PCI DSS支付卡行业数据安全标准有六个部分，分别是建立和维护安全网络和系统（为数据构建安全的数据环境）、保护持卡人数据（通过数据加密提高数据存储和传输安全）、维护漏洞管理计划（开发安全软件并监控软件和系统漏洞），实施强有力的访问控制措施（监控对数据的访问），定期监控和测试网络（跟踪对数据的访问，监控所有安全措施定期测试）并维护信息安全策略（工作人员保护数据的责任）。

第一部分，构建和维护安全的网络和系统。 首先，根据网络图和数据流图记录服务、协议和端口，参照防火墙配置要求搭建防火墙和路由器，限制数据环境与网络的连接，禁止互联网与系统直接公开访问组件，即使是在外部网络上使用的个人设备也应该统一安装个人防火墙软件。 其次，始终更改供应商提供的默认设置并禁用/删除默认帐户，为所有系统组件建立配置标准，并使用 SSH、VPN 或 SSL/TLS 等技术加密所有非控制台访问。

第二部分，保护持卡人数据。 在数据存储和数据传输中都实现了数据保密性。 首先实施数据保留和处理策略，最大限度地减少存储的数据量，同时使敏感数据加密且不可读，并进行密钥管理。 在数据传输过程中，采用强加密和安全协议来保护数据。

第三部分，维护漏洞管理计划。 部署防病毒软件并维护防病毒机制。 持续更新安全漏洞信息和安全补丁，在软件编写过程中注意不存在软件漏洞。 开发、测试和生产环境相互分离。

第 4 部分：实施强有力的访问控制措施。 分为限制数据访问、跟踪单个用户数据访问过程中的操作以及监控物理访问。 首先仅授予执行作业所需的最少量数据和权限的访问权限，为每个具有访问权限的人员分配唯一标识符，并进行合理的用户身份验证管理。 使用摄像头和访问控制机制来监控对敏感区域的物理访问，保护所有媒体的物理安全。

第 5 部分：定期监控和测试网络。 系统组件实现自动巡检记录，并定期审计日志和安全事件。 定期进行漏洞扫描，定期实施渗透测试，实施入侵检测/入侵防御。

第六部分，维护信息安全政策。 员工应了解数据的敏感性及其保护数据的责任。

要求 1：安装和维护防火墙配置以保护持卡人数据。 （控制数据流进出）

1.1 建立实施配置标准

1.1.1 审查书面程序，包括网络连接和变更记录。

1.1.2 检查组网图和网络配置。

1.1.3 检查数据流程图。 （数据存储、处理或传输的地方）

1.1.4 检查防火墙配置标准。

1.1.5 网络组件负责人的安排。

1.1.6 所有服务、协议和端口的文档。

1.1.7 定期审查防火墙路由器规则集。

1.2 构建防火墙和路由器配置

1.2.1 将输入和输出限制在要求的范围内。

1.2.2 保护并同步路由器配置文件。 （重启时保证路由器规则）

1.2.3 安装外围防火墙。

1.3 禁止直接访问互联网

1.3.1 实施DMZ。 （DMZ()俗称非军事区，其作用是分别连接WEB、E-mail等允许外部访问该区域端口的服务器，使整个需要保护的内部网络都连接到信任区域端口，任意接入，实现内外网分离，满足用户需求。）

1.3.2 检查您的防火墙和路由器，仅将互联网流量提供给 DMZ 内的 IP 地址。

1.3.3 禁止直接连接互联网的流量进出。

1.3.4 实施反欺骗措施，阻止欺骗性 IP 传入流量。 （常用的有反欺骗措施、加密技术、SSL？？？不知道具体怎么做。使用加密和认证可以防止输入端改变IP地址吗？伪造IP地址会不会影响加密过程？是不是因为有第三方识别真实IP地址？）

1.3.5 禁止未经授权的流量输出到互联网。

1.3.6 状态检查（只有已建立的连接才能进入网络。）

1.3.7 将敏感数据放置在隔离的内部网络上。

1.3.8 请勿将私有IP地址和路由信息泄露给未经授权的各方。 （防止黑客使用内部IP地址访问）屏蔽IP地址的方法包括但不限于：网络地址转换（NAT）、使用代理服务器、删除或过滤采用注册地址的私有网络的路由器广告（??? ），在内部使用的地址（私有地址空间：10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255）中（基于特定网络技术的不同方法，例如IPV4和IPV6使用不同的控制？为什么不同？有什么不同？）

1.4 在连接到互联网的员工设备上安装个人防火墙。 （为保护设备免受网络攻击，工作中连接内网的设备也必须在内网外采取防护措施，有特定的配置设置，设备用户无法更改）

1.5 确保相关方了解防火墙管理的安全策略和操作流程。

从前期的详细准备，到后期的管理，几乎所有需要注意的细节都被写了出来。 您只需按照指南与安全负责人一起落实细节即可，例如防火墙的配置标准是什么，应限制多少数据输入和输出。 范围是否合适，需要更改哪些路由器配置文件，应该采取什么方法的IP反欺骗措施，应该在员工设备上设置什么级别的个人防火墙设置等等。单独来看，这些细节都是有问题的。

要求 2：不要使用供应商提供的默认系统密码和其他安全参数

2.1 始终更改供应商默认值并删除或禁用不必要的默认帐户。 （即使您不打算使用默认帐户，也应该将默认密码更改为强密码并将其禁用，以防止恶意人员重新启动帐户并使用默认密码进行访问）

2.1.1 对于可以连接到持卡人数据环境的无线环境，请在安装时更改无线提供商的默认值。 2.2 制定适用于所有系统组件的配置标准。 （确保标准解决所有已知的安全漏洞，并与业界公认的系统强化标准一致）

2.2.1 每台服务器仅执行一项主要功能，以防一台服务器上有需要不同安全级别的功能。 （当虚拟化技术可用时，检查系统配置以确认每个虚拟系统组件仅执行一项主要功能）

2.2.2 只启动必要的服务、协议、守护进程等。