支付卡行业数据安全标准 (PCI DSS) 是保护支付卡数据的安全标准。 满足 PCI DSS 的要求并实施技术安全控制可能相当复杂。

如果您的系统以任何方式接触信用卡数据，您的银行和主要信用卡都要求您符合 PCI 标准。 由知道如何实施 PCI DSS 的经验丰富的安全专业人员管理的强化系统是避免审核失败或更糟的情况、违规以及昂贵的罚款和声誉损害的关键。

您的具体 PCI 合规性要求取决于您使用卡数据的方式（存储的卡数据或仅在通往支付网关的途中等）以及您的公司处理的卡数量。 这将确定您的验证要求（您是否可以自我评估，或者第三方审核员是否必须证明您的合规性）以及必须完成的必要自我评估调查问卷。 它可以简单到满足十几个要求，也可以复杂到数百个。

合规性和安全性

所有遵守义务的公司都必须记住，合规的目的是施加一定程度的安全。 安全是最终目标，不一定是合规。 请记住，PCI DSS 是保护支付卡数据的最低可接受做法。

遵守并不意味着你是安全的； 这只是意味着您已经“勾选了这些框”。 有很多事情仍然可能导致妥协，例如员工不小心泄露了密码、计算机感染了恶意软件、直接暴露在互联网上的 Web 应用程序中的错误等等。 有时需要超出“法律函件”中规定的安全要求。 合规性要求应被视为“最低可接受的实践”，而不是严格的“最佳实践”。

此外，合规性和安全性正在持续努力； 工作永无止境。 新的漏洞被发现，新版本的软件出现，攻击和防御的技术不断进步。

预防、检测、响应

可靠的 PCI 安全计划包含三个主要组成部分：预防、检测和响应。 这里描述的每个安全控制通常可以归类为其中之一。 使用安全密码（要求 8.2.3）、保持系统补丁（要求 6.2），甚至员工背景调查（要求 12.7）都被视为预防措施。 这些措施首先是为了避免麻烦。

但尽管尽了最大努力，也不存在 100% 的安全：预防并不总是成功。 我们还必须计划检测可能导致入侵的问题或条件并限制损害。 此外，还必须制定应对入侵的计划，防止情况变得更糟，最终解决问题。

降低风险是关键

不存在完美或完全的安全性。 实施的每项安全控制措施都是为了减少以某种方式发生事件的可能性。 有时，任何一项特定的安全控制似乎都不是非常重要，但请记住，可能性会增加，并且您可以采取任何措施来减少 1% 的风险，即使是 1% 也可能是值得的。 为了降低风险，必须进行评估以确定风险。

PCI DSS 范围

PCI 卡数据环境（CDE）环境的“范围”是包含支付卡数据的任何系统，以及包含接触或可直接访问的支付卡数据的系统。 还有一些附加规则，但这涵盖了总体思路。 PCI DSS 适用于“范围内”的任何系统，并且所有此类系统都必须根据 PCI DSS 进行保护。 一家好的安全服务器托管公司可以帮助您分析系统、确定范围，最重要的是最小化范围。 最小化 CDE 的范围是为了降低风险、降低成本并减轻维护合规环境的负担。

安全控制

安全控制是降低风险的任何措施。 您的东道公司应对您的环境进行风险评估并确定风险。 风险评估中识别的每个风险都必须通过旨在减少或减轻风险的安全控制来解决。 除了 PCI DSS 之外，还可以使用 NIST SP-800-53 等出版物来获取有关实施安全控制的其他指南。

PCI DSS 要求

PCI DSS 是保护您的卡数据环境 (CDE) 需要完成的任务列表。 虽然 PCI DSS 只有 12 项主要要求，但每项都可以有十几个或更多子要求。 您的公司必须满足哪些要求取决于您对卡数据的处理方式。 最终，它是基于风险的：如果您存储卡数据，则必须满足所有要求。 如果数据并未实际存储，而是仅在数据通过支付网关时通过系统时立即存储，则只能满足部分要求。

让我们看一下这 12 项主要要求和一些子要求。

1：安装和维护防火墙配置

为了保护持卡人数据，防火墙必须配置入口和出口过滤。 大多数人都熟悉防火墙阻止入站连接的想法，但阻止异常出站连接对于防止对数据的多种攻击也是必要的。 防火墙记录阻止的出站连接是有关网络中发生的异常事件的良好信息来源。

网络分段是缩小 CDE PCI 范围的关键。 客户端的环境将通过使用 VLAN 的防火墙与非客户端系统隔离，在其自己的专用网络上进行维护。 Web应用程序服务器、数据库服务器和开发服务器都将驻留在各自独立的VLAN中，并最大程度地相互保护。 CDE 将驻留在其自己的一个或多个子网中，与不参与支付卡数据处理的其他系统分开。

2：不要使用供应商提供的系统密码和其他安全参数的默认值

此要求不仅包括使用默认密码（攻击者经常尝试访问该密码），还包括确保每个系统执行任务、禁用未使用的服务等。

3：保护存储的持卡人数据

您的托管服务器提供商可以帮助分析存储持卡人数据的需求、可以存储哪些形式的数据以及不能存储哪些形式的数据，并根据需要实施强加密或其他安全控制。 正确的密钥管理是保证加密数据安全的重要组成部分，要求 3 在这方面有一些子要求。

4：加密持卡人数据在开放公共网络上的传输

当支付卡数据流经开放网络时，必须使用加密：您的提供商应使用 SSH 来实现管理功能，使用 GPG 来实现电子邮件，使用 SSL 来实现网站服务。 标准 Linux 全盘加密也可用，但通常仅建议用于笔记本电脑等移动设备。

5：保护所有系统免受恶意软件的侵害并定期更新防病毒软件或程序

自动化应确保所有系统上都安装了防病毒软件，并且是最新的，并配置为正确扫描、生成审核日志等。此外，系统还提供监控和警报，以通过集中式日志收集系统检测病毒或恶意软件服务器。

6：开发和维护安全系统和应用程序

您的供应商应尽最大努力强化系统，以确保其尽可能安全。 Solid Linux 主机强化计划基于 NSA Linux 强化指南，也称为 NSA 系统网络攻击中心 (SNAC) 强化指南。

虽然不需要 PCI，但最好的强化措施之一是使用称为 PCI 的自动化管理系统。 该系统自动对库存 Linux 服务器进行许多配置更改。 它目前由3000多行代码组成，涵盖了大量安全控制的自动配置和维护。 在所有安全强化的服务器上实现这一点也是一个好主意。 这是由国家安全局开发的强制访问控制（MAC）系统。

日常检查某些安全信息来源（要求 6.1）； 在 30 天内应用安全补丁（要求 6.2）； 安全 Web 应用程序的开发（要求 6.3）也至关重要。

7：关于根据业务限制访问持卡人数据，您需要了解什么

这涉及使用操作系统提供的标准访问控制方法，例如用户、组等。这些系统将配置为仅允许出于业务原因访问的用户进行访问。 应适当使用双因素认证、公钥认证等。

8：识别并验证对系统组件的访问

此要求规定每个用户必须拥有唯一的用户 ID（无共享 ID）以确保个人责任（要求 8.1.1）。 它还需要健全的帐户管理实践、强密码以及在一定次数的身份验证尝试失败后进行锁定。

9：限制对持卡人数据的物理访问

数据中心设施应进行年度 SSAE 16 II 类审核，并配备 24/7 的人员驻场。 数据中心应有广泛的摄像头覆盖（要求9.1.1），访客应按要求登录（9.4.4）等进行记录。 所有设备在实际进入和离开数据中心时也应进行记录。 当设备退役时，会对其进行适当处理，以确保卡数据不受影响，包括安全擦除或物理销毁介质（要求 9.8）。

10：跟踪和监控对网络资源和持卡人数据的所有访问

定期分析系统日志文件对于检测入侵、入侵尝试和软件配置错误至关重要。 将系统日志文件从生成它们的服务器卸载到单独的安全系统以防止篡改非常重要。 系统日志文件将实时发送到中央日志服务器，并且可以根据需要进行每周审核日志审查 10.6. 其他定期审查将每天、每周或每季度进行。

11：定期测试安全系统和流程

要求 11.4 要求入侵检测系统能够几乎实时地监控信息系统并针对问题发出警报。 监视网络活动和检测网络攻击的最佳方法之一是使用网络入侵检测系统 (NIDS)。 这样的系统会检查进出网络的所有流量，并对网络流量应用规则和启发法，以尝试检测攻击并向安全人员发出潜在问题的警报。 必须定期、及时地审查 NIDS 的数据，以确保及早发现问题。

12：维护所有人员信息安全的政策

安全策略是确保所有访问卡数据环境的人员都了解其安全责任的必需文件。 它规定了人员应遵循的政策和程序。 必须保留由每个具有此类访问权限的人签名的副本。 如果没有技术解决方案，就会存在很多风险，因为风险是由个人行为和行为引起的。