文档变更记录日期版本描述 2008 年 10 月 1.2 根据新的 PCI DSS 1.2 版调整内容并实施原始 1.1 版中标出的微小变更 2010 年 10 月 2.0 根据新的 PCI DSS 2.0 版要求与测试程序调整内容 3.0 根据 PCI DSS 3.0 版要求与测试程序调整内容并

Size: px

Start display at page:

Download "文档变更记录日期版本描述 2008 年 10 月 1.2 根据新的 PCI DSS 1.2 版调整内容并实施原始 1.1 版中标出的微小变更 2010 年 10 月 2.0 根据新的 PCI DSS 2.0 版要求与测试程序调整内容 3.0 根据 PCI DSS 3.0 版要求与测试程序调整内容并"

擎章
5 years ago
Views:

1 支付卡行业 (PCI) 数据安全标准适用于商户的自我评估调查问卷 C-VT 和遵从性证明书使用基于网络的虚拟支付终端的商户未以电子方式存储持卡人数据 3.0 版

2 文档变更记录日期版本描述 2008 年 10 月 1.2 根据新的 PCI DSS 1.2 版调整内容并实施原始 1.1 版中标出的微小变更 2010 年 10 月 2.0 根据新的 PCI DSS 2.0 版要求与测试程序调整内容 3.0 根据 PCI DSS 3.0 版要求与测试程序调整内容并纳入了其他应对方案 PCI DSS SAQ C-VT,3.0 版 PCI 安全标准委员会版权所有保留所有权利第 ii 页

3 目录文档变更记录... ii 开始之前...iii PCI DSS 自我评估实施步骤... iii 了解自我评估调查问卷... iv... iv 完成自我评估调查问卷... iv 某些特定要求的不适用性指南... v 法律规定的例外情况... v 第 1 节 : 评估信息... 1 第 2 节 : 自我评估调查问卷 C-VT... 4 构建和维护安全网络和系统... 4 要求 1: 安装和维护防火墙配置以保护数据... 4 要求 2: 不要使用供应商提供的默认系统密码和其他安全参数... 6 保护持卡人数据... 9 要求 3: 保护存储的持卡人数据... 9 要求 4: 加密持卡人数据在开放式公共网络中的传输维护漏洞管理计划要求 5: 为所有系统提供恶意软件防护并定期更新杀毒软件或程序要求 6: 开发并维护安全的系统和应用程序实施强效访问控制措施要求 7: 按业务知情需要限制对持卡人数据的访问要求 9: 限制对持卡人数据的物理访问维护信息安全政策要求 12: 维护针对所有工作人员的信息安全政策附录 A: 针对共享托管服务提供商的 PCI DSS 附加要求附录 B: 补偿性控制工作表附录 C: 不适用性说明第 3 节 : 认证和证明书详情...20 PCI DSS SAQ C-VT,3.0 版 PCI 安全标准委员会版权所有保留所有权利第 ii 页

4 开始之前 SAQ C-VT 已针对仅通过连接互联网的个人计算机上的独立虚拟支付终端处理持卡人数据的商户的适用要求进行完善虚拟支付终端通过网络浏览器访问收单机构处理商或第三方服务提供商网站授权支付卡交易, 在此种方式下, 商户通过安全连接的网络浏览器手动输入支付卡数据与物理终端不同, 虚拟支付终端不会直接从支付卡中读取数据由于支付卡交易信息手动输入的, 因此虚拟支付终端一般用于替代商户环境中交易量较小的物理终端 SAQ C-VT 商户仅通过虚拟支付终端处理持卡人数据, 并且不在任何计算机系统上存储持卡人数据这些虚拟终端需要连接互联网, 访问托管虚拟终端支付处理功能的第三方第三方可以存储处理和 / 或传输持卡人数据以授权和 / 或处理商户的虚拟终端支付交易的处理商收单机构或其它第三方服务提供商此 SAQ 方式仅适用于通过键盘每次向基于互联网的虚拟终端解决方案中手动输入单笔交易的商户 SAQ C-VT 可能为实体 ( 实卡 ) 或邮件 / 电话订购 ( 无实卡 ) 的商户对于此支付渠道,SAQ C-VT 商户确认 : 您的企业仅通过基于互联网的网络浏览器访问虚拟支付终端来实现支付处理您企业的虚拟支付终端解决方案由经 PCI DSS 认证的第三方服务提供商提供和托管您的企业通过在单个地址中隔离的计算机访问符合 PCI DSS 的虚拟支付终端解决方案, 并且不连接环境中的其它地址或系统 ( 这一点可通过防火墙或网络分段将计算机与其他系统隔离来实现 ); 您企业的计算机未安装存储持卡人数据的软件 ( 例如, 未安装批量处理或存储并转发的软件 ); 您企业的计算机未安装用于捕获或存储持卡人数据的任何附加硬件设备 ( 例如, 未安装附加卡读取器 ); 您的企业不以其他电子方式通过任何渠道接收或传输持卡人数据 ( 例如, 通过内部网络或互联网 ); 您的企业只会保留纸质报告或收据的纸质副本, 且不通过电子方式接收此类文件 ; 并且您的企业不以电子格式存储持卡人数据此 SAQ 不适用于电子商务渠道此简要版 SAQ 包含了适用于特定类型的小商户环境的问题, 如以上合格标准中所定义的如果某些适用于您所在环境的 PCI DSS 要求未包含在本 SAQ 中, 可能表示本 SAQ 不适用于您所在环境此外, 您必须遵从所有适用的 PCI DSS 要求以符合 PCI DSS 要求 PCI DSS 自我评估实施步骤 1. 识别适用于您所在环境的 SAQ 有关详情, 请参见 PCI SSC 网站上的自我评估调查问卷说明和指南文档 2. 确认您所在环境的范围适当且满足您所使用的 SAQ 的适用条件 ( 参见遵从性证明书的第 2g 部分 ) 3. 评估您的环境否达到相应的 PCI DSS 要求 4. 实施此文档的所有章节 : 第 1 节 (AOC 的第 1 2 部分 ) 评估信息和实施概要第 2 节 PCI DSS 自我评估调查问卷 (SAQ C-VT) PCI DSS SAQ C-VT,3.0 版 PCI 安全标准委员会版权所有保留所有权利第 iii 页

5 第 3 节 (AOC 的第 3 4 部分 ) 认证和证明书详情以及针对未遵从要求的行动计划 ( 如果适用 ) 5. 向收单机构支付品牌或其他申请机构提交 SAQ 遵从性证明书以及其他任何要求的文档 ( 例如 ASV 扫描报告 ) 了解自我评估调查问卷此自我评估调查问卷中 PCI DSS 问题列所包含的问题基于 PCI DSS 中的要求为帮助完成评估流程, 已提供了有关 PCI DSS 要求指导和如何完成自我评估调查问卷的其他资源下面概述了其中的一些资源 : 文档内容 : PCI DSS (PCI 数据安全标准要求和安全评估程序 ) 有关范围界定的指导有关所有 PCI DSS 要求的目的的指导测试程序详情有关补偿性控制的指导 SAQ 说明和指南文档所有 SAQ 及其适用标准的相关信息如何确定哪项 SAQ 适用于您所在组织 PCI DSS 和 PA-DSS 术语缩略词和首字母缩略词词汇表 PCI DSS 和自我评估调查问卷中所使用的术语的说明和定义上述资源和一些其他资源可在 PCI SSC 网站 ( 上找到建议组织在开始评估之前先浏览 PCI DSS 和其他支持文档列中包含的说明基于 PCI DSS 中的测试程序, 提供了有关认证已满足要求所必须执行的测试活动类型的高级说明有关针对各项要求的测试程序的完整详情, 请参见 PCI DSS 完成自我评估调查问卷对于每个问题, 可以选择一个回复选项来表明您所在公司针对该要求的状态对于每个问题, 只能选择一个回复下表说明了各项回复的含义 : 回复此回复的适用情况 :, 已填写 CCW ( 补偿性控制工作表 ) 已执行, 且已按照相关说明满足该要求的所有元素已执行, 且已采用补偿性控制满足该要求如果选择此列中的回复, 则必须在 SAQ 附录 B 中填写补偿性控制工作表 (CCW) 要了解如何使用补偿性控制和填写该工作表, 请参见 PCI DSS 否该要求的部分或所有元素尚未满足或正处于实施状态, 或者需要进一步测试才能确定否满足 PCI DSS SAQ C-VT,3.0 版 PCI 安全标准委员会版权所有保留所有权利第 iv 页

6 N/A ( 不适用 ) 该要求不适用于相关组织所在环境 ( 有关示例, 参见下面的某些特定要求的不适用性指南 ) 如果选择此列中的回复, 则必须在 SAQ 附录 C 中提供支持说明某些特定要求的不适用性指南由于许多完成 SAQ C-VT 的组织需要认证其对于每项 PCI DSS 要求的遵从性, 因此一些具有特定业务模式的组织可能会发现某些要求不适用举例来说, 如果一家公司在任何方面都不使用无线技术, 则无需认证对于特定于管理无线技术的 PCI DSS 章节的遵从性 ( 例如, 要求和 4.1.1) 如果您认为任何要求不适用于您所在环境, 请针对该特定要求选择 N/A 选项, 然后在附录 C 为所有 N/A 条目填写不适用性说明法律规定的例外情况如果您所在组织因受到相关法律限制约束而无法满足要求, 请针对该要求选择否列, 然后在第 3 部分填写相关证明书 PCI DSS SAQ C-VT,3.0 版 PCI 安全标准委员会版权所有保留所有权利第 v 页

7 第 1 节 : 评估信息提交说明商户必须填写此文档, 以声明其按照支付卡行业数据安全标准要求和安全评估程序 (PCI DSS) 所做的自我评估的结果填写所有章节 : 商户应负责确保相关方 ( 如果有 ) 填写所有章节联系收单机构 ( 商户银行 ) 或支付品牌以确定报告和提交程序第 1 部分商户和合格安全性评估商信息第 1a 部分商户组织信息公司名称 : DBA( 经营别称 ): 联系人姓名 : 职务 : ISA 姓名 ( 如果有 ): 职务 : 电话 : 电子邮件地址 : 公司地址 : 城市 : 州 / 省 : 国家 / 地区 : 邮编 : 网址 : 第 1b 部分合格安全性评估商公司信息 ( 如果有 ) 公司名称 : QSA 主要联系人姓名 : 职务 : 电话 : 电子邮件地址 : 公司地址 : 城市 : 州 / 省 : 国家 / 地区 : 邮编 : 网址 : 第 2 部分实施概要第 2a 部分商户业务类型 ( 选中所有合适选项 ) 零售商通信百货和超市石油电子商务邮件 / 电话订购 (MOTO) 其他 ( 请指明 ): 您所在企业提供哪些类型的支付渠道? 邮件 / 电话订购 (MOTO) 电子商务实卡交易 ( 面对面 ) 此 SAQ 覆盖哪些支付渠道? 邮件 / 电话订购 (MOTO) 电子商务实卡交易 ( 面对面 ) 注 : 如果您所在组织的支付渠道或流程未涵盖在此 SAQ 范围内, 请咨询您的收单机构或支付品牌了解如何验 PCI DSS SAQ C-VT,3.0 版第 1 节 : 评估信息 PCI 安全标准委员会版权所有保留所有权利第 1 页

8 证其他渠道第 2b 部分支付卡业务说明您所在企业如何存储处理和 / 或传输持卡人数据, 以及支持的容量多少? 第 2c 部分地点列出 PCI DSS 审核中包含的场所类型和所在地点概要 ( 例如, 零售店公司办公室数据中心呼叫中心等等 ) 场所类型场所所在地点 ( 城市国家 / 地区 ) 第 2d 部分支付应用程序该组织否使用一款或多款支付应用程序? 否提供有关您所在组织使用的支付应用程序的下列信息 : 支付应用程序名称版本号应用程序供应商该应用程序否获得 PA-DSS 认证? PA-DSS 认证失效日期 ( 如果有 ) 否否否第 2e 部分环境说明提供有关此评估所涵盖的环境的高级说明例如 : 对持卡人数据环境 (CDE) 的输入和输出连接该 CDE 中的关键系统组件 ( 例如 POS 设备数据库网络服务器等 ) 以及其他任何必要的支付组件 ( 如果有 ) 您所在企业否使用网络分段来影响 PCI DSS 环境范围? ( 有关网络分段的指南, 请参见 PCI DSS 的网络分段章节 ) 否 PCI DSS SAQ C-VT,3.0 版第 1 节 : 评估信息 PCI 安全标准委员会版权所有保留所有权利第 2 页

9 第 2f 部分第三方服务提供商您所在公司否与任何第三方服务提供商 ( 例如, 网关支付处理商支付服务提供商 (PSP) 网络托管公司航班订票代理商忠诚计划代理商等 ) 共享持卡人数据? 否如果的话 : 服务提供商名称 : 所提供服务的说明 : 注 : 要求 12.8 适用于上述列表中的所有条目第 2g 部分完成 SAQ C-VT 的适用性商户证明符合填写本简要版自我评估调查问卷的适用条件, 因为对于此支付渠道 : 商户仅通过基于互联网的网络浏览器访问虚拟支付终端来实现支付处理 ; 商户的虚拟支付终端解决方案由经 PCI DSS 认证的第三方服务提供商提供和托管 ; 通过在单个地址中隔离的计算机访问符合 PCI DSS 的虚拟支付终端解决方案, 并且不连接环境中的其它地址或系统 ; 商户的计算机未安装存储持卡人数据的软件 ( 例如, 未安装批量处理或存储并转发的软件 ); 商户的计算机未安装用于捕获或存储持卡人数据的任何附加硬件设备 ( 例如, 未安装附加卡读取器 ); 商户不以其他电子方式通过任何渠道接收或传输持卡人数据 ( 例如, 通过内部网络或互联网 ); 商户不以电子格式存储持卡人数据 ; 并且如果商户存储持卡人数据, 仅可以纸质报告或纸质收据副本的形式存储此类数据, 并不以电子方式接收数据 PCI DSS SAQ C-VT,3.0 版第 1 节 : 评估信息 PCI 安全标准委员会版权所有保留所有权利第 3 页

10 第 2 节 : 自我评估调查问卷 C-VT 注 : 以下问题的编号与 PCI DSS 要求和安全评估程序文档中说明的 PCI DSS 要求和测试程序顺序相符自我评估实施日期 : 构建和维护安全网络和系统要求 1: 安装和维护防火墙配置以保护数据 PCI DSS 问题回复 ( 为每个问题选中一个回复 ), 已填写 CCW 否 N/A 1.2 防火墙和路由器配置否按照下述要求限制了不可信网络和持卡人数据环境中任何系统间的连接 : 注 : 不可信网络指受审核实体所属网络之外的任何网络, 和 / 或不受该实体控制或管理的任何网络 (a) 输入和输出流量否限制在持卡人数据环境所需的范围? 审核防火墙和路由器配置标准检查防火墙和路由器配置 (b) 否明确拒绝 ( 例如, 使用明确的拒绝所有或在允许声明后含蓄地表达拒绝之意 ) 其他所有输入和输出流量? 审核防火墙和路由器配置标准检查防火墙和路由器配置否在所有无线网络和持卡人数据环境间安装了外围防火墙, 并将这些防火墙配置为了拒绝流量或 ( 如果出于业务目的而需要流量 ) 仅允许无线环境和持卡人数据环境间的授权流量? 审核防火墙和路由器配置标准检查防火墙和路由器配置 1.3 否按照下述要求禁止了互联网与持卡人数据环境中任何系统组件之间的直接公共访问 : 否禁止任何直接的输入和输出连接在互联网和持卡人数据环境之间产生流量? 从持卡人数据环境输出到互联网的流量否具有明确授权? 检查防火墙和路由器配置检查防火墙和路由器配置 PCI 安全标准委员会版权所有保留所有权利第 4 页

11 PCI DSS 问题回复 ( 为每个问题选中一个回复 ), 已填写 CCW 否 N/A 否已实施状态检查 ( 也称为动态数据包过滤 ), 即只有已建立的连接才能进入该网络? 检查防火墙和路由器配置 1.4 (a) 否在位于该网络外连接到互联网且可用于访问该网络的任意移动设备和 / 或员工自有设备 ( 例如, 员工使用的笔记本电脑 ) 上安装和激活了个人防火墙软件? 审核相关政策和配置标准检查移动设备和 / 或员工自有设备 (b) 个人防火墙软件否配置为了特定配置设置积极运行且无法由移动设备用户和 / 或员工自有设备用户更改? 审核相关政策和配置标准检查移动设备和 / 或员工自有设备 PCI 安全标准委员会版权所有保留所有权利第 5 页

12 要求 2: 不要使用供应商提供的默认系统密码和其他安全参数 PCI DSS 问题 2.1 (a) 否始终于在该网络中安装系统之前更改供应商提供的默认值? 此要求适用于所有默认密码, 包括但不限于操作系统提供安全服务的软件应用程序和系统帐户销售点 (POS) 终端简单网络管理协议 (SNMP) 社区字符串等使用的默认密码 (b) 否已于在该网络中安装系统之前删除或禁用不必要的默认帐户? 对于连接到持卡人数据环境或传输持卡人数据的无线环境, 否按照下述要求在安装时更改了所有无线供应商提供的默认值 : (a) 否在安装以及知道密钥的任何人离职或更换岗位时更改了默认的加密密钥? (b) 否在安装时更改了无线设备上的默认 SNMP 社区字符串? 审核相关政策和程序检查供应商文档查看系统配置和帐户设置审核相关政策和程序审核供应商文档检查系统配置和帐户设置审核相关政策和程序审核供应商文档审核相关政策和程序审核供应商文档检查系统配置回复 ( 为每个问题选中一个回复 ), 已填写 CCW 否 N/A (c) 否在安装时更改了访问点的默认密码 / 口令? 审核相关政策和程序检查系统配置 PCI 安全标准委员会版权所有保留所有权利第 6 页

13 PCI DSS 问题 (d) 否已更新无线设备的固件来支持通过无线网络进行的验证和传输的强效加密? (e) 否已更改其他与安全有关的无线供应商默认值 ( 如果适用 )? (a) 否仅启用了系统功能所需的必要服务协议守护进程等 ( 并非执行设备特定功能所直接需要的服务和协议已禁用 )? (b) 否已根据书面配置标准判断所有已启用的不安全服务守护进程或协议否合理? 否已针对任何被视为不安全的必要服务协议或守护进程记录和执行了附加安全功能? 例如, 采用 SSH S-FTP SSL 或 IPSec VPN 等安全技术保护 NetBIOS 文件共享 Telnet FTP 等不安全的服务 (a) 系统管理员和 / 或负责配置系统组件的工作人员否了解适用于这些系统组件的常用安全参数设置? 审核相关政策和程序审核供应商文档检查系统配置审核相关政策和程序审核供应商文档检查系统配置审核配置标准检查系统配置审核配置标准检查配置设置对比已启用的服务等和理由记录否相符审核配置标准检查配置设置回复 ( 为每个问题选中一个回复 ), 已填写 CCW 否 N/A (b) 常用系统安全参数设置否包含在系统配置标准中? 审核系统配置标准 (c) 适用于系统组件的安全参数设置否适当? 检查系统组件检查安全参数设置对比设置和系统配置标准否相符 PCI 安全标准委员会版权所有保留所有权利第 7 页

14 PCI DSS 问题 (a) 否删除了所有非必要功能, 例如脚本驱动程序特性子系统文件系统和不必要的网络服务器? 检查适用于系统组件的安全参数回复 ( 为每个问题选中一个回复 ), 已填写 CCW 否 N/A (b) 已启用的功能否已记录, 且否支持安全配置? 审核相关文档 (c) 系统组件否只适用具有文档记录的功能? 审核相关文档 2.3 否按照下述要求对非控制台管理访问进行了加密 : 对于基于 web 的管理和其他非控制台管理访问, 可采用 SSH VPN 或 SSL/TLS 等技术检查适用于系统组件的安全参数检查适用于系统组件的安全参数 (a) 否已对所有非控制台管理访问应用强效加密法, 且在要求提供管理员密码前已调用强效加密法? 检查系统组件检查系统配置 (b) (c) (d) 系统服务和参数文件否已配置为阻止使用 Telnet 和其他不安全的远程登录命令? 否已采用强效加密法对管理员进入基于 web 的管理界面的访问权进行加密? 否已按照行业最优方法和 / 或供应商建议对所使用的技术实施强效加密? 查看管理员登录检查系统组件检查服务和文件检查系统组件查看管理员登录检查系统组件审核供应商文档 PCI 安全标准委员会版权所有保留所有权利第 8 页

15 保护持卡人数据要求 3: 保护存储的持卡人数据 PCI DSS 问题回复 ( 为每个问题选中一个回复 ), 已填写 CCW 否 N/A 3.2 (c) 完成授权流程后, 否删除了敏感验证数据或使其不可恢复? 审核相关政策和程序检查系统配置检查删除流程 (d) 否所有系统均已遵循以下有关授权后不存储敏感验证数据 ( 即使已经加密 ) 的要求 : 授权后不存储卡验证代码或值 ( 印在支付卡正面或背面的三位或四位数值 )? 检查数据来源, 其中包括 : 输入的交易数据所有日志存档文件跟踪文件数据库架构数据库内容授权后不存储个人识别码 (PIN) 或经加密的 PIN 数据块? 检查数据来源, 其中包括 : 输入的交易数据所有日志存档文件跟踪文件数据库架构数据库内容 3.3 PAN 否在显示时被掩盖 ( 只有前六位和后四位数字可以显示 ), 以便仅有正当业务需要者才能看到完整的 PAN? 注 : 该要求不能取代现行更严格的有关持卡人数据显示的要求, 例如法律或支付卡品牌对销售点 (POS) 收据的要求审核相关政策和程序审核需要能够查看完整 PAN 的角色检查系统配置查看 PAN 的显示 PCI 安全标准委员会版权所有保留所有权利第 9 页

16 要求 4: 加密持卡人数据在开放式公共网络中的传输 PCI DSS 问题 4.1 (a) 否使用了强效加密方法和安全协议 ( 例如, SSL/TLS SSH 或 IPSEC) 来保护经由公开公共网络传输的敏感持卡人数据? 在 PCI DSS 的范围内, 公开公共的网络包括但不限于, 互联网无线技术 ( 包括和蓝牙 ) 蜂窝技术 ( 例如, 全球移动通信系统 (GSM) 码分多址 (CDMA)) 以及通用分组无线业务 (GPRS) 审核书面标准审核相关政策和程序审核传输或接收 CHD 的所有地点检查系统配置回复 ( 为每个问题选中一个回复 ), 已填写 CCW 否 N/A (b) 否只接受可信密钥和 / 或证书? 查看输入和输出传输检查密钥和证书 (c) 实施的安全协议否仅使用安全配置且不支持非安全版本或配置? (d) 否已根据所使用的加密方法实施了适当的加密强度 ( 查看供应商建议 / 最优方法 )? (e) 对于 SSL/TLS 的实施 : 否在传输或接收持卡人数据时始终启用了 SSL/TLS? 检查系统配置审核供应商文档检查系统配置检查系统配置例如, 对于基于浏览器的实施 : HTTPS 作为浏览器统一记录定位器 (URL) 协议, 且仅当 HTTPS 作为 URL 的一部分时才需要持卡人数据传输持卡人数据或连接到持卡人数据环境的无线网络否使用了行业最优方法 ( 例如,IEEE i) 来对验证和传输实施强效加密? 注 : 禁止将 WEP 用作安全控制 4.2 (b) 否已制定政策来规定不会通过终端用户通讯技术传送不受保护的 PAN? 审核书面标准审核无线网络检查系统配置设置审核相关政策和程序 PCI 安全标准委员会版权所有保留所有权利第 10 页

17 维护漏洞管理计划要求 5: 为所有系统提供恶意软件防护并定期更新杀毒软件或程序 PCI DSS 问题回复 ( 为每个问题选中一个回复 ), 已填写 CCW 否 N/A 5.1 否在经常受恶意软件影响的所有系统中部署了杀毒软件? 检查系统配置杀毒程序否能够检测删除并阻止所有已知类型的恶意软件 ( 例如, 病毒特洛伊木马蠕虫病毒间谍软件广告软件和 rootkit 内核型病毒 )? 否执行了定期评估以确定并评估不断进化的恶意软件威胁, 从而确认之前认为通常不受恶意软件影响的系统否仍然如此? 审核供应商文档检查系统配置 5.2 否按照下述要求保留了所有杀毒机制 : (a) 否及时更新了所有杀毒软件和相关定义? 检查政策和程序检查杀毒配置 ( 包括主体安装 ) 检查系统组件 (b) 否已启用且正执行自动更新和定期扫描? 检查杀毒配置 ( 包括主体安装 ) 检查系统组件 (c) 否所有杀毒机制均可生成检查日志且按照 PCI DSS 要求 10.7 保留日志? 5.3 否所有杀毒机制均 : 积极运行? 无法被用户禁用或修改? 注 : 只有存在合理的技术需要且根据具体情况经管理人员批准时, 才能暂时禁用杀毒解决方案如果出于特定目的需要禁用杀毒保护, 必须获得正式授权杀毒保护禁用期间, 可能还需要实施其他安全措施检查杀毒配置审核日志保留流程检查杀毒配置检查系统组件查看流程 PCI 安全标准委员会版权所有保留所有权利第 11 页

18 要求 6: 开发并维护安全的系统和应用程序 PCI DSS 问题回复 ( 为每个问题选中一个回复 ), 已填写 CCW 否 N/A 6.1 否制定了包括以下方面的安全漏洞识别流程 : 审核相关政策和程序使用可信外源获取安全漏洞信息? 为安全漏洞指定风险等级, 包括对所有高风险和重要漏洞的识别? 查看流程注 : 风险等级应以行业最优方法和潜在影响考虑为依据例如, 漏洞分级标准可能包括对 CVSS 基础得分的考虑和 / 或供应商的分类, 及 / 或相关系统的类型根据组织的环境和风险评估策略不同, 评估漏洞和指定风险等级的方法也不尽相同风险等级至少应标识出所有被视为对环境具有高风险的漏洞除风险等级外, 如果安全漏洞即将对环境造成威胁影响关键系统且 / 或如果不解决可能会造成潜在危害, 则可被视为重要关键系统可能包括安全系统面向公众的设备和系统数据库以及其他存储处理或传输持卡人数据的系统 6.2 (a) 否已安装供应商提供的适用安全补丁, 以确保所有系统组件和软件均杜绝已知漏洞? 审核相关政策和程序 (c) 否在发布后一个月内安装了关键的安全补丁? 审核相关政策和程序注 : 应按照要求 6.1 中规定的风险分级流程标识关键安全补丁检查系统组件对比安装的安全补丁列表和最新的供应商补丁列表否相符实施强效访问控制措施要求 7: 按业务知情需要限制对持卡人数据的访问 PCI DSS 问题回复 ( 为每个问题选中一个回复 ), 已填写 CCW 否 N/A PCI 安全标准委员会版权所有保留所有权利第 12 页

19 PCI DSS 问题 7.1 否如下所述只有具有相应工作需要的个人才能访问系统组件和持卡人数据 : 否按照下述要求对特权用户 ID 的访问权限进行了限制 : 限制为执行工作所需的最小权限? 只分配给明确需要此类特权访问的角色? 检查书面访问控制政策与管理人员面谈审核特权用户 ID 回复 ( 为每个问题选中一个回复 ), 已填写 CCW 否 N/A 否基于个人的工作分类和职能分配了访问权限? 检查书面访问控制政策与管理人员面谈审核用户 ID PCI 安全标准委员会版权所有保留所有权利第 13 页

20 要求 9: 限制对持卡人数据的物理访问 PCI DSS 问题回复 ( 为每个问题选中一个回复 ), 已填写 CCW 否 N/A 9.5 否已采取措施来保护所有媒介实体安全 ( 包括但不限于计算机可移动电子媒介纸质收据纸质报告和传真 )? 审核用于保护媒介实体安全的政策和程序在要求 9 中, 媒介指所有包含持卡人数据的纸质和电子媒介 9.6 (a) 否严格控制任何媒介的内部或外部分发? 审核针对媒介分发的政策和程序 (d) 相关控制否包含以下方面 : 否已对媒介进行分类以便确定数据的敏感性? 审核针对媒介分类的政策和程序与安全人员面谈媒介否通过可靠的快递公司或可准确跟踪的其他投递方法发出? 转移媒介时 ( 尤其将媒介分发给个人时 ) 否经过管理层的批准? 检查媒介分发跟踪日志和文档检查媒介分发跟踪日志和文档 9.7 否严格控制对媒介的存储和获取? 审核相关政策和程序 9.8 (a) 否销毁了因业务或法律原因而不再需要的所有媒介? 审核媒介定期销毁政策和程序 (c) 否按照下述要求销毁媒介 : (a) 硬拷贝材料否已被粉碎焚烧或打浆以确保无法重建持卡人数据? 审核媒介定期销毁政策和程序查看流程 (b) 否已确保待销毁材料所用存储容器的安全性以免他人访问相关内容? 审核媒介定期销毁政策和程序检查存储容器的安全性 PCI 安全标准委员会版权所有保留所有权利第 14 页

21 维护信息安全政策要求 12: 维护针对所有工作人员的信息安全政策注 : 在要求 12 中, 工作人员指常驻实体经营场所或能够以其他方式访问该公司的持卡人数据环境现场的全职和兼职员工临时工和工作人员承包商和顾问 PCI DSS 问题回复 ( 为每个问题选中一个回复 ), 已填写 CCW 否 N/A 12.1 否已建立公布维护并向所有相关人员宣传安全政策? 审核相关信息安全政策否至少每年审核一次安全政策, 并在环境发生变更时进审核相关信息安全政策行更新? 与负责人面谈 12.3 否已制定关键技术的使用政策, 以规定这些技术的正确用法并包含以下方面 : 注 : 关键技术包括但不限于, 远程访问和无线技术笔记本电脑平板电脑可移动电子媒介以及电子邮件和互联网的使用被授权方明确允许使用这些技术? 审核使用政策与负责人面谈一份列出所有此类设备和具有访问权的工作人员的列表? 审核使用政策与负责人面谈可接受的技术使用方式? 审核使用政策与负责人面谈 12.4 安全政策和程序否明确规定所有工作人员的信息安全责任? 审核信息安全政策和程序抽样选取部分负责人员进行面谈 12.5 (b) 否已将下列信息安全管理职责正式分配给个人或团队 : 建立记录并分发安全事故响应和逐级上报程序, 以确保及时有效地处理所有情况? 审核信息安全政策和程序 PCI 安全标准委员会版权所有保留所有权利第 15 页

22 PCI DSS 问题回复 ( 为每个问题选中一个回复 ), 已填写 CCW 否 N/A 12.6 (a) 否已实施正式的安全意识计划, 以使所有工作人员意识到持卡人数据安全的重要性? 审核安全意识计划 12.8 否已按照下述要求实施并维护政策和程序以管理共享持卡人数据或可影响持卡人数据安全的服务提供商 : 已保留一份服务提供商名单? 审核相关政策和程序查看流程审核服务提供商名单否维护书面协议, 其中确认服务提供商负责其处理或者代表客户以其他方式存储处理或传输的持卡人数据的安全性以及对客户持卡人数据环境安全性的影响程度? 查看书面协议审核相关政策和程序注 : 确认的确切措辞取决于双方协议所提供服务的详情以及分配给每一方的责任确认不一定要包含与本要求完全相同的措辞否已建立雇用服务提供商的流程 ( 包括雇用前的相应尽职调查 )? 否已维护相应计划来至少每年监控一次服务提供商的 PCI DSS 遵从性状态? 否已维护有关分别由各服务提供商和实体管理的 PCI DSS 要求的信息? 查看流程审核政策程序和支持文档查看流程审核政策程序和支持文档查看流程审核政策程序和支持文档 (a) 否已建立在出现系统漏洞时实施的事故响应计划? 审核事故响应计划审核事故响应计划程序 PCI 安全标准委员会版权所有保留所有权利第 16 页

24 附录 B: 补偿性控制工作表使用本工作表为任何选中, 已填写 CCW 的要求定义补偿性控制注 : 只有已采取风险分析并具有合理的技术限制或书面业务限制的公司才能考虑使用补偿性控制来实现遵从性有关补偿性控制和如何填写本工作表的信息, 请参见 PCI DSS 的附录 B C 和 D 要求编号和定义 : 所需信息解释 1. 限制列出导致无法遵守最初要求的限制 2. 目的定义最初控制的目的 ; 确定通过补偿性控制实现的目的 3. 已确定的风险确定由于缺少最初控制而导致的任何其他风险 4. 补偿性控制的定义定义补偿性控制并解释其如何实现最初控制的目的并解决增加的风险 ( 若有 ) 5. 补偿性控制的验证定义如何验证并测试补偿性控制 6. 维护规定流程和控制措施以维护补偿性控制 PCI 安全标准委员会版权所有保留所有权利第 18 页

26 第 3 节 : 认证和证明书详情第 3 部分 PCI DSS 认证基于 ( 填写日期 ) 填写的 SAQ C-VT 中的结果, 第 3b-3d 部分中指明的签署者 ( 如果适用 ) 声明本文档第 2 部分中指明的实体到 ( 日期 ) 的以下遵从性状态 :( 选中一个选项 ): 遵从 : 已填写 PCI DSS SAQ 的所有章节且已针对所有问题提供积极回复, 从而获得了总体遵从评分 ; 因此 ( 商户公司名称 ) 已证明其完全遵从 PCI DSS 未遵从 : 未填写 PCI DSS SAQ 的部分章节或未针对所有问题提供积极回复, 从而获得了总体未遵从评分, 因此 ( 商户公司名称 ) 未证明其完全遵从 PCI DSS 遵从目标日期 : 如果某实体提交的本表单具有未遵从状态, 则可能需要填写本文档第 4 部分中的行动计划在填写第 4 部分之前, 请先咨询您的收单机构或支付品牌遵从但包含法律规定的例外情况 : 由于受到阻止满足相关要求的法律限制, 因此一项或多项要求选为了否此选项要求收单机构或支付品牌进行附加审核如果选中此选项, 请填写以下内容 : 相关要求有关法律限制如何阻止满足相关要求的详情第 3a 部分确认状态签署者确认 : ( 选中所有合适选项 ) 已根据本文中的说明填写第 (SAQ 版本 ) 版 PCI DSS 自我评估调查问卷 C-VT 上述引用的 SAQ 和本证明书中的所有信息在一切重要方面均完全代表本次评估的结果已向相应的支付应用程序供应商确认自己的支付系统未在验证后存储敏感的验证数据已阅读 PCI DSS 且了解必须始终遵从适用于所在环境的 PCI DSS 了解如果所在环境发生变化则必须重新声明所在环境, 并实施任何适用的 PCI DSS 附加要求 PCI DSS SAQ C-VT,3.0 版第 3 节 : 认证和证明书详情 PCI 安全标准委员会版权所有保留所有权利第 20 页

27 第 3a 部分确认状态 ( 续 ) 未在本次评估所审核的 ANY 系统中发现交易授权后仍存储完整跟踪数据 1 CAV2 CVC2 CID CVV2 2 3 数据或 PIN 数据的迹象 ASV 扫描正由 PCI SSC 认证的授权扫描服务商 (ASV 名称 ) 完成第 3b 部分商户证明书商户执行官签名日期 : 商户执行官姓名 : 职务 : 第 3c 部分 QSA 确认 ( 如果适用 ) 如果 QSA 参与了或帮助完成本次评估, 请说明其执行的角色 : QSA 签名日期 : QSA 姓名 : QSA 公司 : 第 3d 部分 ISA 确认 ( 如果适用 ) 如果 ISA 参与了或帮助完成本次评估, 请说明其执行的角色 : ISA 签名日期 : ISA 姓名 : 职务 : 1 实卡交易中用于授权的磁条编译数据或芯片上的类似数据实体不得在交易授权后保留完整跟踪数据唯一可保留的跟踪数据部分为主帐号 (PAN) 失效日期和持卡人姓名 2 用于验证非实卡交易而印于支付卡签名条或正面的三位或四位数值 3 持卡人在实卡交易中输入的个人识别码, 和 / 或交易消息中包含的加密 PIN 数据块 PCI DSS SAQ C-VT,3.0 版第 3 节 : 认证和证明书详情 PCI 安全标准委员会版权所有保留所有权利第 21 页

28 第 4 部分针对未遵从要求的行动计划针对每项要求的 PCI DSS 要求遵从性选择合适的回复如果您针对任一要求回复了否, 则需要提供您所在公司预计遵从该要求的日期, 并简要说明为满足该要求所采取的行动在填写第 4 部分之前, 请先咨询您的收单机构或支付品牌 PCI DSS 要求要求说明遵从 PCI DSS 要求 ( 选择一个选项 ) 否补救日期和行动 ( 如果针对任一要求选择了否 ) 1 安装并维护防火墙配置以保护持卡人数据 2 不要使用供应商提供的默认系统密码和其他安全参数 3 保护存储的持卡人数据 4 5 加密持卡人数据在开放式公共网络中的传输为所有系统提供恶意软件防护并定期更新杀毒软件或程序 6 开发并维护安全的系统和应用程序 7 按业务知情需要限制对持卡人数据的访问 9 限制对持卡人数据的物理访问 12 维护针对所有工作人员的信息安全政策 PCI DSS SAQ C-VT,3.0 版第 3 节 : 认证和证明书详情 PCI 安全标准委员会版权所有保留所有权利第 22 页

文档变更记录日期 PCI DSS 版本 SAQ 修订版描述 2008 年 10 月 1.2 根据新的 PCI DSS 1.2 版调整内容并实施原始 1.1 版中标出的微小变更 2010 年 10 月 2.0 根据新的 PCI DSS 2.0 版要求与测试程序调整内容 2014 年 2 月 3.0

文档变更记录日期 PCI DSS 版本 SAQ 修订版描述 2008 年 10 月 1.2 根据新的 PCI DSS 1.2 版调整内容并实施原始 1.1 版中标出的微小变更 2010 年 10 月 2.0 根据新的 PCI DSS 2.0 版要求与测试程序调整内容 2014 年 2 月 3.0 支付卡行业 (PCI) 数据安全标准自我评估调查问卷 C-VT 和遵从性证明书使用基于 Web 的虚拟支付终端的商户无电子持卡人数据存储适用于 PCI DSS 3.2 版文档变更记录日期 PCI DSS 版本 SAQ 修订版描述 2008 年 10 月 1.2 根据新的 PCI DSS 1.2 版调整内容并实施原始 1.1 版中标出的微小变更 2010 年 10 月 2.0 根据新的 PCI

文档变更记录 日期版本描述 2008 年 10 月 1.2 根据新的 PCI DSS 1.2 版调整内容并实施原始 1.1 版中标出的微小变更 2010 年 10 月 2.0 根据新的 PCI DSS 2.0 版要求与测试程序调整内容 3.0 根据 PCI DSS 3.0 版要求与测试程序调整内容并

文档变更记录日期版本描述 2008 年 10 月 1.2 根据新的 PCI DSS 1.2 版调整内容并实施原始 1.1 版中标出的微小变更 2010 年 10 月 2.0 根据新的 PCI DSS 2.0 版要求与测试程序调整内容 3.0 根据 PCI DSS 3.0 版要求与测试程序调整内容并