經過測試後，才能部署

6.3.1 在部署到實際生產環境之前，確保所有變更（包括補丁）都經過了測試


25


6.3.2 將開發，測試和生產環境分離 6.3.2 測試/開發環境與生產環境分離，並使用訪問控制確保分離

6.3.3 對開發，測試和生產環境進行職責分離

6.3.3 開發/測試環境和生產環境負責人員承擔各自的職責。

6.3.4 生產資料（實際有效的PAN）不允許被用於測試或開發

6.3.4 生產資料（實際有效的PAN）不允許被用於測試、開發或者在使用之前對它進行審核。

6.3.5 生產系統正式上線之前，移除所有測試資料和測試帳號

6.3.5 生產系統正式上線之前，移除測試資料和測試帳號

6.3.6 應用正式上線或向消費者發佈前，移除應用中自定義的帳號、用戶名和口令

6.3.6 系統投入生產或向消費者發佈之前，移除自定義的應用帳戶、用戶名和/或口令

6.3.7 在正式上線或向消費者發佈前，對定制代碼進行復審，檢查可能存在的編碼弱點

6.3.7.a 獲取並檢查所有書面或其他形式的策略，以檢查策略是否要求由非原編碼人員復審代碼

6.3.7.b 檢查是否對新代碼和修改後的代碼進行了復查。注：此要求適用於定制軟體發展（作為系統開發生命週期

（SDLC）的一部分）的代碼復查 – 可由內部人員進行復查。從2008年6月30日開始，Web介面應用的自主編碼需要經過其他的控制 - 詳情請參閱PCI DSS要求6.6。

6.4 對所有系統和軟體配置的修改，都必須按照變更控制過程進行。變更控制過程包括：

6.4.a 獲得並檢查與安全補丁安裝和軟體修改相關的公司變更控制程式，檢查此程式是否要求按照下面的6.4.1 – 6.4.4進行：


26


6.4.b 對於樣本系統元件、關鍵伺服器、無線接入點，檢查每個系統元件的變更情況和安全補丁，並根據變更控制文檔記錄規定記載這些變更情況。對於所檢查的變更情況，確定是否按照變更控制程式進行了記錄：

6.4.1 記錄所受到的影響 6.4.1 檢查變更控制文檔記錄規定是否要求記錄每個取樣變更對客戶造成的影響

6.4.2 有關部門管理層審批 6.4.2 檢查是否每項取樣變更都經過了管理層的審批

6.4.3 測試操作功能 6.4.3 檢查是否對每個取樣變更執行操作功能測試

6.4.4 恢復程式 6.4.4 檢查是否為每個取樣變更準備了恢復程式

6.5 所有的Web應用開發基於安全編碼指南。例如，開放Web應用安全專案（OWASP）指南。復審定制的應用代碼以識別編碼弱點。軟體發展流程中通常會出現的編碼弱點包括：

6.5.a 獲得並審查所有基於Web的應用的軟體發展流程，檢查開發流程是否要求為開發人員提供編碼技術培訓，並檢查流程是否基於OWASP指南（http://www.owasp.org）等安全編碼指南。

6.5.b 對於基於Web的應用，檢查是否制定相應的流程以確保Web 應用能夠有效地防禦：

6.5.1 無效輸入 6.5.1 無效輸入

6.5.2 失效訪問控制（例如，用戶ID 的惡意使用）

6.5.2 用戶ID的惡意使用

6.5.3 失效的身份認證和會話管理（對於帳戶憑據和會話Cookie的使用） 6.5.3 帳戶憑據和會話cookie的惡意使用

6.5.4 跨站腳本攻擊（XSS 或CSS） 6.5.4 跨站腳本攻擊

6.5.5 緩存溢出 6.5.5 由於無效輸出和其他原因造成的緩存溢出

6.5.6 注入缺陷（例如，SQL注入缺陷）

6.5.6 SQL注入和其他命令注入缺陷


27


6.5.7 不適當的錯誤處理 6.5.7 錯誤處理缺陷

6.5.8 不安全的存儲 6.5.8 不安全的存儲

6.5.9 拒絕伺服器攻擊（DOS） 6.5.9 拒絕伺服器攻擊（DOS）

6.5.10 不安全的配置管理 6.5.10 不安全的配置管理

6.6 通過以下方法，確保所有的Web介面應用能抵禦已知的攻擊： • 由應用安全專業組織，對所有定制的

應用代碼進行復審，以發現編碼弱點 • 在Web介面應用前端，安裝應用層防

火牆注：這些方法在2008 年6月30日之後將成為標準的一項要求，此前被認為是一項最佳實踐。

6.6 對於基於Web的應用，確保實現以下其中一項測試方法：

• 檢查定制應用代碼是否定期由應用安全組織進行復查，是否更正了所有的編碼弱點，以及在進行更正之後是否對應用進行了重新評估

• 檢查是否在Web介面應用之前安裝了應用防火牆，以偵測和防止基於Web的攻擊


28

實施強有力的訪問控制措施

要求7: 根據業務需要限制對持卡人資料的訪問

這項要求是為了保證關鍵資料僅供授權用戶訪問。


7.1 只允許有工作需要的個人訪問計算資源和持卡人資料。

7.1 獲得並檢查書面的資料控制策略，檢查策略是否要求：

• 僅為授權用戶ID分配履行工作職責所必需的最低許可權 • 根據人員的崗位類別和職能分配許可權 • 授權需要負責規定必要許可權的管理層的簽名 • 實施一個自動訪問控制系統

7.2 為多用戶系統建立一套機制：按照“因需知曉”的原則進行訪問控制，除非獲得特別許可，“拒絕所有”訪問。

7.2 檢查系統設置和供應商文檔，檢查是否實施了訪問控制系統以及該系統是否符合以下要求：

• 覆蓋所有系統元件 • 根據人員的崗位類別和職能分配許可權 • 默認設置為“全部拒絕”（有些訪問控制系統默認設置為“全部

允許”，因而允許所有訪問，除非使用規則明確地拒絕訪問）


29

要求 8: 為每一個具有電腦訪問許可權的用戶分配唯一的ID

為每一個具有訪問許可權的用戶分配唯一的ID，以保證對於關鍵資料和系統的操作能夠被追溯到已知的、被授權的用戶。


8.1 使用唯一的用戶名來鑒別用戶，此後才允許他們訪問系統元件或持卡人資料

8.1 對於樣例用戶ID，復查用戶ID列表，並檢查是否所有用戶都使用唯一的用戶名訪問系統元件或持卡人資料

8.2 除了分配唯一的ID，至少採用下列方式的其中一種方法以鑒別所有

用戶： • 口令 • 權杖設備（例如，

SecureID，證書或公開密

鑰） • 生物特徵

8.2 檢查是否使用唯一ID和附加認證（如口令）鑒別訪問持卡人環境的用戶，方法如下：

• 獲得並檢查認證方法說明文檔 • 對於所使用的各種類型的認證方法和各種類型的系

統元件，審核認證方法，以確定認證方法的運行是否與文檔中的認證方法說明相一致。

8.3 針對員工，管理員和第三方的遠端網路訪問，採用雙因素身份認證機制。例如，使用遠端接入撥號用戶服務（RADIUS）或終端訪問控制器訪問控制系統（TACACS）等技術；在支援個人數位證書的VPN（基於SSL/TLS 或IPSEC）。

8.3 檢查是否實現了作用于所有遠端網路訪問的雙因素認證機制，方法是：監測一個遠端連接到網路的員工（例如管理員），檢查是否要求使用附加認證專案（智慧卡、權杖PIN）

8.4 加密所有口令，無論是在傳輸過程中或存儲在任何系統元件中。

8.4.a 對於樣本系統元件、關鍵伺服器和無線接入點，檢查口令檔，確定是否無法獲得口令。

8.4.b 檢查口令檔，確定客戶口令是否經過了加密，這一檢測步驟僅針對服務提供商


30


8.5 對於所有系統中的非消費者用戶和管理員，進行適當的用戶身份認證和口令管理：

8.5 復查認證程式，並與相關人員面談，確定是否實施了用戶身份認證和口令管理程式，方法如下：

8.5.1 控制用戶ID、憑據以及其他鑒別物件的增加、刪除和修改

8.5.1.a 選擇一個樣本用戶ID，這個樣本應包括管理員和普通用戶。通過執下步驟，檢查是否根據公司策略對使用系統的用戶進行認證：

獲得並檢查每個ID認證表通過認證表中的資訊，檢查是否根根據認證表（和分配的許可權及獲得的所有簽名）對樣本用戶ID進行認證

8.5.1.b 檢查是否僅允許管理員訪問無線網路管理控制臺

8.5.2 在執行口令重置前認證用戶身份

8.5.2 檢查口令程式並觀察安全人員，以確定：如果用戶通過電話、電子郵件、網頁或其他非面晤方式請求重設口令時，是否在重設口令之前對用戶的身份進行驗證

8.5.3 為每個用戶設置唯一的初始口令，並在初次使用後立即更改

8.5.3 檢查口令程式並觀察安全人員，以確定是否為每個新用戶設置唯一的初始口令並且在初次使用後立即更改

8.5.4 立即收回被解聘的用戶的訪問許可權

8.5.4 選擇在過去六個月內被解聘的若干員工樣本，審查當前用戶訪問列表，確定他們的ID是否已經被禁用或移除

8.5.5 至少每九十天清理並移除一次非活動的用戶帳戶

8.5.5 對於樣本用戶ID，檢查是否不存在未使用時間超過九十天的帳戶

8.5.6 供應商遠端維護帳戶僅在需要時才被啟用

8.5.6 檢查是否禁用了供應商支援和維護系統所使用的帳戶，僅在需要時才啟用此帳戶，並對此帳戶的使用情況進行監控

8.5.7 向所有具有持卡人資料訪問許可權的用戶通告口令管理程式和策略

8.5.7 拜訪樣本用戶ID的所有者，確定他們是否熟悉口令程式和策略


31

PCI DSS 要求測試程式已實施未實施目標日期/備註 8.5.8 避免使用共用帳戶和共用口令

8.5.8.a 對於樣本系統元件、關鍵伺服器和無線接入點，檢查用戶 ID 列表，以確定：

• 禁用或移用了公用用戶ID和帳戶 • 不存在可執行系統管理活動和其他關鍵功能的共用用戶 ID • 禁用使用共用和公用的用戶ID管理無線LAN和設備

8.5.8.b 檢查口令策略/程式，以核實是否明確地禁止共用口令

8.5.8.c 與系統管理員面談，核實是否禁止發送共用口令，即使接收到請求時也禁止。

8.5.9 至少每九十天修改一次用戶口令

8.5.9 對於樣本系統元件、關鍵伺服器和無線接入點、獲得並查看系統配置設置，以檢查系統配置是否被設置為要求用戶至少每九十天修改一次口令。對於服務提供商，復查內部流程和客戶/用戶文檔，以檢查是否要求定期修改客戶口令，以及是否為客戶提供了口令修改指導，這些指導說明了在何時以及哪些情況必須修改口令。

8.5.10 口令最小長度不低於七個字元

8.5.10 對於樣本系統元件、關鍵伺服器和無線接入點，獲得並查看系統配置設置，以檢查系統口令的長度是否被設置為不低於七個字元。對於服務提供商，復查內部流程和客戶/用戶文檔，以檢查是否要求客戶口令必須符合最低口令長度規定

8.5.11 使用包含數位和字母的口令

8.5.11 對於樣本系統元件、關鍵伺服器和無線接入點，獲得並查看系統配置設置，以檢查口令參數是否被設置為要求口令必須同時包含數位

和字母字元。對於服務供應商，復查內部流程和客戶/用戶文檔，以檢查是否要求了

客戶口令必須同時包含數位和字母字元。


32


8.5.12 不允許任何個人提交的新口令與其最近使用的四個口令相同

8.5.12 對於樣本系統元件、關鍵伺服器和無線接入點，獲得並檢查系統配置設置，以確定口令參數是否被設置為禁止新口令與最近使用的口令相同。對於服務提供商，審查內部流程和客戶/用戶文檔，以確定是否禁止新的客戶口令與最近使用的四個口令相同。

8.5.13 通過鎖定用戶ID的方式限制連續的訪問企圖（最多不允許超過六次）

8.5.13 對於樣本系統元件、關鍵伺服器和無線接入點，獲得並檢查系統配置設置，以確定口令參數是否被設置為連續輸入六次無效的口令後鎖定用戶的帳戶。對於服務提供商，查看內部流程和客戶/用戶文檔，以檢查是否通過臨時鎖定客戶帳戶的方限制連續的訪問企圖（最多不允許超過六次）

8.5.14（用戶ID）鎖定持續時間設定為三十分鐘或直至管理員為其解鎖

8.5.14 對於樣本系統元件、關鍵伺服器和無線接入點，獲得並查看系統配置設置，以檢查口令參數是否被設置為要求用戶帳戶的鎖定持續時間為三十分鐘或直至管理員為其解鎖

8.5.15 如果一個會話空閒的時間超過十五分鐘，要求用戶再次輸入口令以重新啟動終端

8.5.15 對於樣本系統元件、關鍵伺服器和無線接入點，獲得並查看系統配置設置，以檢查系統/會話空閒超時被設置為15分鐘或更短

8.5.16 針對任何含有持卡人資料的資料庫的訪問都須經過身份認證。這些訪問包括由應用、管理員和所有其他用戶發起的

8.5.16.a 查看樣本資料庫的資料庫配置，以檢查訪問是否需要經過認證，包括單個用戶、應用程式或管理員進行的訪問。

8.5.16.b 查看資料庫配置設置和資料庫帳戶，以確定是否禁止直接 SQL 查詢（資料庫登錄帳戶應盡可能少，並且應只允許資料庫管理員執行直接 SQL 查詢）


33

要求 9: 限制對於持卡人資料的物理訪問

任何針對含有持卡人資料的資料或系統的物理訪問都應受到適當的限制，以防止資料和設備被移除或硬拷貝。


9.1 針對存儲、處理或傳輸持卡人資料的系統，採用適當的場所進入控制措施，以限制和監測對上述系統的物理訪問。

9.1 對於持卡人資料存儲系統所在的電腦室、資料中心和其他物理區域，檢查是否有物理安全控制措施。

• 檢查是否使用了證件識讀器和其他設備（包括授權證和鎖鑰）對訪問進行控制

• 系統管理員嘗試登錄持卡人資料環境中三個隨機選定的系統，對這個嘗試操作進行監控，以確定這些系統是否被“鎖定”，從而禁止未獲權的使用

9.1.1 使用攝像機監視敏感區域。審計收集到的資料，並與其他入口（的資料）相關聯。（資料）至少保存三個月，除非法律另作限制

9.1.1 檢驗是否使用了攝像機監視存儲了持卡人資料的資料中心和入口和出口。攝像機應位於資料中心內部或者採取了保護措施以避免被損壞或禁用。檢查是否攝像機是否受到監控以及攝像資料是否至少保存三個月。

9.1.2 限制對於公用網絡介面的物理訪問

9.1.2 通過與網路管理員面談和觀察，檢查是否只有在授權員工需要時才啟用網路介面。例如，用於招待訪客的會議室不應具有支援 DHCP 的網路埠。此外，檢查訪客在具有可用網路介面的區域活動時，是否全程有專人陪同。

9.1.3 限制對於無線接入點，閘道和手持設備的物理訪問

9.1.3 檢查對無線接入點、閘道和手持設備的物理訪問是否受到了適當的限制

9.2 開發一套流程，使得所有人員都能容易地區別員工和訪客。在可

以接觸到持卡人資料的區域，這一點

尤為重要。 “員工”指全職和兼職的雇員，臨時雇員和常駐在該場所的顧問。

• 9.2.a 對流程和員工、合同商和訪問客戶證件分配程式進行復查，檢查這些流程是否包括：新證件授予、訪問更改規定

和停職員工證件和到期訪問證件收回等程式 • 證件系統訪問限制


34


“訪客”是指供應商，員工的客人，服務人員或任何需要進入該場所、並作短期（通常不超過一天）逗留的人。

9.2.b 觀察場所內的人員，檢查是否容易區分員工和訪客。

9.3 確保對所有訪客按照以下方式處理：

9.3 檢查是否實施了員工/訪客控制：

9.3.1 獲得授權後，方可進入處理或保存持卡人資料的區域

9.3.1 觀察訪客，以檢查他們是否使用訪問ID證件。嘗試進入資料中心，以檢查訪客ID證件是否禁止在無陪同的情況下進入存儲了持卡人資料的物理區域

9.3.2 授予一個物理憑據（例如，證件或通行設備）用以區分訪客和員工。一旦超過有效期限該物理憑據即失效

9.3.2 檢查員工和訪客證件，以審核ID證件是否明確區分了員工的身份與訪客/外來人士的身份以及是否標明了訪客證件的有效期

9.3.3 在離開該場所或有效期期滿時被要求歸還物理憑據。

9.3.3 觀察離開場所的訪客，以檢查訪客離開或證件到期時是否被要求歸還他們的 ID 證件

9.4 使用一個訪客日誌，使得訪客的物理活動可審計。此記錄至少保留三個月，除非法律另作限制。

9.4.a 檢查是否使用了訪客日誌記錄對存儲或傳輸持卡人資料的場所、電腦室和資料中心的物理訪問

9.4.b 檢查該日誌是否包含訪問姓名、所代表的公司和授權物理訪問的員工姓名，以及日誌是否至少保留三個月。

9.5 在一個安全的位置（最好是離場設施，比如備份站點或商業存儲設施）保存備份介質。

9.5 檢查備份介質的存儲位置是否安全。檢查離場存儲是否受到定期檢查以確定備份介質存儲的物理安全性和防火性。

9.6 對於任何含有持卡人資料的紙質和電子介質（包括電腦、電子介質、網路、硬體通信設備、通信線路、紙質收據、紙質報告和傳真）進行物理安全保護。

9.6 檢查持卡人資料保護程式是否包括電腦室和資料中心的紙質和電子介質（包括紙質收據、紙質報告、傳真、CD和員工辦公桌內和開放辦公區的磁片、PC硬碟驅動器等）物理安全控制。


35


9.7 應嚴格控制任何含有持卡人資料的介質在內部或外部分發：

9.7 檢查是否制定了相應的策略，以控制分發包含了持卡人資料的介質，並檢查該策略是否覆蓋所有分發的介質（包括分發給個人的介質）

9.7.1 對這些介質進行分類，並標識為機密

9.7.1 檢查所有介質是否被分類以便被標識為“機密”

9.7.2 通過安全的渠道或可以被準確追查的發送方法發送介質

9.7.2 檢查是否記錄了從機構發送出去的所有介質、這些介質發送是否獲得了管理層的授權以及是否通過安全的渠道或可以追查的發送方法進行發送

9.8 確保所有介質離開安全區域前，都經過管理層批准（尤其當分發物件為個人時）。

9.8 選擇一個近期若干日的離站介質追查日誌樣本，檢查日誌內是否有追查詳細記錄和相應的管理層授權

9.9 對於含有持卡人資料的介質的存儲和訪問，維護嚴格的控制。

9.9 獲得並檢查存儲控制硬拷貝和電子介質維護策略，檢查此策略是否要求定期庫存介質。

9.9.1 正確庫存所有介質並確保存儲安全性

9.9.1.a 獲得並查看介質庫存日誌，以檢查是否執行了定期介質庫存 9.9.1.b 對流程進行復查，以檢查介質存儲是否安全

9.10 含有持卡人資料的介質，當業務不再需要或法律不再要求時，按照以下方式進行銷毀：

9.10 獲得並檢查定期介質銷毀策略，以檢查它是否覆蓋所有存儲持卡人資料的介質並確認以下事項：

9.10.1 粉碎，焚毀或送紙漿廠銷毀

9.10.1.a 檢查是否根據ISO 9564-1或ISO 11568-3e標準對硬拷貝材料進行了粉碎、焚毀或送紙漿廠銷毀

9.10.1.b 檢查將要被銷毀的資訊存儲容器，確定容器的安全性。例如，檢查是否禁止查看“將要被粉碎”的容器中的內容


36


9.10.2 清除、消磁、粉碎或以其他方式銷毀磁介質，使得持卡人資料無法被重建

9.10.2 檢查是否使用軍用銷毀程式銷毀了電子介質或通過消磁或其他物理方式銷毀了介質，使資料無法被重建

定期監控和測試網路要求 10: 追蹤並監控對網路資源和持卡人資料的所有訪問

日誌機制和追蹤用戶活動的能力至關重要。在所有環境中使用日誌機制，以追蹤和分析可能出現的不正常情況或錯誤。離開了系統活動日誌，很難確定有害事件的原因。

PCI DSS 要求測試程式現場未實施目標日期/備註

10.1 建立一個流程，將針對所有系統元件的訪問與每個用戶個體聯繫起來。尤其是具有管理員許可權的訪問，例如，root。

10.1 通過觀察和面晤系統管理員，確定審計跟蹤功能是否已啟用並且運行正常，包括針對連接的無線網路的審計跟蹤

10.2 對所有系統元件實施自動的審計跟蹤，以記錄下列事件：

10.2 通過訪談和檢查審計日誌及審計日誌設置，確定是否在系統活動日誌中記錄了以下事件

10.2.1 所有用戶個體對持卡人資料的訪問

10.2.1 所有用戶個體對持卡人資料的訪問

10.2.2 以root或管理員許可權進行的所有操作

10.2.2 以root或管理員許可權進行的所有操作

10.2.3 對任何審計記錄的訪問 10.2.3 對任何審計記錄的訪問

10.2.4 無效的邏輯訪問嘗試 10.2.4 無效的邏輯訪問嘗試

10.2 5（身份）鑒別和認證機制的使用 10.2 5（身份）鑒別和認證機制的使用

10.2.6 對審計日誌的初始化操作 10.2.6 對審計日誌的初始化操作

10.2.7 系統層物件的創建和刪除操作 10.2.7 系統層物件的創建和刪除操作


37


10.3 針對所有系統元件的所有事件，至少保存以下審計記錄條目：

10.3 通過訪談和觀察，對於每個可審計事件（10.2 中的事件），檢查審計記錄是否包括以下條目：

10.3.1 用戶ID 10.3.1 用戶ID

10.3.2 事件類型 10.3.2 事件類型

10.3.3 日期和時間 10.3.3 日期和時間戳

10.3.4 成功或失敗標記 10.3.4 成功或失敗標記，包括無線連接成功或失敗標記

10.3.5 事件源 10.3.5 事件源

10.3.6 受影響的資料，系統元件或資源的 ID 或名稱

10.3.6 受影響的資料，系統元件或資源的ID或名稱

10.4 同步所有關鍵系統的時鐘 10.4 獲得並檢查組織內的正確時間捕獲和發送流程以及

樣本系統元件、關鍵伺服器和無線接入點的時間相關系統參數設置。檢查流程中是否包含並且實施了時間同步過程：

10.4.a 檢查是否使用了NTP或類似技術進行時間同步

10.4.b 檢查內部伺服器是否始終接收外部時間源的時間信號。[組織內的兩個或三個中央時間伺服器接收外部時間信號[直接從專用無線電、GPS衛星或其他基於國際原子時間和 UTC（以前的 GMT）的時間源接收時間信號]，它們相互協調以保持時間的準確性，並且與其他內部伺服器共用時間。]

10.4.c 檢查運行的網路時間協定（NTP）是否為最新版本


38


10.4.d 檢查是否指定了專用的外部主機 – 時間伺服器將這個主機接收最新的時間（以防止攻擊者更改時間）。此

外，還可以使用對稱密鑰對時間更新進行加密。另外，還

可以創建一個訪問控制列表，這個列表指定了將獲得 NTP 服務的用戶端設備的IP位址（以防止在未獲授權的情況下使用內部時間伺服器）。有關詳細資訊，請訪問 www.ntp.org。

10.5 保護審計追蹤記錄，以防被更改 10.5 與系統管理員面談，並檢查審計追蹤記錄，以確定審計追蹤記錄是安全的，而且無法被修改，方法如下：

10.5.1 只允許具有工作需要的人員查看審計追蹤記錄

10.5.1 檢查是否僅允許有工作需要的人員查看審計追蹤記錄

10.5.2 保護審計追蹤記錄以防被非授權更改

10.5.2 檢查是否通過訪問控制機制、物理隔離和/或網路隔離對審計記錄進行保護，以防目未經授權的修改

10.5.3 將審計追蹤記錄即時備份到到集中的日誌伺服器上或難以更改的介質上.

10.5.3 檢查當前的審計追蹤記錄是否被即時備份到到集中的日誌伺服器上或難以更改的介質上

10.5.4 將無線網路的日誌複製到一台位於內部局域網的日誌伺服器上

10.5.4 檢查是否將無線網路的日誌複製到了一台位於內部局域網的日誌伺服器上

10.5.5 使用檔完整性監視和變更檢測軟體保護日誌，確保已有的日誌被改變時產生報警（當然，在已有的日誌中添加資料，不應觸發報警）

10.5.5 檢查是否使用了檔完整性監視和變更檢測軟體保護日誌，確保已有的日誌被改變時產生報警

10.6 至少每天復審所有系統的日誌。日誌復審必須包含那些執行安全功能的伺服器，類如入侵檢測（IDS）、身份驗證、授權和記賬協定（AAA）伺服器（例如，RADIUS）。注：日誌採集，分析和報警工具可以被用來實現遵從“要求10.6”

10.6.a 檢查是否至少每天復審所有系統的日誌。日誌復審必須覆蓋那些執行安全功能的伺服器。


39


10.6.b 通過觀察和訪問相關人員，檢查是否對所有系統元件進行了定期日誌審查

10.7 至少保持一年的審計追蹤記錄，其中至少三個月的內容可被聯機訪問。 10.7.a 獲得並檢查安全策略和程式，確定它們是否包含審

計日誌保留策略並要求審計日誌至少保留一年

10.7.b 檢查是否可以聯機訪問審計日誌或者至少在磁帶上存儲一年 t f t l t

要求 11：定期測試安全系統和流程

新的弱點正不斷地被黑客和研究者發現，並隨著新的軟體被引入。系統、流程和定制軟體應接受經常性的測試，以保證安全性不會因時間或軟體變更的原因受到削弱。


11.1 每年對安全控制措施、網路連接和限制措施進行測試，以確保具備充分的識別和阻止非授權訪問的能力。至少每季度使用無線分析工具識別所有使用中的無線設備。

11.1.a 通過與安全人員面談和檢查相關代碼、文檔和流程，確認是否對設備進行了安全測試，以確保控制方法能夠識別並阻止持卡人環境內的非授權訪問企圖。

11.1.b 檢查是否每季度使用一次無線分析工具識別所有無線設備。

11.2 內部和外部網路弱點掃描至少每季度一次，在網路發生重大變更（例如，安裝了新的系統元件，網路拓撲發生變化，防火牆配置變更，產品升級）後亦需執行。

11.2.a 檢查最近四個季度的網路、主機和應用弱點掃描輸出結果，以確認是否對持卡人環境中的設備進行了定期

的安全性測試。檢查掃描過程是否包含重掃描以獲得“乾淨”的結果。


40


注：每季度的外部弱點掃描必須交由經過支付卡行業資格認定的掃描服務商執行。網路變更後的掃描可由組織內部人員執行。

11.2.b 檢查是否根據PCI安全掃描程式以每季度一次的頻率進行了外部掃描，查看最近四個季度的外部弱點掃描結

果，以檢查： • 最近的12個月是否每季度進行了一次掃描 • 每次掃描的結果是否符合PCI安全掃描程式的要求

（例如，未發現緊迫、關鍵和重大的弱點） • 掃描是否由獲准執行PCI安全掃描程式的掃描服務

商完成

11.3 滲透測試至少每年執行一次，基礎設施或應用完成重大的升級或調整（例如，作業系統升級，環境中增加了一個子網或增加了一台Web伺服器）後亦需執行。滲透測試必須包含以下內容：

11.3 獲得並檢查最近的滲透測試結果，以確認滲透測試是否至少每年執行一次而且在環境重大調整後也進行了測

試。檢查是否修正了已發現的弱點。檢查滲透測試是否包

含以下內容：

11.3.1 網路層滲透測試 11.3.1 網路層滲透測試

11.3.2 應用層滲透測試 11.3.2 應用層滲透測試

11.4 採用網路入侵檢測系統、主機入侵檢測系統和入侵防護系統監視所有網路通信，並向相關人員發出可疑事件警報。所有入侵檢測和防護引擎應及時更新。

11.4.a 檢查網路入侵檢測系統和/或入侵防護系統在網路上的使用情況。確認持卡人資料環境中的所有關鍵網路流量是否都受到了監控。

11.4.b 確認是否部署了IDS 和/或IPS以監控可疑事件和向相關人員發送可疑事件警。

11.4.c 檢查IDS/IPS配置並確認是否根據供應商的指導對IDS/IPS設備進行了配置、維護和更新以確保最佳的防護效果。


41


11.5 部署檔完整性監控軟體，一旦關鍵系統或檔被非授權更改，及時通知相關人員；並配置該軟體至少每週對關鍵檔進行比較。關鍵檔不僅限於那些含有持卡人資料的檔。根據檔完整性監控目的，關鍵檔通常指那些不經常變化，它的變化可能意味著系統安全面臨被破壞的危險。檔完整性監控產品的初始配置通常根據相關的作業系統類型設定關鍵檔。其他關鍵檔，例如定制應用的關鍵檔，必須由組織（此處特指商家或服務提供商）進行評估和定義。

11.5 通過查看系統設置、受監控的檔和監控活動的輸出結果，檢查持卡人資料環境內的檔完整性監控產品的使用情況。

維護一個資訊安全策略

要求 12: 維護一個策略用以向員工和合同商傳達資訊安全

強有力的安全策略為整個組織設定了重視安全的氛圍，並向員工傳達了組織對他們的期望。所有員工都應洞悉資料的敏感性和他們承擔的保護責任。


12.1 建立、發佈、維護和宣傳一個安全策略以實現以下目的：

12.1 檢查資訊安全策略，確保此策略已經發佈並且被呈送給所有相關的系統用戶（包括供應商、合同商和商業合作夥伴）

12.1.1 闡述本規約中的所有要求 12.1.1 檢查策略是否闡述了本規約中的所有要求。

12.1.2 包含一個每年執行的流程，以鑒別風險和弱點並據此進行正式風險

評估

12.1.2 檢查資訊安全策略是否包含一個用於鑒別風險和弱點並據此進行正式風險評估的資訊安全策略。


42

PCI DSS 要求測試程式已實施未實施目標日期/備註 12.1.3 安全策略至少每年評審一次，並根據環境變化而更新

12.1.3 檢查資訊安全策略是否至少每年評審一次並且根據業務目標和環境變化而更新

12.2 開發與本規約要求相一致的日常操作安全程式（例如，用戶帳號維護程式，日誌審核程式）。

12.2.a 檢查日常操作安全程式。確定它們是否與本規約相一致，而且針對每條要求制定了相應的管理和技術程式。

12.3 開發面向員工的關鍵技術（例如，數據機和無線網路）使用策略。策略定義了所有員工和簽約方對此類技術的適當使用。確保使用策略包含以下內容：

12.3 獲得並檢查面向員工的關鍵技術，確定策略是否包含以下內容：

12.3.1 管理層的明確批准 12.3.1 檢查使用策略是否要求必須獲得管理層的明確批准

才能使用設備。

12.3.2 此類技術的使用身份認證 12.3.2 檢查使用策略是否要求使用任何設備都必須通過用

戶名和口令或其他認證方法（如權杖）進行身份認證

12.3.3 此類設備和具有使用權限的人員列表

12.3.3 檢查使用策略是否要求提供一個所有設備和具有許可權的人員列表。

12.3.4 設備貼上標籤規則，據此標示所有人、聯繫資訊和用途

12.3.4 檢查使用策略是否要求對設備貼標，以標示所有人、聯繫資訊和用途。

12.3.5 此類技術的可接受用途 12.3.5 檢查使用策略是否要求技術僅用於可接受的用途。

12.3.6 此類技術可接受的網路位置 12.3.6 檢查使用策略是否要求只能在可接受的網路位置使

用技術。

12.3.7 受組織認可的產品列表 12.3.7 檢查使用策略是否要求提供一個受組織認可的產品

列表。

12.3.8 數據機會話超過特定的空閒狀態時間後，自動斷開連接

12.3.8 檢查使用策略是否要求在數據機會話超過特定的空閒狀態時間後自動斷開連接。


43


12.3.9 僅在供應商需要時為供應商啟動數據機，使用完畢後立即斷開

12.3.9 檢查是否僅在供應商需要時為供應商啟動數據機並且在使用完畢後立即斷開

12.3.10 通過數據機遠端存取持卡人資料時，禁止在本地硬碟、軟碟或其他外部介質上存儲持卡人資料。禁止在遠端存取中使用剪切、粘貼和列印功能

12.3.10 檢查使用策略是否禁止在本地硬碟、軟碟或其他外部介質上存儲持卡人資料。檢查使用策略是否禁止在遠端存取中使用剪切、粘貼和列印功能

12.4 確保安全策略和程式明確定義了所有員工和合同商的資訊安全責任。

12.4 檢查資訊安全策略是否明確定義了所有員工和合同商的資訊安全責任。

12.5 將下列資訊安全管理責任分配給一名個人或一個團隊：

12.5 檢查首席安全官或其他安全管理人員的資訊安全職責。獲得並檢查資訊安全策略和程式，確定是否正式規定了以下資訊安全職責：

12.5.1 建立、文檔化並分發安全策略和程式

12.5.1 檢查是否正式規定了安全策略和程式創建和分發職責

12.5.2 監控並分析安全報警和資訊，並分發至適當的人員

12.5.2 檢查是否正式規定了安全報警分析和資訊監控職責

12.5.3 建立、文檔化並分發安全事件回應和升級程式，以保證及時、有效地處理各種情況

12.5.3 檢查是否正式規定了建立、文檔化並分發安全事件回應和升級程式

12.5.4 添加、刪除和修改管理員帳戶

12.5.4 檢

pci audit procedures v1 1 Chinese final april 23 TCH€¦ ·...

Documents

Transcript of pci audit procedures v1 1 Chinese final april 23 TCH€¦ ·...