支付卡行业 (PCI) 数据安全标准适用于服务提供商的自我评估调查问卷 D 和遵从性证明书符合 SAQ 适用条件的服务提供商适用于 PCI DSS 3.2 版修订版年 1 月

Size: px

Start display at page:

Download "支付卡行业 (PCI) 数据安全标准适用于服务提供商的自我评估调查问卷 D 和遵从性证明书符合 SAQ 适用条件的服务提供商适用于 PCI DSS 3.2 版修订版年 1 月"

帝束
4 years ago
Views:

1 支付卡行业 (PCI) 数据安全标准适用于服务提供商的自我评估调查问卷 D 和遵从性证明书符合 SAQ 适用条件的服务提供商适用于 PCI DSS 3.2 版修订版 1.1

2 文档变更记录日期 PCI DSS 版本 SAQ 修订版描述 2008 年 10 月 1.2 根据新的 PCI DSS 1.2 版调整内容并实施原始 1.1 版中标出的微小变更 2010 年 10 月 2.0 根据新的 PCI DSS 2.0 版要求与测试程序调整内容 2014 年 2 月 2015 年 4 月 2015 年 7 月 2016 年 4 月 3.0 根据 PCI DSS 3.0 版要求与测试程序调整内容并纳入了其他应对方案 3.1 更新以符合 PCI DSS 3.1 版有关 PCI DSS 变更的详细信息, 请参阅 PCI DSS PCI DSS 3.0 版到 3.1 版的变更汇总更新以在 2015 年 6 月 30 日前将参考部分移至最优方法, 并针对要求 11.3 移除 PCI DSS 2 版报告选项更新以符合 PCI DSS 3.2 版有关 PCI DSS 变更的详细信息, 请参阅 PCI DSS PCI DSS 3.1 版到 3.2 版的变更汇总已更新版本编号, 以便与其他 SAQ 保持一致确认通知 : 在所有使用目的和情况下,PCI SSC 网站上的英文文本应作为此文件的官方版本当翻译文本和英文文本之间出现任何歧义和不一致之处时, 正确的内容应以该位置的英文文本为准适用于服务提供商的 PCI DSS 3.2 版 SAQ D, 修订版 PCI 安全标准委员会版权所有保留所有权利第 ii 页

3 目录文档变更记录... ii 开始之前 iv PCI DSS 自我评估实施步骤... iv 了解自我评估调查问卷... iv iv 完成自我评估调查问卷... v 某些特定要求的不适用性指南... v 不适用和未测试之间的区别说明... vi 法律规定的例外情况... vi 第 1 节 : 评估信息... 1 第 2 节 : 适用于服务提供商的自我评估调查问卷 D... 7 构建和维护安全网络和系统... 7 要求 1: 安装和维护防火墙配置以保护数据... 7 要求 2: 不要使用供应商提供的默认系统密码和其他安全参数保护持卡人数据 18 要求 3: 保护存储的持卡人数据要求 4: 加密持卡人数据在开放式公共网络中的传输维护漏洞管理计划 27 要求 5: 为所有系统提供恶意软件防护并定期更新杀毒软件或程序要求 6: 开发并维护安全的系统和应用程序实施强效访问控制措施要求 7: 按业务知情需要限制对持卡人数据的访问要求 8: 识别并验证对系统组件的访问要求 9: 限制对持卡人数据的物理访问定期监控并测试网络要求 10: 跟踪并监控对网络资源和持卡人数据的所有访问要求 11: 定期测试安全系统和流程维护信息安全政策 64 要求 12: 维护针对所有工作人员的信息安全政策附录 A: PCI DSS 附加要求附录 A1: 针对共享托管服务提供商的 PCI DSS 附加要求附录 A2: 针对使用 SSL/ 早期 TLS 的实体的 PCI DSS 附加要求附录 A3: 指定实体补充认证 (DESV) 附录 B: 补偿性控制工作表附录 C: 不适用性说明附录 D: 未测试的要求说明第 3 节 : 认证和证明书详情适用于服务提供商的 PCI DSS 3.2 版 SAQ D, 修订版 PCI 安全标准委员会版权所有保留所有权利第 iii 页

4 开始之前适用于服务提供商的 SAQ D 适用于支付品牌认定符合 SAQ 适用条件的所有服务提供商由于许多完成 SAQ D 的组织需要认证其对于每项 PCI DSS 要求的遵从性, 因此一些具有特定业务模式的组织可能会发现某些要求不适用有关要排除的某些特定要求, 请参见下面的相关指南 PCI DSS 自我评估实施步骤 1. 确认您所在环境范围适当 2. 评估您所在环境否遵从 PCI DSS 要求 3. 实施此文档的所有章节 : 第 1 节 (AOC 的第 1 2 部分 ) 评估信息和实施概要第 2 节 PCI DSS 自我评估调查问卷 (SAQ D) 第 3 节 (AOC 的第 3 4 部分 ) 认证和证明书详情以及针对未遵从要求的行动计划 ( 如果适用 ) 4. 向支付品牌或其他申请机构提交 SAQ 遵从性证明书 (AOC) 以及其他任何要求的文档 ( 例如 ASV 扫描报告 ) 了解自我评估调查问卷此自我评估调查问卷中列所包含的问题基于 PCI DSS 中的要求为帮助完成评估流程, 已提供了就 PCI DSS 要求和如何完成自我评估调查问卷予以指导的其他资源下面概述了其中的一些资源 : 文档内容 : PCI DSS (PCI 数据安全标准要求和安全评估程序 ) 有关范围界定的指导有关所有 PCI DSS 要求意图的指导测试程序详情有关补偿性控制的指导 SAQ 说明和指南文档所有 SAQ 及其适用标准的相关信息如何确定哪项 SAQ 适用于您所在组织 PCI DSS 和 PA-DSS 术语缩略词和首字母缩略词词汇表 PCI DSS 和自我评估调查问卷中所使用的术语的说明和定义上述资源和一些其他资源可在 PCI SSC 网站 ( 上找到建议组织在开始评估之前先浏览 PCI DSS 和其他支持文档列中包含的说明基于 PCI DSS 中的测试程序, 提供了有关认证已满足要求所必须执行的测试活动类型的高级说明有关针对各项要求的测试程序的完整详情, 请参见 PCI DSS 适用于服务提供商的 PCI DSS 3.2 版 SAQ D, 修订版 PCI 安全标准委员会版权所有保留所有权利第 iv 页

5 完成自我评估调查问卷对于每个问题, 可以选择一个选项来表明您所在公司针对该要求的状态对于每个问题, 只能选择一个下表说明了各项的含义 :, CCW ( 补偿性控制工作表 ) 此的适用情况 : 已执行, 且已按照相关说明满足该要求的所有元素已执行, 且已采用补偿性控制满足该要求如果选择此列中的, 则必须在 SAQ 附录 B 中填写补偿性控制工作表 (CCW) 要了解如何使用补偿性控制和填写该工作表, 请参见 PCI DSS 否 N/A ( 不适用 ) 未测试该要求的部分或所有元素尚未满足或正处于实施状态, 或者需要进一步测试才能确定否满足该要求不适用于相关组织所在环境 ( 有关示例, 参见下面的某些特定要求的不适用性指南 ) 如果选择此列中的, 则必须在 SAQ 附录 C 中提供支持说明该要求未包含在本次评估的考虑范围内, 且未以任何形式进行测试 ( 有关此选项的适用情况示例, 参见下面的不适用和未测试之间的区别说明 ) 如果选择此列中的, 则必须在 SAQ 附录 D 中提供支持说明某些特定要求的不适用性指南由于许多完成 SAQ D 的组织需要认证其对于每项 PCI DSS 要求的遵从性, 因此一些具有特定业务模式的组织可能会发现某些要求不适用举例来说, 如果一家公司在任何方面都不使用无线技术, 则无需认证对于特定于管理无线技术的 PCI DSS 章节的遵从性同样地, 从未以电子方式存储任何持卡人数据的组织无需认证对有关安全存储持卡人数据的要求的遵从性 ( 有关示例, 参见第 3.4 条要求 ) 具有特定适用性的要求包括 : 除非您的网络中使用了无线技术, 否则无需回答针对安全无线技术的问题 ( 例如要求和 4.1.1) 请注意, 即使您的网络中未使用无线技术, 也仍必须针对要求 11.1( 使用流程识别未经授权的无线接入点 ) 提供, 因为该流程可检测出任何可能在您不知情的情况下添加的欺诈或无授权设备除非您所在组织开发了专有自定义应用程序, 否则无需回答特定于应用程序开发和安全编码的问题 ( 要求 6.3 和 6.5) 除非对于位于敏感区域 ( 定义如下 ) 的设施, 否则无需回答针对要求和 9.3 的问题 : 敏感区域指任何数据中心服务器室或任何存储处理或传输持卡人数据的系统所在区域这不包括仅有销售点终端的区域 ( 例如零售店的收银区 ), 但包括存储持卡人数据的零售店后端办公服务器室以及存储了大量持卡人数据的区域如果您认为任何要求不适用于您所在环境, 请针对该特定要求选择 N/A 选项, 然后在附录 C 为所有 N/A 条目填写不适用性说明适用于服务提供商的 PCI DSS 3.2 版 SAQ D, 修订版 PCI 安全标准委员会版权所有保留所有权利第 v 页

6 不适用和未测试之间的区别说明视为不适用于相关环境的要求必须获得相应认证以上述无线技术为例, 如果某个组织想要针对要求和选择 N/A, 则必须先确认其 CDE 中未使用或连接到任何无线技术经过确认后, 该组织便可针对这些特定要求选择 N/A, 如果在审核过程中未经任何考虑便将某项要求完全排除在适用范围之外, 则应选择未测试选项此类情况可能包括 : 某组织的收单机构可能要求其验证否遵从特定要求部分, 例如使用优先方法验证否达到特定里程碑某组织可能想要验证仅会影响特定要求部分的新安全控制, 例如实施新的加密方法需要针对 PCI DSS 要求 2 3 和 4 进行评估某服务供应商组织提供的某项服务可能只涉及有限部分的 PCI DSS 要求, 例如某物理存储供应商可能只想要针对 PCI DSS 要求 9 为其存储设施进行物理安全控制验证在上述情况下, 相关组织只想要验证特定 PCI DSS 要求, 即使其他要求可能也适用于其所在环境法律规定的例外情况如果您所在组织因受到相关法律限制约束而无法满足 PCI DSS 要求, 请针对该要求选择否列, 然后在第 3 部分填写相关证明书适用于服务提供商的 PCI DSS 3.2 版 SAQ D, 修订版 PCI 安全标准委员会版权所有保留所有权利第 vi 页

7 第 1 节 : 评估信息提交说明服务提供商必须填写此文档, 以声明其按照支付卡行业数据安全标准 (PCI DSS) 要求和安全评估程序所做的自我评估的结果填写所有章节 : 服务提供商应负责确保相关方 ( 如果有 ) 填写所有章节联系申请的支付品牌以确定报告和提交程序第 1 部分服务提供商和合格安全性评估商信息第 1a 部分服务提供商组织信息公司名称 : DBA( 经营别称 ): 联系人姓名 : 职务 : 电话 : 电子邮件地址 : 公司地址 : 城市 : 州 / 省 : 网址 : 国家 / 地区 : 邮编 : 第 1b 部分合格安全性评估商公司信息 ( 如果有 ) 公司名称 : QSA 主要联系人姓名 : 职务 : 电话 : 电子邮件地址 : 公司地址 : 城市 : 州 / 省 : 网址 : 国家 / 地区 : 邮编 : 适用于服务提供商的 PCI DSS 3.2 版 SAQ D, 修订版 1.1 第 1 节 : 评估信息 PCI 安全标准委员会版权所有保留所有权利第 1 页

8 第 2 部分实施概要第 2a 部分范围验证属于 PCI DSS 评估范围内的服务 ( 选中所有合适的选项 ): 受评估服务名称 : 受评估服务类型 : 托管服务提供商 : 应用程序 / 软件硬件基础架构 / 网络物理空间 ( 主机托管 ) 存储 Web 安全服务 3-D 安全托管服务提供商共享托管服务提供商其他托管服务 ( 请指明 ): 管理服务 ( 请指明 ): 系统安全服务 IT 支持物理安全终端管理系统其他服务 ( 请指明 ): 支付处理 : POS/ 实卡互联网 / 电子商务 MOTO/ 呼叫中心 ATM 其他处理 ( 请指明 ): 客户管理欺诈和退款支付网关 / 开关后勤服务发卡机构处理预付服务帐单管理忠诚计划记录管理清算与结算商户服务税务 / 政府支付网络服务提供商其他 ( 请指明 ): 注 : 这些类别仅供参考, 并非用于限制或预先提供实体的服务说明如果您认为这些类别均不符合您的服务情况, 请填写其他如果您不确定某类别否符合您的服务情况, 请咨询相应的支付品牌适用于服务提供商的 PCI DSS 3.2 版 SAQ D, 修订版 1.1 第 1 节 : 评估信息 PCI 安全标准委员会版权所有保留所有权利第 2 页

9 第 2a 部分范围验证 ( 续 ) 服务提供商所提供的不属于 PCI DSS 评估范围的服务 ( 选中所有合适选项 ): 未受评估服务名称 : 未受评估服务类型 : 托管服务提供商 : 应用程序 / 软件硬件基础架构 / 网络物理空间 ( 主机托管 ) 存储 Web 安全服务 3-D 安全托管服务提供商共享托管服务提供商其他托管服务 ( 请指明 ): 管理服务 ( 请指明 ): 系统安全服务 IT 支持物理安全终端管理系统其他服务 ( 请指明 ): 支付处理 : POS/ 实卡互联网 / 电子商务 MOTO/ 呼叫中心 ATM 其他处理 ( 请指明 ): 客户管理欺诈和退款支付网关 / 开关后勤服务发卡机构处理预付服务帐单管理忠诚计划记录管理清算与结算商户服务税务 / 政府支付网络服务提供商其他 ( 请指明 ): 请简要说明任何选中服务未包含在本次评估范围内的原因 : 第 2b 部分支付卡业务说明说明您所在企业如何存储处理和 / 或传输持卡人数据, 以及支持的数据大小说明您所在企业如何以其他方式影响或潜在影响持卡人数据安全性, 以及影响的程度第 2c 部分地点列出 PCI DSS 审核中包含的场所类型 ( 例如, 零售店公司办公室数据中心呼叫中心等等 ) 以及所在地点概要场所类型此类场所数量场所所在地点 ( 城市国家 / 地区 ) 示例 : 零售店 3 美国马萨诸塞州波士顿适用于服务提供商的 PCI DSS 3.2 版 SAQ D, 修订版 1.1 第 1 节 : 评估信息 PCI 安全标准委员会版权所有保留所有权利第 3 页

10 第 2d 部分支付应用程序该组织否使用一款或多款支付应用程序? 否提供有关您所在组织使用的支付应用程序的下列信息 : 支付应用程序名称版本号应用程序供应商该应用程序否获得 PA-DSS 认证? PA-DSS 认证失效日期 ( 如果有 ) 否否否否否否否否第 2e 部分环境说明提供有关此评估所涵盖的环境的高级说明例如 : 对持卡人数据环境 (CDE) 的输入和输出连接该 CDE 中的关键系统组件 ( 例如 POS 设备数据库网络服务器等 ) 以及其他任何必要的支付组件 ( 如果有 ) 您所在企业否使用网络分段来影响 PCI DSS 环境范围? ( 有关网络分段的指南, 请参见 PCI DSS 的网络分段章节 ) 否第 2f 部分第三方服务提供商您的公司否出于验证服务的目的与合格集成商和经销商 (QIR) 建立了合作关系? 如果的话 : QIR 公司名称 : QIR 个人名称 : QIR 所提供服务的说明 : 否适用于服务提供商的 PCI DSS 3.2 版 SAQ D, 修订版 1.1 第 1 节 : 评估信息 PCI 安全标准委员会版权所有保留所有权利第 4 页

11 第 2f 部分第三方服务提供商 ( 续 ) 您的公司否出于验证服务的目的与一家或多家第三方服务提供商有关联?( 例如, 合格集成商和经销商 (QIR) 网关支付处理商支付服务提供商 (PSP) 网络托管公司航班订票代理商忠诚计划代理商等 ) 否如果的话 : 服务提供商名称 : 所提供服务的说明 : 注 : 要求 12.8 适用于上述列表中的所有条目适用于服务提供商的 PCI DSS 3.2 版 SAQ D, 修订版 1.1 第 1 节 : 评估信息 PCI 安全标准委员会版权所有保留所有权利第 5 页

12 第 2g 部分受测试要求概述对于每项 PCI DSS 要求, 选择以下某个选项 : 完整该要求的主要求和所有子要求均已评估, 且所有子要求均未在本 SAQ 中标记为未测试或不适用部分该要求的一项或多项子要求在本 SAQ 中标记为未测试或不适用无该要求的所有子要求均在本 SAQ 中标记为未测试和 / 或不适用对于所有标为部分或无的要求, 请在方法理由列中提供相关详情, 包括 : 本 SAQ 中标为未测试和 / 或不适用的特定子要求的详情相关子要求未测试或不适用的理由注 : 本 AOC 要求针对每项服务填写此表单本章节的其他副本可在 PCI SSC 网站上获取受评估服务名称 : 受评估要求详情方法理由 PCI DSS 要求完整部分无 ( 要求所有部分和无确定未验证副要求以及原因 ) 要求 1: 要求 2: 要求 3: 要求 4: 要求 5: 要求 6: 要求 7: 要求 8: 要求 9: 要求 10: 要求 11: 要求 12: 附录 A1: 附录 A2: 适用于服务提供商的 PCI DSS 3.2 版 SAQ D, 修订版 1.1 第 1 节 : 评估信息 PCI 安全标准委员会版权所有保留所有权利第 6 页

13 第 2 节 : 适用于服务提供商的自我评估调查问卷 D 注 : 以下问题的编号与 PCI DSS 要求和安全评估程序文档中说明的 PCI DSS 要求和测试程序顺序相符自我评估实施日期 : 构建和维护安全网络和系统要求 1: 安装和维护防火墙配置以保护数据 ( 为每个问题选中一个 ), 1.1 否已建立和实施了包括以下方面的防火墙和路由器配置 : 否建立了用于批准和测试所有网络连接以及防火墙和路由器配置变更的正式流程? (a) 否已存在当前网络图且该图记录了持卡人数据环境与包括任何无线网络在内的其他网络之间的所有连接? 审核已记录的流程检查网络配置审核当前网络图检查网络配置 (b) 否有相应流程以确保该图及时更新? 与负责人面谈 (a) 否存在显示系统和网络间所有持卡人数据流的当前图? 审核当前数据流图检查网络配置 (b) 否有相应流程以确保该图及时更新? (a) 各互联网连接以及任何非军事区 (DMZ) 和内部网络区域间否要求和实施了防火墙? 审核防火墙配置标准查看网络配置以确认否部署了防火墙 (b) 当前网络图否与防火墙配置标准相符? 对比防火墙配置标准和当前网络图否相符 PCI 安全标准委员会版权所有保留所有权利第 7 页

14 ( 为每个问题选中一个 ), 防火墙和路由器配置标准中否分配和记录了网络组件逻辑管理的群组角色和责任? 审核防火墙和路由器配置标准 (a) 防火墙和路由器配置标准否包含服务协议和端口的文档记录列表 ( 包括各自的业务理由和审批 )? 审核防火墙和路由器配置标准 (b) 否已识别出所有不安全的服务协议和端口且已针对识别出的所有服务记录和实施了安全功能? 审核防火墙和路由器配置标准检查防火墙和路由器配置 (a) 防火墙和路由器配置标准否要求至少每半年审核一次防火墙和路由器规则集? 审核防火墙和路由器配置标准 (b) 否至少每半年审核了一次防火墙和路由器规则集? 检查有关防火墙审核的文档记录 1.2 防火墙和路由器配置否按照下述要求限制了不可信网络和持卡人数据环境中任何系统间的连接 : 注 : 不可信网络指受审核实体所属网络之外的任何网络, 和 / 或不受该实体控制或管理的任何网络 (a) 输入和输出流量否限制在持卡人数据环境所需的范围? (b) 否明确拒绝 ( 例如, 使用明确的拒绝所有或在允许声明后含蓄地表达拒绝之意 ) 其他所有输入和输出流量? 路由器配置文件否禁止未经授权的访问且已同步, 例如运行 ( 或活动 ) 配置与启动配置 ( 启动电脑时使用 ) 相匹配? 否在所有无线网络和持卡人数据环境间安装了外围防火墙, 并将这些防火墙配置为拒绝流量或 ( 如果出于业务目的而需要流量 ) 仅允许无线环境和持卡人数据环境间的授权流量? 审核防火墙和路由器配置标准检查防火墙和路由器配置审核防火墙和路由器配置标准检查防火墙和路由器配置审核防火墙和路由器配置标准检查路由器配置文件和路由器配置审核防火墙和路由器配置标准检查防火墙和路由器配置 PCI 安全标准委员会版权所有保留所有权利第 8 页

15 ( 为每个问题选中一个 ), 1.3 否按照下述要求禁止了互联网与持卡人数据环境中任何系统组件之间的直接公共访问 : 否已实施了 DMZ 以将输入流量限制为仅支持提供授权公共访问服务协议和端口的系统组件? 检查防火墙和路由器配置否已限制为仅向 DMZ 内的 IP 地址输入互联网流量? 检查防火墙和路由器配置否实施了反欺骗措施以检测并阻止伪造的源 IP 地址进入该网络? 检查防火墙和路由器配置 ( 例如, 阻止具有内部地址的互联网流量 ) 从持卡人数据环境输出到互联网的流量否具有明确授权? 检查防火墙和路由器配置否仅允许已建立的连接进入该网络? 检查防火墙和路由器配置存储持卡人数据的系统组件 ( 例如数据库 ) 否放置在与 DMZ 和其他不可信网络隔离的内部网络区域中? (a) 否已实施相应方法来阻止私有 IP 地址和路由信息泄漏到互联网? 检查防火墙和路由器配置检查防火墙和路由器配置注 : 掩盖 IP 地址的方法包括但不限于 : 网络地址转换 (NAT) 将包含持卡人数据的服务器放置在代理服务器 / 防火墙中, 删除或过滤针对采用注册地址的专用网络的路由器广告, 在内部使用 RFC1918 地址空间而非注册地址 (b) 面向外部实体的任何私有 IP 地址和路由信息泄漏否都经过授权? 检查防火墙和路由器配置 PCI 安全标准委员会版权所有保留所有权利第 9 页

19 要求 2: 不要使用供应商提供的默认系统密码和其他安全参数 2.1 (a) 否始终于在该网络中安装系统之前更改供应商提供的默认值? 此要求适用于所有默认密码, 包括但不限于操作系统提供安全服务的软件应用程序和系统帐户销售点 (POS) 终端支付应用程序简单网络管理协议 (SNMP) 社区字符串等使用的默认密码 (b) 否已于在该网络中安装系统之前删除或禁用不必要的默认帐户? 对于连接到持卡人数据环境或传输持卡人数据的无线环境, 否按照下述要求在安装时更改了所有无线供应商提供的默认值 : (a) 否在安装以及知道密钥的任何人离职或更换岗位时更改了默认的加密密钥? (b) 否在安装时更改了无线设备上的默认 SNMP 社区字符串? 审核相关政策和程序检查供应商文档查看系统配置和帐户设置审核相关政策和程序审核供应商文档检查系统配置和帐户设置审核相关政策和程序审核供应商文档审核相关政策和程序审核供应商文档检查系统配置 ( 为每个问题选中一个 ), (c) 否在安装时更改了接入点的默认密码 / 口令? 审核相关政策和程序检查系统配置 PCI 安全标准委员会版权所有保留所有权利第 13 页

20 (d) 否已更新无线设备的固件来支持通过无线网络进行的验证和传输的强效加密? (e) 否已更改其他与安全有关的无线供应商默认值 ( 如果适用 )? 2.2 (a) 配置标准否为针对所有系统组件制定的, 以及否与行业认可的系统强化标准一致? 行业认可的系统强化标准来源包括但不限于 : 美国系统网络安全协会 (SANS) 国家标准与技术研究所 (NIST) 国际标准化组织 (ISO) 和互联网安全中心 (CIS) (b) 否已按照要求 6.1 在发现新的安全漏洞问题时更新了系统配置标准? 审核相关政策和程序审核供应商文档检查系统配置审核相关政策和程序审核供应商文档检查系统配置审核系统配置标准审核行业认可的强化标准审核相关政策和程序审核相关政策和程序 ( 为每个问题选中一个 ), (c) 否已在配置新系统时应用了系统配置标准? 审核相关政策和程序 (d) 系统配置标准否包含以下所有说明 : 更改所有供应商提供的默认值并删除不必要的默认帐户每台服务器仅执行一项主要功能以免需要不同安全级别的功能并存于同一台服务器上仅启用系统功能所需的必要服务协议守护进程等对于任何被视为不安全的必要服务协议或守护进程, 均执行附加安全功能配置系统安全参数以防滥用删除所有非必要功能, 例如脚本驱动程序特性子系统文件系统和不必要的网络服务器审核系统配置标准 PCI 安全标准委员会版权所有保留所有权利第 14 页

21 2.2.1 (a) 否仅在每台服务器执行了一项主要功能, 以免需要不同安全级别的功能并存于同一台服务器上? ( 为每个问题选中一个 ), 检查系统配置例如, 网络服务器数据库服务器和 DNS 均应在单独的服务器上执行 (b) 如果采用了虚拟化技术, 那么每个虚拟系统组件或设备否仅执行了一项主要功能? 检查系统配置 (a) 否仅启用了系统功能所需的必要服务协议守护进程等 ( 并非执行设备特定功能所直接需要的服务和协议已禁用 )? (b) 否已根据书面配置标准判断所有已启用的不安全服务守护进程或协议否合理? 否已针对任何被视为不安全的必要服务协议或守护进程记录和执行了附加安全功能? 注 : 若要使用 SSL/ 早期 TLS, 须完成附录 A2 中的要求审核配置标准检查系统配置审核配置标准检查配置设置对比已启用的服务等和理由记录否相符审核配置标准检查配置设置 (a) 系统管理员和 / 或负责配置系统组件的工作人员否了解适用于这些系统组件的常用安全参数设置? (b) 常用系统安全参数设置否包含在系统配置标准中? 审核系统配置标准 (c) 适用于系统组件的安全参数设置否适当? 检查系统组件检查安全参数设置对比设置和系统配置标准否相符 (a) 否删除了所有非必要功能, 例如脚本驱动程序特性子系统文件系统和不必要的网络服务器? 检查适用于系统组件的安全参数 PCI 安全标准委员会版权所有保留所有权利第 15 页

22 ( 为每个问题选中一个 ), (b) 已启用的功能否已记录, 且否支持安全配置? 审核相关文档检查适用于系统组件的安全参数 (c) 系统组件否只适用具有文档记录的功能? 审核相关文档检查适用于系统组件的安全参数 2.3 否按照下述要求对非控制台管理访问进行了加密 : 注 : 若要使用 SSL/ 早期 TLS, 须完成附录 A2 中的要求 (a) 否已对所有非控制台管理访问应用强效加密法, 且在要求提供管理员密码前已调用强效加密法? 检查系统组件检查系统配置查看管理员登录 (b) 系统服务和参数文件否已配置为阻止使用 Telnet 和其他不安全的远程登录命令? 检查系统组件检查服务和文件 (c) 否已采用强效加密法对管理员进入基于 web 的管理界面的访问权进行加密? 检查系统组件查看管理员登录 (d) 否已按照行业最优方法和 / 或供应商建议对所使用的技术实施强效加密? 检查系统组件审核供应商文档 2.4 (a) 否已保留 PCI DSS 范围内的系统组件清单, 其中包含软硬件组件列表以及各自的功能 / 用途描述? 检查系统清单 (b) 书面清单否及时更新? 2.5 用于管理供应商默认值和其他安全参数的安全政策和操作程序否 : 已记录处于使用中为所有相关方了解? 审核安全政策和操作程序 PCI 安全标准委员会版权所有保留所有权利第 16 页

24 保护持卡人数据要求 3: 保护存储的持卡人数据 ( 为每个问题选中一个 ), 3.1 数据保留和处理政策程序与流程否按照下述要求实施 : (a) 数据存储量和保留时间否限制在法律法规和 / 或业务需求所需的范围内? (b) 否制定了特定流程来在不再因法律法规和 / 或业务原因而需要时安全删除持卡人数据? (c) 否存在针对持卡人数据的具体保留要求? 例如因 Y 业务原因, 需将持卡人数据保留 X 的时间 (d) 否制定了特定流程来按季度查找并安全删除所存储的超过规定保留期限要求的持卡人数据? 审核数据保留和处理政策程序审核相关政策和程序检查删除机制审核相关政策和程序检查保留要求审核相关政策和程序查看删除流程 (e) 否所有存储的数据均满足数据保留政策中规定的要求? 检查文件和系统记录 3.2 (a) 对于发卡机构和 / 或支持发卡服务并存储敏感验证数据的公司, 否具备存储敏感验证数据的业务理由文档记录? 审核相关政策和程序审核业务理由文档记录 (b) 对于发卡机构和 / 或支持发卡服务并存储敏感验证数据的公司 : 数据否得到保护? 检查数据存储和系统配置文件 PCI 安全标准委员会版权所有保留所有权利第 18 页

25 (c) 对于其他所有实体 : 完成授权流程后, 否删除了敏感验证数据或使其不可恢复? (d) 否所有系统均已遵循以下有关授权后不存储敏感验证数据 ( 即使已经加密 ) 的要求 : 授权后不存储任意磁道上的完整内容 ( 位于卡背面的磁条中芯片上或其他位置 ) 此类据也可称为全磁道磁道磁道 1 磁道 2 和磁条数据注 : 在正常业务过程中, 以下磁条数据元素可能需要保留 : 持卡人姓名, 主帐户 (PAN), 失效日, 以及业务码为将风险降至最低, 只存储业务所需的数据元素授权后不存储卡验证代码或值 ( 印在支付卡正面或背面的三位或四位数值 )? 审核相关政策和程序检查系统配置检查删除流程检查数据来源, 其中包括 : 输入的交易数据所有日志存档文件跟踪文件数据库架构数据库内容检查数据来源, 其中包括 : 输入的交易数据所有日志存档文件跟踪文件数据库架构数据库内容 ( 为每个问题选中一个 ), PCI 安全标准委员会版权所有保留所有权利第 19 页

26 ( 为每个问题选中一个 ), 授权后不存储个人识别码 (PIN) 或经加密的 PIN 数据块? 检查数据来源, 其中包括 : 3.3 PAN 否在显示时被掩盖 ( 只有前六位和后四位数字可以显示 ), 以便仅有正当业务需要者才能看到除前六位 / 后四位以外的 PAN? 注 : 该要求不能取代现行更严格的有关持卡人数据显示的要求, 例如法律或支付卡品牌对销售点 (POS) 收据的要求输入的交易数据所有日志存档文件跟踪文件数据库架构数据库内容审核相关政策和程序审核需要能够查看完整 PAN 的角色检查系统配置查看 PAN 的显示 3.4 否已通过采取下列任一方法使所有位置 ( 包括数据储存库便携式数字媒介备份媒介和检查日志中 ) 存储的 PAN 均不可读? 基于强效加密法的单向散列函数 ( 散列必须要有完整的 PAN) 截词 ( 不能用散列代替 PAN 被截词的部分 ) 索引令牌与索引簿 ( 索引簿必须安全地存储 ) 具有相关密钥管理流程和程序的强效加密法注 : 对恶意个人而言, 如果能访问被截词和散列的 PAN, 要重建原始 PAN 数据件相当轻松的事如果在实体环境中出现同一个 PAN 的散列版本和截词版本, 则须采取额外控制措施, 确保散列版本和截词版本不能被相互关联, 用于重建原始 PAN 检查供应商文档检查数据储存库检查可移动媒介检查检查日志, 包括支付应用程序日志 PCI 安全标准委员会版权所有保留所有权利第 20 页

27 ( 为每个问题选中一个 ), 如果使用了磁盘加密 ( 而非文件级或列级数据库加密 ), 访问权限管理否符合下述说明 : 注 : 除了所有其他 PCI DSS 加密和密钥管理要求外, 此要求也适用 (a) 对已加密文件系统的逻辑访问否得到单独管理, 并独立于本地操作系统的验证和访问控制机制 ( 例如, 不使用本地用户帐户数据库或通用网络登录凭证 )? (b) 加密密钥否已安全存储 ( 例如存储在通过严格访问控制提供充分保护的可移动媒介上 )? (c) 存储在可移动媒介上任何位置的持卡人数据否均已加密? 注 : 如果未使用磁盘加密法对可移动媒介加密, 则需通过一些其他方法使存储在该媒介上的数据实现不可读 3.5 否按照下述要求使用密钥以保护存储的持卡人数据不被泄露和滥用 : 注 : 此要求适用于用来为存储的持卡人数据加密的密钥, 也适用于用来保护数据加密密钥的密钥加密密钥此类密钥加密密钥至少要与数据加密密钥一样强效仅针对服务提供商 : 所维护的加密架构的记录说明否包含 : 用于保护持卡人数据的所有算法协议和密钥的详情, 包括密钥强度和到期日 ; 每个密钥主要用途的说明 ; 用于进行密钥管理的任何 HSM 和其他 SCD 的清单? 注 : 本要求在 2018 年 1 月 31 日前属于最优方法, 此后将成为一项要求检查系统配置查看验证流程查看流程检查系统配置查看流程审核相关文档 PCI 安全标准委员会版权所有保留所有权利第 21 页

28 ( 为每个问题选中一个 ), 否只有极少数必需的保管人具有密钥访问权限? 检查用户访问列表否始终以下面的一种 ( 或多种 ) 形式存储用于加密 / 解密持卡人数据的机密密钥和私人密钥? 使用至少与数据加密密钥一样强效且与数据加密密钥分开存储的密钥加密密钥进行加密在安全加密设备 ( 例如, 硬件 ( 主机 ) 安全模块 (HSM) 或 PTS 批准的交互点设备 ) 内根据行业认可的方法, 采用至少两个全长密钥组分或密钥共享注 : 公共密钥不要求以这些形式存储审核程序文档记录检查系统配置和密钥存储位置 ( 包括密钥加密密钥存储位置 ) 否已尽量减少密钥存储位置? 检查密钥存储位置查看流程 3.6 (a) 否已针对用于加密持卡人数据的密钥完全记录和实施了所有密钥管理流程和程序? (b) 仅针对服务提供商 : 如果与客户共享传输或存储持卡人数据的密钥, 否根据下文要求至向客户提供了相关文档, 其中包含有关安全传输存储和更新客户密钥的指南? 审核密钥管理程序审核提供给客户的文档 (c) 否已按照下述要求实施了密钥管理流程和程序 : 密钥程序否包括生成强效密钥的程序? 审核密钥管理程序查看密钥生成程序密钥程序否包括密钥安全分配的程序? 审核密钥管理程序查看密钥分配方法 PCI 安全标准委员会版权所有保留所有权利第 22 页

29 ( 为每个问题选中一个 ), 密钥程序否包括密钥安全存储的程序? 审核密钥管理程序密钥程序否包括在密钥周期结束时 ( 例如, 指定期限过后和 / 或给定密钥产生一定量的密文后 ) 根据相关应用程序供应商或密钥所有人的规定并基于行业最优方法和指南 ( 例如, NIST 特别出版物 ) 变更密钥的程序? (a) 密钥程序否包括在密钥的完整性变弱 ( 例如, 知道明文密钥部分的员工离职 ) 时注销或替换 ( 例如, 存档销毁和 / 或撤销 ) 密钥的程序? (b) 密钥程序否包括替换确定或怀疑受到威胁的密钥的程序? (c) 如果保留了已注销或替换的密钥, 这些密钥否仅用于进行解密 / 验证, 而不再用于加密操作? 如果使用手动明文密钥管理操作, 密钥程序否按照下述要求包含密钥的分割知识和双重控制程序 : 分割知识程序否要求密钥的组成部分至少由两个人控制, 且每个人只知道自己那部分的密钥? 以及双重控制程序否要求至少需要两个人执行任何密钥管理操作且他们无法访问对方的验证材料 ( 例如, 密码或密钥 )? 注 : 手动密钥管理操作包括但不限于 : 密钥生成传输加载存储和销毁查看安全存储密钥的方法审核密钥管理程序审核密钥管理程序审核密钥管理程序审核密钥管理程序审核密钥管理程序和 / 或查看流程 PCI 安全标准委员会版权所有保留所有权利第 23 页

31 要求 4: 加密持卡人数据在开放式公共网络中的传输 4.1 (a) 否使用了强效加密法和安全协议来保护经由公开公共网络传输的敏感持卡人信息注 : 若要使用 SSL/ 早期 TLS, 须完成附录 A2 中的要求在 PCI DSS 的范围内, 公开公共的网络包括但不限于, 互联网无线技术 ( 包括和蓝牙 ) 蜂窝技术 ( 例如, 全球移动通信系统 (GSM) 码分多址 (CDMA)) 以及通用分组无线业务 (GPRS) 审核书面标准审核相关政策和程序审核传输或接收 CHD 的所有地点检查系统配置 ( 为每个问题选中一个 ), (b) 否只接受可信密钥和 / 或证书? 查看输入和输出传输检查密钥和证书 (c) 实施的安全协议否仅使用安全配置且不支持非安全版本或配置? 检查系统配置 (d) 否已根据所使用的加密方法实施了适当的加密强度 ( 查看供应商建议 / 最优方法 )? 审核供应商文档检查系统配置 (e) 对于 TLS 的实施, 否在传输或接收持卡人数据时始终启用了 TLS? 检查系统配置例如, 对于基于浏览器的实施 : HTTPS 作为浏览器统一记录定位器 (URL) 协议, 且仅当 HTTPS 作为 URL 的一部分时才需要持卡人数据传输持卡人数据或连接到持卡人数据环境的无线网络否使用了行业最优方法来对验证和传输实施强效加密? 审核书面标准审核无线网络检查系统配置设置 PCI 安全标准委员会版权所有保留所有权利第 25 页

32 4.2 (a) PAN 否在通过终端用户通讯技术 ( 例如, 电子邮件即时通讯聊天等 ) 传送的任意时刻均不可读或受强效加密法保护? 查看流程审核输出传输 ( 为每个问题选中一个 ), (b) 否已制定政策来规定不会通过终端用户通讯技术传送不受保护的 PAN? 审核相关政策和程序 4.3 用于对持卡人数据传输进行加密的安全政策和操作程序否 : 已记录处于使用中为所有相关方了解? 审核安全政策和操作程序 PCI 安全标准委员会版权所有保留所有权利第 26 页

33 维护漏洞管理计划要求 5: 为所有系统提供恶意软件防护并定期更新杀毒软件或程序 ( 为每个问题选中一个 ), 5.1 否在经常受恶意软件影响的所有系统中部署了杀毒软件? 检查系统配置杀毒程序否能够检测删除并阻止所有已知类型的恶意软件 ( 例如, 病毒特洛伊木马蠕虫病毒间谍软件广告软件和 rootkit 内核型病毒 )? 审核供应商文档检查系统配置否执行了定期评估以确定并评估不断进化的恶意软件威胁, 从而确认之前认为通常不受恶意软件影响的系统否仍然如此? 5.2 否按照下述要求保留了所有杀毒机制 : (a) 否及时更新了所有杀毒软件和相关定义? 检查政策和程序检查杀毒配置 ( 包括主体安装 ) 检查系统组件 (b) 否已启用且正执行自动更新和定期扫描? 检查杀毒配置 ( 包括主体安装 ) (c) 否所有杀毒机制均可生成检查日志且按照 PCI DSS 要求 10.7 保留日志? 5.3 否所有杀毒机制均 : 积极运行? 无法被用户禁用或修改? 注 : 只有存在合理的技术需要且根据具体情况经管理人员批准时, 才能暂时禁用杀毒解决方案如果出于特定目的需要禁用杀毒保护, 必须获得正式授权杀毒保护禁用期间, 可能还需要实施其他安全措施检查系统组件检查杀毒配置审核日志保留流程检查杀毒配置检查系统组件查看流程 PCI 安全标准委员会版权所有保留所有权利第 27 页

35 要求 6: 开发并维护安全的系统和应用程序 ( 为每个问题选中一个 ), 6.1 否制定了包括以下方面的安全漏洞识别流程 : 使用可信外源获取安全漏洞信息? 为安全漏洞指定风险等级, 包括对所有高风险和重要漏洞的识别? 注 : 风险等级应以行业最优方法和潜在影响考虑为依据例如, 漏洞分级标准可能包括对 CVSS 基础得分的考虑和 / 或供应商的分类, 及 / 或相关系统的类型根据组织的环境和风险评估策略不同, 评估漏洞和指定风险等级的方法也不尽相同风险等级至少应标识出所有被视为对环境具有高风险的漏洞除风险等级外, 如果安全漏洞即将对环境造成威胁影响关键系统且 / 或如果不解决可能会造成潜在危害, 则可被视为重要关键系统可能包括安全系统面向公众的设备和系统数据库以及其他存储处理或传输持卡人数据的系统审核相关政策和程序查看流程 6.2 (a) 否已安装供应商提供的适用安全补丁, 以确保所有系统组件和软件均杜绝已知漏洞? 审核相关政策和程序 (b) 否在发布后一个月内安装了关键的安全补丁? 注 : 应按照要求 6.1 中规定的风险分级流程标识关键安全补丁审核相关政策和程序检查系统组件对比安装的安全补丁列表和最新的供应商补丁列表否相符 6.3 (a) 软件开发流程否以行业标准和 / 或最优方法为基础? 审核软件开发流程查看流程 PCI 安全标准委员会版权所有保留所有权利第 29 页

36 ( 为每个问题选中一个 ), (b) 否已将信息安全纳入软件开发的整个生命周期? 审核软件开发流程 (c) 软件应用程序的开发否符合 PCI DSS( 例如, 安全验证和记录 )? (d) 软件开发流程否确保满足中的下述要求 : 否已在应用程序启动或向客户发布前删除了开发测试和 / 或自定义应用程序帐户用户 ID 和密码? 否已在发布到生产环境或向客户发布前按照下述要求检查了所有自定义代码, 以识别任何潜在的编码漏洞 ( 采用人工或自动流程 ): 代码变更否已由代码原作者以外人员以及熟悉代码审核方法和安全编码实践的人员进行了审核? 代码审核否可确保代码的开发符合安全编码指南? 发布前否已进行适当修正? 代码审查结果否已在发布前由管理人员审核并批准? 注 : 这项代码审核要求适用于所有自定义代码 ( 内部代码和面向公众的代码 ), 可作为系统开发生命周期的组成部分代码审核可由经验丰富的内部人员或第三方执行面向公众的 Web 应用程序还应受到附加控制措施的约束, 以应对实施后不断出现的威胁和漏洞, 具体规定请参见 PCI DSS 要求系统组件的所有变更否均已遵守包括以下方面的变更控制流程和程序 : 查看流程审核软件开发流程查看流程审核软件开发流程审核相关政策和程序检查最新变更情况和变更记录 PCI 安全标准委员会版权所有保留所有权利第 30 页

37 ( 为每个问题选中一个 ), (a) 开发 / 测试环境否独立于生产环境? 审核变更控制流程和程序 (b) 否设置了访问控制以确保开发 / 测试环境和生产环境的分离? 否对分配到开发 / 测试环境与生产环境中的人员的职责进行了分离? 否未在测试或开发过程中使用生产数据 ( 真实的 PAN)? 否已在系统激活 / 投入生产前删除了系统组件中的测试数据和帐户? 检查网络文档记录和网络设备配置审核变更控制流程和程序检查访问控制设置审核变更控制流程和程序查看流程审核变更控制流程和程序查看流程检查测试数据审核变更控制流程和程序查看流程检查生产系统 (a) 变更控制程序否已用文档记录且包括以下方面? 影响记录相关被授权方的变更控制审批记录功能测试, 以确认该变更未对系统安全造成不利影响取消程序审核变更控制流程和程序 (b) 否已针对所有变更执行和记录了以下项 : PCI 安全标准委员会版权所有保留所有权利第 31 页

38 ( 为每个问题选中一个 ), 影响记录? 跟踪变更控制文档的变更情况检查变更控制文档相关被授权方的变更控制审批记录? 跟踪变更控制文档的变更情况 (a) 功能测试, 以确认该变更未对系统安全性造成不利影响? (b) 对于自定义代码变更, 确认在将其部署到生产环境前, 所有更新均经过测试符合 PCI DSS 要求 6.5? 检查变更控制文档跟踪变更控制文档的变更情况检查变更控制文档跟踪变更控制文档的变更情况检查变更控制文档取消程序? 跟踪变更控制文档的变更情况完成重要变更后, 否对所有新的或已更改的系统及网络实施了相关的 PCI DSS 要求, 并在适当情况下更新了文档? 注 : 本要求在 2018 年 1 月 31 日前属于最优方法, 此后将成为一项要求检查变更控制文档跟踪变更控制文档的变更情况检查变更控制文档查看受影响的系统或网络 PCI 安全标准委员会版权所有保留所有权利第 32 页

39 ( 为每个问题选中一个 ), 6.5 (a) 软件开发过程中能否修复常见编码漏洞? 审核软件开发政策和程序 (b) 每年否至少对开发人员进行一次最新安全编码技术 ( 包括如何避免常见编码漏洞 ) 方面的培训? (c) 否根据安全编码指南开发应用程序以保护其不受以下漏洞危害 : 注 : 在本版本 PCI DSS 发布时, 已采用行业最优方法将到中列举的漏洞保持为最新但当有关漏洞管理的行业最优方法 ( 例如开放式 Web 应用程序安全项目 (OWASP) 指南前 25 大高危软件错误 CERT 安全编码等 ) 出现更新时, 这些要求必须采用当下最新的最优方法编码技术能否解决注入攻击 ( 尤其 SQL 注入 )? 注 : 同时还须考虑 OS 命令注入 LDAP XPath 等其他注入攻击检查软件开发政策和程序检查培训记录检查软件开发政策和程序与负责人面谈编码技术能否解决缓冲区溢出漏洞? 检查软件开发政策和程序与负责人面谈编码技术能否解决非安全加密存储? 检查软件开发政策和程序与负责人面谈编码技术能否解决非安全通信? 检查软件开发政策和程序与负责人面谈编码技术能否解决不正确的错误处理? 检查软件开发政策和程序编码技术能否解决漏洞识别流程中确认的所有高风险漏洞 ( 具体规定请参见 PCI DSS 要求 6.1)? 与负责人面谈检查软件开发政策和程序与负责人面谈 PCI 安全标准委员会版权所有保留所有权利第 33 页

40 ( 为每个问题选中一个 ), 对于基于 web 的应用程序和应用程序接口 ( 内部或外部 ), 否根据安全编码指南开发应用程序以保护其不受以下其他漏洞危害 : 编码技术能否解决跨站点脚本 (XSS) 漏洞? 检查软件开发政策和程序编码技术能否解决不正确的访问控制 ( 例如不安全的直接对象引用未能限制 URL 访问和目录遍历以及未能限制用户的功能访问 )? 与负责人面谈检查软件开发政策和程序与负责人面谈编码技术能否解决跨站请求伪造 (CSRF)? 检查软件开发政策和程序与负责人面谈编码技术能否解决失效的验证和会话管理? 检查软件开发政策和程序与负责人面谈 PCI 安全标准委员会版权所有保留所有权利第 34 页

41 ( 为每个问题选中一个 ), 6.6 对于面向公众的 web 应用程序, 否已不断解决新的威胁和漏洞, 并通过以下任一方法确保这些应用程序不会受到已知攻击? 按照下述要求利用手动或自动应用程序漏洞安全评估工具或方法审核面向公众的 web 应用程序 : - 至少每年执行一次 - 在任意变更之后 - 由专注于应用程序安全的组织进行 - 至少要求 6.5 中的所有漏洞均包含在评估中 - 所有漏洞均已修复 - 修复漏洞后重新评估应用程序注 : 本评估与要求 11.2 中规定执行的漏洞扫描不同或者安装如下所述的可检测并预防基于 Web 的攻击的自动化技术解决方案 ( 例如,Web 应用程序防火墙 ): - 位于面向公众的 web 应用程序之前, 用以检查并防范网页式攻击 - 积极运行且为最新 ( 若适用 ) - 可生成检查日志 - 配置为阻止网页式攻击, 或生成需立即调查的警报 6.7 用于开发和维护安全系统和应用程序的安全政策和操作程序否 : 已记录处于使用中为所有相关方了解? 审核流程文档记录检查应用程序安全评估记录检查系统配置设置审核安全政策和操作程序 PCI 安全标准委员会版权所有保留所有权利第 35 页

42 实施强效访问控制措施要求 7: 按业务知情需要限制对持卡人数据的访问 ( 为每个问题选中一个 ), 7.1 否如下所述只有具有相应工作需要的个人才能访问系统组件和持卡人数据 : 否制定了针对访问控制的书面政策且其中包含以下方面? 检查书面访问控制政策为每个角色定义访问需要和权限分配将特权用户 ID 的访问权限限制为执行工作所需的最小权限, 基于个人的工作分类和职能分配访问权限被授权方对所有访问的审批记录 ( 电子或书面形式 ), 包括获批的特定权限列表否为每个角色定义了访问需要, 包括 : 检查角色和访问需求每个角色依据工作职能需要访问的系统组件和数据资源? 访问资源所需的权限级别 ( 例如用户管理员等 ) 否按照下述要求对特权用户 ID 的访问权限进行了限制 : 限制为执行工作所需的最小权限? 只分配给明确需要此类特权访问的角色? 与管理人员面谈审核特权用户 ID 否基于个人的工作分类和职能分配了访问权限? 与管理人员面谈审核用户 ID 否需要由指定所需权限的被授权方作出书面批准? 审核用户 ID 与书面批准进行对比对比分配的权限与书面批准否相符 PCI 安全标准委员会版权所有保留所有权利第 36 页

43 ( 为每个问题选中一个 ), 7.2 否按照下述要求为系统组件建立了访问控制系统, 以根据用户的知情需要限制访问, 并将系统设为全部拒绝 ( 特别允许访问时除外 ): 否为所有系统组件建立了访问控制系统? 审核供应商文档访问控制系统否配置为基于工作分类和职能执行个人权限分配? 检查配置设置审核供应商文档检查配置设置访问控制系统否默认设为全部拒绝? 审核供应商文档 7.3 用于限制对持卡人数据的访问的安全政策和操作程序否 : 已记录处于使用中为所有相关方了解? 检查配置设置检查安全政策和操作程序 PCI 安全标准委员会版权所有保留所有权利第 37 页

44 要求 8: 识别并验证对系统组件的访问 ( 为每个问题选中一个 ), 8.1 否按照下述要求针对所有系统组件中的非消费者用户和管理员规定并实施了用户识别管理控制政策和程序 : 在允许任何用户访问系统组件或持卡人数据前, 否为他们分配了唯一的用户 ID? 否已对用户 ID 凭证和其他标识符对象的添加删除和修改进行控制, 以便只有授权人员 ( 包括具有指定权限 ) 才能执行用户 ID 操作? 审核密码程序审核密码程序检查特权和普通用户 ID 以及相关授权查看系统设置否已立即撤销或删除任何到期用户的访问权限? 审核密码程序检查到期用户帐户审核当前访问权限列表查看已退回的物理验证设备否在 90 天内删除或禁用了无活动的用户帐户? 审核密码程序 (a) 否仅在需要的时间段启用并在不用时禁用第三方用于通过远程访问来访问支持或维护系统组件的帐户? 查看用户帐户审核密码程序查看流程 (b) 否对处于使用中的第三方远程访问帐户进行了监控? 查看流程 PCI 安全标准委员会版权所有保留所有权利第 38 页

45 8.1.6 (a) 否通过在不超过 6 次尝试后锁定用户 ID 以限制反复访问尝试? (b) 仅针对服务提供商 : 否会在不超过六次无效访问尝试后暂时锁定非消费者客户密码? 否将用户帐户的锁定时间设为最少 30 分钟或直到管理员启用该用户 ID? 如果会话空闲时间超过 15 分钟, 用户否需要重新验证 ( 例如, 重新输入密码 ) 或者重新激活终端或会话? 8.2 除了分配唯一 ID 以外, 否采用以下一种或多种方法来验证所有用户? 所知, 如密码或口令等所有, 如令牌设备或智能卡等个人特征, 如生物特征 (a) 否使用了强效加密法以使所有验证凭证 ( 例如密码 / 口令 ) 在所有系统组件中传输和存储时均不可读? (b) 仅针对服务提供商 : 否使用了强效加密法以使所有非消费者客户的验证凭证 ( 例如密码 / 口令 ) 在所有系统组件中传输和存储时均不可读? 否在修改任何验证凭证 ( 例如, 执行密码重置提供新令牌或生成新密钥 ) 前验证了用户身份? 审核密码程序检查系统配置设置审核相关政策和程序审核相关文档查看流程审核密码程序检查系统配置设置审核密码程序检查系统配置设置审核密码程序查看验证流程审核密码程序审核供应商文档检查系统配置设置查看密码文件查看数据传输查看密码文件查看数据传输审核验证程序查看人员 ( 为每个问题选中一个 ), PCI 安全标准委员会版权所有保留所有权利第 39 页

46 8.2.3 (a) 用户密码参数否配置为要求密码 / 口令满足以下要求? 密码长度至少为七个字符同时包含数字和字母字符或者, 密码 / 口令必须具有至少与上面指定参数相当的复杂度和强度 (b) 仅针对服务提供商 : 非消费者客户密码否必须满足以下长度下限和复杂性要求? 密码长度至少为七个字符同时包含数字和字母字符检查系统配置设置以验证密码参数审核客户 / 用户文档记录查看内部流程 ( 为每个问题选中一个 ), (a) 否至少每 90 天变更一次用户密码 / 口令? 审核密码程序 (b) 仅针对服务提供商 : 否要求定期变更非消费者客户密码, 以及否向非消费者客户提供了有关必须变更密码的情况的指南 (a) 个人提交的新密码 / 口令否不得与最近所用的 4 个密码 / 口令相同? (b) 仅针对服务提供商 : 否要求新的非消费者客户密码不得与最近所用的 4 个密码相同? 否将每个用户的首次使用密码 / 口令和重置密码 / 口令设为唯一值, 并要求每个用户在首次使用后立即变更? 检查系统配置设置审核客户 / 用户文档记录查看内部流程审核密码程序系统组件采样检查系统配置设置审核客户 / 用户文档记录查看内部流程审核密码程序检查系统配置设置查看安全人员 PCI 安全标准委员会版权所有保留所有权利第 40 页

47 ( 为每个问题选中一个 ), 8.3 否使用如下所述的多因素验证保护对 CDE 的所有单独非控制台管理访问和所有远程访问 : 注 : 多因素验证要求在验证过程中至少使用三种验证方法中的其中两种 ( 有关验证方法的说明, 请参见 PCI DSS 要求 8.2) 使用一个因素两次 ( 例如, 使用两个不同的密码 ) 不视为多因素验证否针对所有非控制台访问在针对具有管理访问权限的工作人员的 CDE 中加入了多因素验证? 注 : 本要求在 2018 年 1 月 31 日前属于最优方法, 此后将成为一项要求否针对来自该实体网络外部的所有远程网络访问 ( 针对用户和管理员, 并包括出于支持或维护目的的第三方访问 ) 加入了多因素验证? 检查系统配置查看登录 CDE 的管理员检查系统配置查看远程连接工作人员 8.4 (a) 否已为所有用户记录并向其传达了验证政策和程序? 审核相关政策和程序 (b) 验证政策和程序否包含以下方面? 选择强效验证凭证的指南关于用户应如何保护其验证凭证的指南关于不重用之前用过的密码的说明关于用户如怀疑密码可能暴露则应修改密码的说明审核分配方法与用户面谈审核相关政策和程序审核提供给用户的文档 PCI 安全标准委员会版权所有保留所有权利第 41 页

48 ( 为每个问题选中一个 ), 8.5 否按照下述要求禁用了群组共享或常规帐户密码或其他验证方法 : 禁用或删除了常规用户 ID; 用于系统管理活动和其他重要功能的共享用户 ID 不存在 ; 以及不使用共享和常规用户 ID 管理任何系统组件? 仅针对服务提供商 : 可远程访问客户所在地 ( 例如为支持 POS 系统或服务器 ) 的服务提供商否针对每位客户使用了唯一验证凭证 ( 例如密码 / 口令 )? 注 : 本要求不适用于访问其本身托管环境 ( 托管多个客户环境 ) 的共享托管服务提供商 8.6 在使用其他验证机制 ( 例如物理或逻辑安全令牌智能卡证书等 ) 的情形下, 否按照下述要求分配了这些机制的用法? 验证机制必须分配到单个帐户, 不得在多个帐户之间共享必须要有物理和 / 或逻辑控制, 以确保仅既定帐户可使用该机制获得权限审核相关政策和程序检查用户 ID 列表审核相关政策和程序审核相关政策和程序检查系统配置设置和 / 或物理控制 PCI 安全标准委员会版权所有保留所有权利第 42 页

49 ( 为每个问题选中一个 ), 8.7 否按照下述要求限制了对任何包含持卡人数据的数据库的所有访问 ( 包括应用程序管理员和其他所有用户的访问 ): (a) 用户对数据库的所有访问查询和操作 ( 例如, 移动复制删除 ) 否都只能通过编程方法 ( 例如, 通过存储的程序 ) 完成? 审核数据库验证政策和程序检查数据库和应用程序配置设置 (b) 否只有数据库管理员拥有用户直接访问或查询数据库的权限? (c) 应用程序 ID 否仅可由这些应用程序使用 ( 个人用户或其他流程不能使用 )? 8.8 用于识别和验证的安全政策和操作程序否 : 已记录处于使用中为所有相关方了解? 审核数据库验证政策和程序检查数据库访问控制设置检查数据库应用程序配置设置审核数据库验证政策和程序检查数据库访问控制设置检查数据库应用程序配置设置检查安全政策和操作程序 PCI 安全标准委员会版权所有保留所有权利第 43 页

50 要求 9: 限制对持卡人数据的物理访问 ( 为每个问题选中一个 ), 9.1 否实施了适当的场所入口控制, 以对物理访问持卡人数据环境中的系统进行限制和监控? (a) 否已使用摄像头和 / 或访问控制机制监控对敏感区域的个人物理访问? 注 : 敏感区域指任何数据中心服务器室或任何存储处理或传输持卡人数据的系统所在区域这不包括仅有销售点终端的公共区域, 例如零售店的收银区 (b) 摄像头和 / 或访问控制机制否受到安全保护以免遭到破坏或禁用? (c) 通过摄像头和 / 或访问控制机制采集的数据否经过核查并与其他条目关联? (d) 通过摄像头和 / 或访问控制机制采集的数据否至少存储了三个月 ( 除非法律另有规定 )? 否已实施物理和 / 或逻辑控制, 以限制对公共网络插座交换机的访问? 例如, 位于公共区域和访客可进入区域的网络插座交换机可能被禁用, 并且仅在明确授权进行网络访问时才能启用或者, 也可以实施相应流程, 以确保访客处在网络插座交换机正在运行的区域时始终有人陪同查看物理访问控制查看人员审核相关政策和程序查看物理监控机制查看安全功能查看流程审核相关政策和程序与安全人员面谈审核数据保留流程查看数据存储与安全人员面谈审核相关政策和程序查看位置对无线接入点网关手持式设备网络 / 通信硬件和电信线路的物理访问否受到限制? 审核相关政策和程序查看设备 PCI 安全标准委员会版权所有保留所有权利第 44 页

51 9.2 (a) 否制定了相关程序以轻松识别现场工作人员和访客, 包括 : 识别现场工作人员或访客 ( 例如发放工卡 ), 修改访问要求, 以及废除已离职现场工作人员和过期访客的身份证件 ( 例如工卡 ) 在要求 9 中, 现场工作人员指出现在实体经营场所的全职和兼职员工临时工承包商和顾问访客指供应商任何现场工作人员的客人服务工人, 或任何需要短时进入经营场所的人员, 停留时间通常不超过一天审核相关政策和程序查看识别方法 ( 例如工卡 ) 查看访客流程 ( 为每个问题选中一个 ), (b) 身份识别方法 ( 例如工卡 ) 能否清楚地识别访客并轻松区分现场工作人员和访客? 查看识别方法 (c) 否只有授权人员拥有工卡系统的访问权限? 查看针对工卡系统的物理控制和访问控制 9.3 否按照下述要求对现场工作人员物理访问敏感区域进行了控制 : 访问权限否经过授权且基于个人的工作职能? 否在相关人员离职后立即撤销其访问权限? 否在相关人员离职后退回或禁用所有物理访问机制 ( 例如钥匙访问卡等 )? 9.4 否按照下述要求处理访客识别和访问权限 : 访客在进入处理或维护持卡人数据的区域前否需要获得批准且在进入后否始终有人陪同? 检查访问控制列表查看现场工作人员对比离职人员名单和访问控制列表审核相关政策和程序查看访客流程 ( 包括访问控制方式 ) 查看访客和工卡使用情况 PCI 安全标准委员会版权所有保留所有权利第 45 页

52 9.4.2 (a) 否识别了访客并给访客发放了工卡或能识别访客为非现场工作人员的其他身份证件? 查看工作人员和访客的工卡使用情况检查识别情况 ( 为每个问题选中一个 ), (b) 访客工卡或其他身份证件否已到期? 查看流程否要求访客在离开场所或证件到期时交还工卡或其他身份证件? (a) 否正在使用访客日志记录对经营场所以及存储或传输持卡人数据的计算机房和数据中心的物理访问? (b) 访客日志中否包含访客的姓名代表的公司以及批准物理访问的现场工作人员姓名? 检查识别情况查看流程查看离开场所的访客审核相关政策和程序检查访客日志查看访客流程检查日志保留情况审核相关政策和程序检查访客日志 (c) 访客日志否至少保留了三个月? 审核相关政策和程序 9.5 否已采取措施来保护所有媒介实体安全 ( 包括但不限于计算机可移动电子媒介纸质收据纸质报告和传真 )? 在要求 9 中, 媒介指所有包含持卡人数据的纸质和电子媒介否至少每年审查一次存储媒体备份的位置, 以确认存储的安全性? 检查访客日志保留情况审核用于保护媒介实体安全的政策和程序审核针对检查非现场媒介位置的政策和程序与安全人员面谈 9.6 (a) 否严格控制任何媒介的内部或外部分发? 审核针对媒介分发的政策和程序 PCI 安全标准委员会版权所有保留所有权利第 46 页

53 ( 为每个问题选中一个 ), (b) 相关控制否包含以下方面 : 否已对媒介进行分类以便确定数据的敏感性? 审核针对媒介分类的政策和程序媒介否通过可靠的快递公司或可准确跟踪的其他投递方法发出? 转移媒介时 ( 尤其将媒介分发给个人时 ) 否经过管理层的批准? 与安全人员面谈检查媒介分发跟踪日志和文档检查媒介分发跟踪日志和文档 9.7 否严格控制对媒介的存储和获取? 审核相关政策和程序 (a) 否适当维护了所有媒介的盘存记录? 检查盘存记录 (b) 否定期盘点媒介 ( 至少每年一次 )? 检查盘存记录 9.8 (a) 否销毁了因业务或法律原因而不再需要的所有媒介? (b) 否制定了包含下述要求的媒介定期销毁政策? 审核媒介定期销毁政策和程序审核媒介定期销毁政策和程序硬拷贝材料必须粉碎焚烧或打浆, 以合理保证这些硬拷贝材料无法重建用于存放待销毁材料的容器必须安全须使电子媒介上的持卡人数据不可恢复 ( 例如, 通过符合行业认可的安全删除标准的安全擦除程序, 或者通过销毁媒介实体来实现 ) (c) 否按照下述要求销毁媒介 : PCI 安全标准委员会版权所有保留所有权利第 47 页

54 ( 为每个问题选中一个 ), (a) 硬拷贝材料否已被粉碎焚烧或打浆以确保无法重建持卡人数据? 检查程序查看流程 (b) 否已确保待销毁材料所用存储容器的安全性以免他人访问相关内容? 检查存储容器的安全性电子媒介上的持卡人数据否呈现不可恢复状态 ( 例如, 通过符合行业认可的安全删除标准的安全擦除程序, 或者通过销毁媒介实体来实现 ), 以确保无法重建持卡人数据? 9.9 否已按照下述要求保护通过直接接触卡本身便可捕获支付卡数据的设备以免其被篡改和替换? 注 : 此要求适用于销售点实卡交易 ( 即刷卡 ) 中使用的读卡设备本要求不适用于手动密钥输入组件, 如计算机键盘和 POS 机键盘查看流程 (a) 相关政策和程序否要求维护此类设备列表? 审核相关政策和程序 (b) 相关政策和程序否要求定期检查设备以查找篡改或替换迹象? (c) 相关政策和程序否要求培训工作人员, 以确保其了解可疑行为和举报篡改或替换设备行为? (a) 设备列表否包含以下方面? 设备的外形型号设备位置 ( 例如安放设备的现场或设施的地址 ) 设备的序列号或其他独特验证方法审核相关政策和程序审核相关政策和程序检查设备列表 (b) 该列表否准确且已及时更新? 查看设备及设备位置, 并与该列表进行对比 PCI 安全标准委员会版权所有保留所有权利第 48 页

55 (c) 设备列表否随着设备的新增更换位置停用等进行更新? ( 为每个问题选中一个 ), (a) 否按照下述要求定期检查设备表面, 以查找篡改 ( 例如为设备增加读卡器 ) 或替换 ( 例如通过检查序列号或其他设备特征确认其未被欺诈性设备调换 ) 迹象? 注 : 设备可能被篡改或替换的迹象包括 : 不明附件或有线缆连接到设备, 安全标签丢失或改变, 外壳破损或颜色不同, 序列号或其他外部标记改变查看检查流程并与规定的流程进行对比 (b) 工作人员否了解设备的检查程序? 否已按照下述要求培训工作人员, 使其了解尝试篡改或替换设备的行为? (a) 针对销售点所在地工作人员的培训材料否包含以下方面? 审核培训材料在允许对设备进行调整或修理之前, 验证任何自称修理或维护人员的第三方人员的身份在未经验证的情况下, 不要安装替换或退还设备注意设备周围的可疑行为 ( 例如, 陌生人尝试拔掉设备插头或打开设备 ) 向相关人员 ( 例如, 经理或安全人员 ) 报告篡改或替换设备的可疑行为和迹象 (b) 否已培训销售点所在地的工作人员, 使其了解用于检测和报告尝试篡改或替换设备行为的程序? 与 POS 所在地的工作人员面谈 PCI 安全标准委员会版权所有保留所有权利第 49 页

57 定期监控并测试网络要求 10: 跟踪并监控对网络资源和持卡人数据的所有访问 ( 为每个问题选中一个 ), 10.1 (a) 系统组件的检查记录否已启用且处于活动状态? 查看流程与系统管理员面谈 (b) 对系统组件的访问否已链接到个人用户? 查看流程与系统管理员面谈 10.2 否对所有系统组件实施了自动检查记录以重建以下事件 : 对持卡人数据的所有个人用户访问? 查看检查日志检查检查日志设置任何具有 root 或管理员权限的个人执行的所有操作? 查看检查日志检查检查日志设置对所有检查记录的访问? 查看检查日志检查检查日志设置无效的逻辑访问尝试? 识别和验证机制的使用和变更 ( 包括但不限于新建帐户和提升权限 ) 以及具有 root 或管理员权限帐户的所有变更添加或删除? 查看检查日志检查检查日志设置查看检查日志检查检查日志设置 PCI 安全标准委员会版权所有保留所有权利第 51 页

58 ( 为每个问题选中一个 ), 检查日志的初始化关闭或暂停? 查看检查日志检查检查日志设置系统级对象的创建和删除? 查看检查日志检查检查日志设置 10.3 否已针对每次事件记录所有系统组件的以下检查记录条目 : 用户识别? 查看检查日志检查检查日志设置事件类型? 查看检查日志检查检查日志设置日期和时间? 查看检查日志检查检查日志设置成功或失败指示? 查看检查日志检查检查日志设置事件的起因? 查看检查日志检查检查日志设置 PCI 安全标准委员会版权所有保留所有权利第 52 页

59 ( 为每个问题选中一个 ), 受影响的数据系统组件或资源的特性或名称? 查看检查日志检查检查日志设置 10.4 否已使用最新的时间同步技术来同步所有关键系统的时钟和时间? 审核时间配置标准和流程注 : 网络时间协议 (NTP) 便一种时间同步技术否实施了以下流程以确保关键系统的时间正确且一致 : (a) 否只有指定的中央时间服务器能接收外来的时间信号, 且外来的时间信号以国际原子时或 UTC 为基础? (b) 当存在多个指定时间服务器时, 这些时间服务器否会相互同步以保持时间准确? (c) 系统否只会接收来自指定中央时间服务器的时间信息? 否按照下述要求保护时间数据 : (a) 否只有具有相应业务需要的人员才能访问时间数据? (b) 否已记录监控并审核关键系统中时间设置的任何变更? 审核时间配置标准和流程检查与时间相关的系统参数审核时间配置标准和流程检查与时间相关的系统参数审核时间配置标准和流程检查与时间相关的系统参数检查系统配置和时间同步设置检查系统配置和时间同步设置及记录时间设置否来自行业认可的特定时间来源? ( 这为了防止恶意个人更改时钟 ) 检查系统配置可选择性地使用对称密钥加密此类更新, 并创建访问控制列表指定客户端计算机 ( 会接收时间更新 ) 的 IP 地址 ( 以防止内部时间服务器的非授权使用 ) PCI 安全标准委员会版权所有保留所有权利第 53 页

60 ( 为每个问题选中一个 ), 10.5 否已按下述要求保护检查记录以防被更改 : 否只允许有工作需要的人查看检查日志? 与系统管理员面谈否已通过访问控制机制物理隔离和 / 或网络隔离保护检查记录文件免遭非授权修改? 否已即时将检查记录文件备份到难以更改的中央日志服务器或媒介中? 否已将向外技术的日志写入安全的内部中央日志服务器或媒介中? 否已对日志使用文件完整性监控或变更检测软件, 以确保未生成警报时无法变更现有日志数据 ( 虽然新增数据不应生成警报 )? 10.6 否已按照下述要求审核所有系统组件的日志和安全事件以识别异常情况或可疑活动? 注 : 可使用日志搜集分析和告警工具来满足要求 10.6 检查系统配置和许可与系统管理员面谈检查系统配置和许可与系统管理员面谈检查系统配置和许可与系统管理员面谈检查系统配置和许可检查设置受监控文件和监控活动结果 (a) 否手动或通过日志工具制定了书面政策和程序, 以至少每天审核一次以下内容? 审核安全政策和程序所有安全事件存储处理或传输 CHD 和 / 或 SAD 的所有系统组件的日志所有关键系统组件的日志执行安全功能的所有服务器和系统组件 ( 例如, 防火墙入侵检测系统 / 入侵防御系统 (IDS/IPS) 验证服务器电子商务重定向服务器等 ) 的日志 PCI 安全标准委员会版权所有保留所有权利第 54 页

61 ( 为每个问题选中一个 ), (b) 否至少每天审核一次上述日志和安全事件? 查看流程 (a) 否手动或通过日志工具制定了书面政策和程序, 以根据组织的政策和风险管理策略定期审核所有其他系统组件的日志? 审核安全政策和程序 (b) 否已根据组织的政策和风险管理策略审核所有其他系统组件? 审核风险评估文档 (a) 否制定了书面政策和程序, 以跟进审核过程中所发现的例外和异常情况? 审核安全政策和程序 (b) 否已跟进例外和异常情况? 查看流程 10.7 (a) 否制定了检查日志政策和程序并要求保留检查记录至少一年, 且其中最少 3 个月的记录可立即访问以供分析 ( 例如, 在线存档或可从备份恢复 )? 审核安全政策和程序 (b) 检查记录否保留了至少一年? 检查检查日志 (c) 否有最少 3 个月的记录可立即访问以供分析? 查看流程 10.8 仅针对服务提供商 : 否按照下述要求实施流程, 以便及时检测和报告关键安全控制系统故障 : 注 : 本要求在 2018 年 1 月 31 日前属于最优方法, 此后将成为一项要求 PCI 安全标准委员会版权所有保留所有权利第 55 页

62 (a) 否实施流程, 以便及时检测和报告关键安全控制系统故障, 包括但不限于以下方面故障 : 防火墙 IDS/IPS FIM 杀毒物理访问控制逻辑访问控制检查日志机制分段控制 ( 如使用 ) ( 为每个问题选中一个 ), 审核相关政策和程序 (b) 关键安全控制故障否会导致生成警报? 查看流程仅针对服务提供商 : 否按照下述要求及时响应了任何关键安全控制故障 : 注 : 本要求在 2018 年 1 月 31 日前属于最优方法, 此后将成为一项要求 (a) 否定义并实施了响应关键安全控制故障的流程, 其中包括 : 恢复安全功能识别并记录安全故障持续时间 ( 日期以及从开始到结束的时间 ) 识别并记录故障原因 ( 包括根本原因 ), 并记录解决根本原因所需的补救措施识别并解决故障期间引发的任何安全问题实施控制, 以防故障原因再次发生恢复安全控制监控? 审核相关政策和程序 PCI 安全标准委员会版权所有保留所有权利第 56 页

63 (b) 否记录了关键安全控制中的故障, 其中包括 : 识别故障原因 ( 包括根本原因 ) 安全故障的持续时间 ( 日期以及从开始到结束的时间 ) 解决根本原因所需补救措施的详情? ( 为每个问题选中一个 ), 检查安全控制故障记录 10.9 用于监控所有网络资源和持卡人数据访问的安全政策和操作程序否 : 已记录处于使用中为所有相关方了解? 审核安全政策和操作程序 PCI 安全标准委员会版权所有保留所有权利第 57 页

64 要求 11: 定期测试安全系统和流程 11.1 (a) 否已实施了流程以按季度检测和识别所有授权和非授权的无线接入点? ( 为每个问题选中一个 ), 审核相关政策和程序注 : 可用于该流程的方法包括但不限于无线网络扫描系统组件和基础架构的物理 / 逻辑检查网络访问控制 (NAC) 或无线 IDS/IPS 无论使用何种方法, 都必须足以检测并识别任何非授权设备 (b) 所用方法否能够检测并识别任何非授权无线接入点 ( 其中至少包括以下项 )? 评估该方法插入系统组件中的 WLAN 卡 ; 连接到系统组件以创建无线接入点 ( 例如通过 USB 等 ) 的便携或移动设备 ; 以及连接到网络端口或网络设备的无线设备 (c) 如果使用无线扫描来识别授权和非授权无线访问点, 否至少每季度扫描一次所有系统组件和设施? (d) 如果采用自动监控 ( 例如无线 IDS/IPS NAC 等 ), 否配置为会发出警报来通知工作人员? 否已保留一份授权无线接入点清单, 且所有授权无线接入点均具有业务理由记录? 检查最近的无线扫描结果检查配置设置检查清单记录 (a) 否制定了事故响应计划, 且其中要求在检测到非授权无线接入点时需做出响应? 检查事故响应计划 ( 参见要求 12.10) (b) 否已在发现非授权无线接入点时采取措施? 与负责人面谈检查最近的无线扫描和相关响应 PCI 安全标准委员会版权所有保留所有权利第 58 页

65 ( 为每个问题选中一个 ), 11.2 否按照下述要求至少每个季度运行一次内部和外部网络漏洞扫描, 并在网络发生任何重大变化 ( 例如安装新的系统组件更改网络拓朴修改防火墙规则产品升级 ) 时也运行漏洞扫描 : 注 : 可在季度扫描流程中综合多次扫描报告, 以表明所有系统均已扫描, 且所有漏洞均已解决可能需要其他文档记录来确认解决过程中有未修复的漏洞如果评估商确认 1) 最近的扫描结果为通过,2) 实体具备要求每季度扫描一次的书面政策和程序,3) 扫描结果中指出的漏洞在重新扫描中显示为已修复, 则不要求四次季度扫描均通过才能认定最初 PCI DSS 合规在最初 PCI DSS 审核后的几年里, 必须出现四次季度扫描结果均为通过的情况 (a) 否每个季度运行了一次内部漏洞扫描? 审核扫描报告 (b) 每季度一次的内部扫描流程能否解决所有高风险漏洞, 并包含重新扫描, 以确认所有高风险漏洞 ( 见 PCI DSS 要求 6.1 中的定义 ) 均得到解决? (c) 每季度一次的内部扫描否由合格的内部人员或合格的外部第三方执行, 且 ( 如果适用 ) 确保测试者的组织独立性 ( 不要求 QSA 或 ASV)? 审核扫描报告 (a) 否每个季度运行了一次外部漏洞扫描? 注 : 季度外部漏洞扫描必须由支付卡行业安全标准委员会 (PCI SSC) 认证的授权扫描服务商 (ASV) 执行如需了解扫描客户的责任扫描准备等, 请参阅 PCI SSC 网站上发布的 ASV 计划指南 (b) 每个季度的外部扫描和重复扫描结果否符合 ASV 计划指南对扫描通过的要求 ( 例如不存在 CVSS 评级为 4.0 或以上的漏洞或无自动故障 )? 审核最近四个季度的外部漏洞扫描结果审核每个季度的外部扫描和重复扫描结果 PCI 安全标准委员会版权所有保留所有权利第 59 页

66 (c) 季度外部漏洞扫描否由 PCI SSC 认证的授权扫描服务商 (ASV) 执行? (a) 否在发生任何重要变更后执行内部和外部扫描, 并视需要执行重复扫描? 注 : 必须由合格人员执行扫描审核每个季度的外部扫描和重复扫描结果检查并关联变更控制文档和扫描报告 ( 为每个问题选中一个 ), (b) 扫描流程否包括重复扫描, 直至 : 外部扫描不存在 CVSS 评级为 4.0 或以上的漏洞, 内部扫描获得扫描通过, 或 PCI DSS 要求 6.1 中定义的所有高风险漏洞均得以解决? (c) 扫描否由合格的内部人员或合格的外部第三方执行, 且 ( 如果适用 ) 确保测试者的组织独立性 ( 不要求 QSA 或 ASV)? 审核扫描报告 11.3 穿透测试法否包括以下方面? 以行业认可的穿透测试法为基础 ( 例如 NIST SP ) 覆盖整个 CDE 环境和关键系统来自网络内部和外部的测试用于验证任何网段和范围缩小控制的测试定义应用层穿透测试, 至少包括要求 6.5 中列出的漏洞定义网络层穿透测试, 包括支持网络功能和操作系统的组件审核并考虑过去 12 个月内遇到的威胁和漏洞指明保留穿透测试结果和修复活动结果 (a) 否每年至少按照规定的方法执行一次外部穿透测试, 并在环境发生任何重大的基础架构或应用程序变更时 ( 例如操作系统升级环境新增子网络或环境新增网络服务器 ) 也执行该测试? 检查穿透测试法与负责人面谈检查工作范围检查最近一次外部穿透测试的结果 PCI 安全标准委员会版权所有保留所有权利第 60 页

67 (b) 测试否由合格的内部人员或合格的外部第三方执行, 且 ( 如果适用 ) 确保测试者的组织独立性 ( 不要求 QSA 或 ASV)? ( 为每个问题选中一个 ), 与负责人面谈 (a) 否每年至少按照规定的方法执行一次内部穿透测试, 并在环境发生任何重大的基础架构或应用程序变更时 ( 例如操作系统升级环境新增子网络或环境新增网络服务器 ) 也执行该测试? 检查工作范围检查最近一次内部穿透测试的结果 (b) 测试否由合格的内部人员或合格的外部第三方执行, 且 ( 如果适用 ) 确保测试者的组织独立性 ( 不要求 QSA 或 ASV)? 在穿透测试中发现的可利用漏洞否已得到修复, 且已通过重复执行的测试确认修复? 与负责人面谈检查穿透测试结果如果利用网络分段将 CDE 与其他网络隔离 : (a) 否已规定用于测试所有分段方法的穿透测试程序以确认其行之有效, 并已将所有范围外系统与 CDE 内的系统隔离? 检查分段控制审核穿透测试法 (b) 用于验证分段控制的穿透测试否满足下述要求? 检查最近一次穿透测试的结果至少每年执行一次, 且在分段控制 / 方法发生任何变更后也执行覆盖使用中的所有分段控制 / 方法确认分段方法行之有效并隔离所有范围外系统与 CDE 内的系统 (c) 测试否由合格的内部人员或合格的外部第三方执行, 且 ( 如果适用 ) 确保测试者的组织独立性 ( 不要求 QSA 或 ASV)? 与负责人面谈 PCI 安全标准委员会版权所有保留所有权利第 61 页

68 ( 为每个问题选中一个 ), 仅针对服务提供商 : 如果采用分段方法 : 注 : 本要求在 2018 年 1 月 31 日前属于最优方法, 此后将成为一项要求 (a) 否通过至少每半年对分段控制进行一次穿透测试, 以及在对分段控制 / 方法进行任何变更后进行穿透测试来确认 PCI DSS 的范围? 检查分段控制穿透测试的结果 (b) 穿透测试否涵盖了正在使用的所有分段控制 / 方法? 检查分段控制穿透测试的结果 (c) 分段测试否确认分段控制 / 方法行之有效, 并隔离了所有范围外系统与 CDE 内的系统 (d) 测试否由合格的内部人员或合格的外部第三方执行, 且 ( 如果适用 ) 确保测试者的组织独立性 ( 不要求 QSA 或 ASV)? 检查分段控制穿透测试的结果与负责人面谈 11.4 (a) 否已采用用于检测和 / 或防御网络入侵的入侵检测和 / 或入侵防御技术以监控所有流量 : 持卡人数据环境周围, 和持卡人数据环境中的关键点 (b) 入侵检测和 / 或入侵防御技术否配置为会在发现可疑威胁时向工作人员发出警报? (c) 否已及时更新所有入侵检测和防御引擎基线和签名? 检查系统配置检查网络图检查系统配置与负责人面谈检查 IDS/IPS 配置检查供应商文档 PCI 安全标准委员会版权所有保留所有权利第 62 页

69 11.5 (a) 否部署了变更检测机制 ( 例如文件完整性监控工具 ), 以检测关键系统文件配置文件或内容文件的非授权修改 ( 包括更改添加和删除 )? 应受监控的文件包括 : 系统可执行文件应用程序可执行文件配置和参数文件集中存储文件历史或归档文件日志和检查文件由实体 ( 例如, 通过风险评估或其他方法 ) 确定的其他重要文件 (b) 变更检测机制否已配置为可在重要的系统文件配置文件或内容文件出现非授权修改时 ( 包括更改添加和删除 ) 警示工作人员, 并至少每周执行一次重要文件比对? 注 : 在变更检测中, 重要文件通常指那些不经常变更但一旦变更即表示系统受到威胁或面临威胁风险的文件变更检测机制 ( 例如文件完整性监控产品 ) 通常预先配置了相关操作系统的重要文件其他重要文件 ( 例如自定义应用程序的重要文件 ) 必须由该实体 ( 即商户或服务提供商 ) 评估和定义查看系统设置和受监控文件检查系统配置设置查看系统设置和受监控文件审核监控活动结果 ( 为每个问题选中一个 ), 否已实施流程, 以针对变更检测解决方案发出的任何警报做出响应? 检查系统配置设置 11.6 用于安全监控和测试的安全政策和操作程序否 : 已记录处于使用中为所有相关方了解? 检查安全政策和操作程序 PCI 安全标准委员会版权所有保留所有权利第 63 页

70 维护信息安全政策要求 12: 维护针对所有工作人员的信息安全政策注 : 在要求 12 中, 工作人员指常驻实体经营场所或能够以其他方式访问该公司的持卡人数据环境现场的全职和兼职员工临时工和工作人员承包商和顾问 ( 为每个问题选中一个 ), 12.1 否已建立公布维护并向所有相关人员宣传安全政策? 审核相关信息安全政策否至少每年审核一次安全政策, 并在环境发生变更时进行更新? 12.2 (a) 否已实施每年一次的风险评估流程以确定重要资产威胁和漏洞, 并形成正式的书面风险分析? 风险评估方法包括但不限于 OCTAVE ISO 和 NIST SP (b) 否至少每年执行一次风险评估流程, 并在环境发生重大变更时 ( 例如收购合并迁址等 ) 也执行评估? 12.3 否已制定关键技术的使用政策, 以规定这些技术的正确用法并包含以下方面 : 注 : 关键技术包括但不限于, 远程访问和无线技术笔记本电脑平板电脑可移动电子媒介以及电子邮件和互联网的使用审核相关信息安全政策与负责人面谈审核每年一次的风险评估流程审核风险评估文档与负责人面谈被授权方明确允许使用这些技术? 审核使用政策与负责人面谈技术使用验证? 审核使用政策与负责人面谈 PCI 安全标准委员会版权所有保留所有权利第 64 页

71 ( 为每个问题选中一个 ), 一份列出所有此类设备和具有访问权的工作人员的列表? 审核使用政策一种确定负责人联系信息和用途 ( 例如设备的贴标编码和 / 或盘存 ) 的准确方便的方法? 与负责人面谈审核使用政策与负责人面谈可接受的技术使用方式? 审核使用政策与负责人面谈技术可接受的网络位置? 审核使用政策与负责人面谈公司批准的产品列表? 审核使用政策非活跃状态持续一定时间后自动中断远程访问技术的会话? 仅在供应商和业务合作伙伴需要时为其激活远程访问技术, 并在使用后立即停用? (a) 对于通过远程访问技术访问持卡人数据的工作人员, 政策否指明除非因规定的业务需要获得明确许可, 否则禁止将持卡人数据复制移动和存储到本地硬盘及可移动电子媒介上? 如果有经批准的业务需要, 使用政策必须规定应按照所有适用的 PCI DSS 要求保护数据 (b) 对于获得适当授权的工作人员, 政策否规定必须按照 PCI DSS 要求保护持卡人数据? 12.4 安全政策和程序否明确规定所有工作人员的信息安全责任? 与负责人面谈审核使用政策与负责人面谈审核使用政策与负责人面谈审核使用政策与负责人面谈审核使用政策与负责人面谈审核信息安全政策和程序抽样选取部分负责人员进行面谈 PCI 安全标准委员会版权所有保留所有权利第 65 页

72 ( 为每个问题选中一个 ), 仅针对服务提供商 : 行政管理人员否根据下述要求确立了保护持卡人数据和 PCI DSS 遵从性计划的责任 : 注 : 本要求在 2018 年 1 月 31 日前属于最优方法, 此后将成为一项要求 (a) 行政管理人员否指定了维护实体 PCI DSS 遵从性的整体责任制? (b) 行政管理人员否定义了 PCI DSS 遵从性计划以及与行政管理人员的沟通章程? 12.5 (a) 否已将信息安全职责正式分配给首席安全官或其他具有丰富安全知识的管理人员? 检查文档检查 PCI DSS 章程审核信息安全政策和程序 (b) 否已将下列信息安全管理职责正式分配给个人或团队 : 制定记录并分发安全政策和程序? 审核信息安全政策和程序监控和分析安全警报及信息, 以及向适当的人员分发信息? 建立记录并分发安全事故响应和逐级上报程序, 以确保及时有效地处理所有情况? 审核信息安全政策和程序审核信息安全政策和程序管理用户帐户, 包括添加删除和修改? 审核信息安全政策和程序监控并控制所有数据访问? 审核信息安全政策和程序 12.6 (a) 否已实施正式的安全意识计划, 以使所有工作人员了解持卡人数据安全政策和程序? 审核安全意识计划 (b) 安全意识计划程序否包括以下方面 : PCI 安全标准委员会版权所有保留所有权利第 66 页

73 (a) 安全意识计划否提供了多种传达意识和培训工作人员的方法 ( 例如, 海报信函备忘录基于网络的培训会议和宣传 )? 注 : 根据工作人员的角色及其对持卡人数据的访问级别, 可采用不同的方法审核安全意识计划审核安全意识计划程序审核安全意识计划出席纪录 ( 为每个问题选中一个 ), (b) 人员否一经录用即进行培训, 且此后每年至少培训一次? (c) 员工否已完成安全意识培训且已意识到持卡人数据安全的重要性? 否要求工作人员每年至少确认一次自己已阅读并了解安全政策和程序? 12.7 否在录用人员 ( 参见上文的工作人员定义 ) 前筛选应征者, 以最大程度地降低内部攻击的风险? 检查安全意识计划程序和文档检查安全意识计划程序和文档与人力资源部管理人员面谈背景调查包括以往的工作经历犯罪记录信用记录以及证明人调查注 : 对于可能被录用为门店收银员等特定职位的应征者, 本要求仅作为建议, 因为他们在交易时一次只能访问一个卡号 12.8 否已按照下述要求实施并维护政策和程序以管理共享持卡人数据或可能影响持卡人数据安全的服务提供商 : 已维护服务提供商列表 ( 包括所提供服务的说明 )? 审核相关政策和程序查看流程审核服务提供商名单 PCI 安全标准委员会版权所有保留所有权利第 67 页

74 ( 为每个问题选中一个 ), 否维护书面协议, 其中确认服务提供商负责其处理或者代表客户以其他方式存储处理或传输的持卡人数据的安全性以及他们可能会影响客户持卡人数据环境的安全性? 注 : 确认的确切措辞取决于双方协议所提供服务的详情以及分配给每一方的责任确认不一定要包含与本要求完全相同的措辞否已建立雇用服务提供商的流程 ( 包括雇用前的相应尽职调查 )? 否已维护相应计划来至少每年监控一次服务提供商的 PCI DSS 遵从性状态? 否已维护有关分别由各服务提供商和实体管理的 PCI DSS 要求的信息? 12.9 仅针对服务提供商 : 服务提供商否以书面形式向客户确认其负责自己处理或者代表客户以其他方式存储处理或传输的持卡人数据的安全性以及他们可能会影响客户持卡人数据环境的安全性? 注 : 确认的确切措辞取决于双方协议所提供服务的详情以及分配给每一方的责任确认不一定要包含与本要求完全相同的措辞否已按照下述要求实施随时准备立即响应系统漏洞的事故响应计划 : 查看书面协议审核相关政策和程序查看流程审核政策程序和支持文档查看流程审核政策程序和支持文档查看流程审核政策程序和支持文档审核服务提供商的政策和程序查看书面协议模板 (a) 否已建立在出现系统漏洞时实施的事故响应计划? 审核事故响应计划审核事故响应计划程序 (b) 该计划否至少包括以下内容 : PCI 安全标准委员会版权所有保留所有权利第 68 页

75 出现威胁时的角色责任以及沟通和联系策略 ( 至少包括支付品牌通知 )? ( 为每个问题选中一个 ), 审核事故响应计划程序详细的事故响应程序? 审核事故响应计划程序业务恢复和继续程序? 审核事故响应计划程序数据备份流程? 审核事故响应计划程序报告威胁的法律要求分析? 审核事故响应计划程序所有关键系统组件的范围和响应? 审核事故响应计划程序支付品牌对事故响应程序的参考或应用? 审核事故响应计划程序否至少每年对计划进行一次审核, 包括要求中列出的所有元素? 审核事故响应计划程序与负责人面谈否指定了可全天候响应警报的特定人员? 查看流程审核政策与负责人面谈否为具有安全漏洞响应责任的员工提供了恰当的培训? 查看流程审核事故响应计划程序与负责人面谈事故响应计划中否包含来自安全监控系统的警报? 查看流程审核事故响应计划程序 PCI 安全标准委员会版权所有保留所有权利第 69 页

76 ( 为每个问题选中一个 ), 否已根据以往的经验教训并结合行业发展情况, 制定了修改和改进事故响应计划的流程? 仅针对服务提供商 : 否至少每季度进行一次审查, 以确保工作人员将依照下述安全政策和操作程序行事 : 注 : 本要求在 2018 年 1 月 31 日前属于最优方法, 此后将成为一项要求 (a) 进行涵盖以下流程的审查 : 日常日志审查防火墙规则集审查将配置标准应用于新系统响应安全警报更改管理流程查看流程审核事故响应计划程序与负责人面谈检查执行季度审查的政策和程序 (b) 否至少每季度进行一次审查? 检查审查记录仅针对服务提供商 : 否对季度审查流程进行了维护, 使其包括 : 通过季度审查检查文档记录审查结果由指定负责 PCI DSS 遵从性计划的工作人员审查并签核结果注 : 本要求在 2018 年 1 月 31 日前属于最优方法, 此后将成为一项要求 PCI 安全标准委员会版权所有保留所有权利第 70 页

77 附录 A: PCI DSS 附加要求附录 A1: 针对共享托管服务提供商的 PCI DSS 附加要求 ( 为每个问题选中一个 ), A1 否根据 A1.1 至 A1.4, 按照下述要求保护每个实体 ( 即商户服务提供商或其他实体 ) 的托管环境和数据 : 托管服务提供商必须满足这些要求以及 PCI DSS 中所有其他相关章节的要求注 : 即使托管服务提供商满足这些要求, 也不能保证雇用该托管服务提供商的实体的遵从性每个实体均必须遵从 PCI DSS 并验证其遵从性 ( 如果适用 ) A1.1 否每个实体都运行了仅能访问该实体的持卡人数据环境的流程, 且使用该实体的唯一 ID 来运行这些应用程序流程? 例如 : 系统中的任何实体均不得使用共享的网络服务器用户 ID 实体使用的所有 CGI 脚本必须作为该实体的唯一用户 ID 创建和运行 A1.2 每个实体的访问权限和特权否按照下述要求仅限于其自身的持卡人数据环境 : 检查托管实体的系统配置和相关唯一 ID (a) 应用程序流程的用户 ID 否不属于特权用户 (root 权限 / 管理员权限 )? 检查应用程序用户 ID 的系统配置 (b) 每个实体拥有的读取写入或执行权限否仅适用于其自身的文件和目录或者必要的系统文件 ( 通过文件系统权限访问控制列表 chroot 作业系统 jailshell 等加以限制 )? 注意 : 实体的文件不能与群组共享检查托管实体的系统配置和文件权限 PCI 安全标准委员会版权所有保留所有权利第 71 页

78 (c) 否所有实体用户均没有共享系统二进制文件的写入权限? 检查针对共享系统二进制文件的系统配置和文件权限 ( 为每个问题选中一个 ), (d) 否只有拥有日志条目的实体才能查看这些条目? 检查针对查看日志条目的的系统配置和文件权限 (e) 否存在有关使用这些系统资源的限制? 磁盘空间, 带宽, 内存, CPU 这可确保各实体无法独占服务器资源来而利用漏洞 ( 例如, 错误争用和重启会导致缓冲区溢出等情况 ) 检查针对使用以下项的系统配置和文件权限 : 磁盘空间带宽内存 CPU A1.3 (a) 否已启用日志记录和检查记录, 并且这些记录对于每个实体的持卡人数据环境唯一且符合 PCI DSS 要求 10? 检查日志设置 (b) 否已按照下述要求针对所有商户和服务提供商环境启用日志记录 : 启用常见第三方应用程序的日志? 检查日志设置默认情况下, 日志处于活动状态? 检查日志设置日志可供其所属实体审核? 检查日志设置日志位置已清楚传达给其所属实体? 检查日志设置 A1.4 否已启用书面政策和流程, 以确保在任何托管商户或服务提供商受到威胁时及时提供取证调查? 审核书面政策和程序 PCI 安全标准委员会版权所有保留所有权利第 72 页

79 附录 A2: 针对使用 SSL/ 早期 TLS 的实体的 PCI DSS 附加要求 ( 为每个问题选中一个 ), A2.1 针对使用 SSL 和 / 或早期 TLS 的 POS POI 终端 ( 及其连接到的 SSL/TLS 终端点 ): 否已证实这些设备不易受到任何已知 SSL/ 早期 TLS 漏洞的影响或者 : 否根据要求 A2.2 制定了适当的正式风险降低和迁移计划? 查看证明 POS PIO 设备不受任何已知 SSL/ 早期 TLS 使用影响的文档 ( 例如供应商文档系统 / 网络设置详情等 ) A2.2 否针对使用 SSL 和 / 或早期 TLS 的所有实施 (A2.1 中允许的实施除外 ) 制定了适当的正式风险降低和迁移计划, 包括 : 查看记录的风险降低和迁移计划使用说明, 包括传输的数据使用和 / 或支持 SSL/ 早期 TLS 的系统的类型和数量环境类型 ; 风险评估结果和适当的风险降低控制 ; 对用于监控 SSL/ 早期 TLS 相关漏洞的流程的说明 ; 对实施以确保 SSL/ 早期 TLS 未实施到新环境的变更控制流程的说明 ; 迁移项目计划概述, 包括目标迁移完成时间不迟于 2018 年 6 月 30 日? PCI 安全标准委员会版权所有保留所有权利第 73 页

80 ( 为每个问题选中一个 ), A2.3 仅针对服务提供商 : 否提供了适当的安全服务? 检查系统配置和支持文档注 : 在 2016 年 6 月 30 日前, 服务提供商须提早在其提供的服务中增加安全协议选项, 或者在 2016 年 6 月 30 日之前增加包含安全协议选项规定目标日期的备有文件证明的风险降低和迁移计划 ( 根据要求 A2.2) 该日期之后, 所有服务提供商均须提供适用于其服务的安全协议选项附录 A3: 指定实体补充认证 (DESV) 此附录仅适用于支付品牌或收单机构要求对现有 PCI DSS 要求进行补充认证时指定的实体要求验证此附录的实体应使用 DESV 补充报告模板和报告遵从性补充证明书, 并咨询适当的支付品牌和 / 或收单机构了解提交程序事宜 PCI 安全标准委员会版权所有保留所有权利第 74 页

81 附录 B: 补偿性控制工作表使用本工作表为任何选中, CCW 的要求定义补偿性控制注 : 只有已采取风险分析并具有合理的技术限制或书面业务限制的公司才能考虑使用补偿性控制来实现遵从性有关补偿性控制和如何填写本工作表的信息, 请参见 PCI DSS 的附录 B C 和 D 要求编号和定义 : 所需信息解释 1. 限制列出导致无法遵守最初要求的限制 2. 目的定义最初控制的目的 ; 确定通过补偿性控制实现的目的 3. 已确定的风险确定由于缺少最初控制而导致的任何其他风险 4. 补偿性控制的定义定义补偿性控制并解释其如何实现最初控制的目的并解决增加的风险 ( 若有 ) 5. 补偿性控制的验证定义如何验证并测试补偿性控制 6. 维护规定流程和控制措施以维护补偿性控制 PCI 安全标准委员会版权所有保留所有权利第 75 页

83 附录 D: 未测试的要求说明如果在此调查问卷中选中了未测试列, 请使用本工作表说明为何未在评估过程中审核相关要求示例 : 要求说明相关要求的哪个部分未进行测试说明为何未测试要求要求 12 要求仅测试了要求 12.2 要求 12 中的其他所有要求均被排除本次评估仅审核了要求 9 其他所有要求均被排除本次评估仅涵盖优先方法的里程碑 1 中的要求相关公司为物理托管服务供应商 (CO-LO), 因此本次评估仅考虑物理安全控制方面 PCI 安全标准委员会版权所有保留所有权利第 77 页

84 第 3 节 : 认证和证明书详情第 3 部分 PCI DSS 认证此 AOC 基于 (SAQ 填写日期 ) 填写的 SAQ D( 第 2 节 ) 中的结果基于上述 SAQ D 中记录的结果, 第 3b-3d 部分中指明的签署者 ( 如果适用 ) 针对本文档第 2 部分中指明的实体声明以下遵从性状态 :( 选中一个选项 ): 遵从 : PCI DSS SAQ 的所有章节且已针对所有问题提供积极, 从而获得了总体遵从评分 ; 因此 ( 服务提供商公司名称 ) 已证明其完全遵从 PCI DSS 未遵从 : 未填写 PCI DSS SAQ 的部分章节或未针对所有问题提供积极, 从而获得了总体未遵从评分, 因此 ( 服务提供商公司名称 ) 未证明其完全遵从 PCI DSS 遵从目标日期 : 如果某实体提交的本表单具有未遵从状态, 则可能需要填写本文档第 4 部分中的行动计划在填写第 4 部分之前, 请先咨询相应的支付品牌遵从但包含法律规定的例外情况 : 由于受到阻止满足相关要求的法律限制, 因此一项或多项要求选为了否此选项要求收单机构或支付品牌进行附加审核如果选中此选项, 请填写以下内容 : 相关要求有关法律限制如何阻止满足相关要求的详情第 3a 部分确认状态签署者确认 : ( 选中所有合适选项 ) 已根据本文中的说明填写第 (SAQ 版本 ) 版 PCI DSS 自我评估调查问卷 D 上述引用的 SAQ 和本证明书中的所有信息在一切重要方面均完全代表本次评估的结果已向相应的支付应用程序供应商确认自己的支付系统未在验证后存储敏感验证数据已阅读 PCI DSS 且了解必须始终遵从适用于所在环境的 PCI DSS 了解如果所在环境发生变化则必须重新评估所在环境, 并实施任何适用的 PCI DSS 附加要求适用于服务提供商的 PCI DSS 3.2 版 SAQ D, 修订版 1.1 第 3 节 : 认证和证明书详情 PCI 安全标准委员会版权所有保留所有权利第 78 页

85 第 3a 部分确认状态 ( 续 ) 未在本次评估所审核的 ANY 系统中发现交易授权后仍存储完整磁道数据 1 CAV2 CVC2 CID CVV2 数据 2 或 PIN 数据 3 的迹象 ASV 扫描正由 PCI SSC 认证的授权扫描服务商 (ASV 名称 ) 完成第 3b 部分服务提供商证明书服务提供商执行官签名日期 : 服务提供商执行官姓名 : 职务 : 第 3c 部分合格安全性评估商 (QSA) 确认 ( 如适用 ) 如果 QSA 参与了或帮助完成本次评估, 请说明其执行的角色 : QSA 公司正式授权管理人员签名日期 : 正式授权管理人员姓名 : QSA 公司 : 第 3d 部分内部安全性评估商 (ISA) 参与 ( 如适用 ) 如果 ISA 参与了或帮助完成本次评估, 请确认该 ISA 工作人员, 并说明其执行的角色 : 1 实卡交易中用于授权的磁条编译数据或芯片上的类似数据实体不得在交易授权后保留完整磁道数据唯一可保留的磁道数据部分为主帐户 (PAN) 失效日期和持卡人姓名 2 用于验证非实卡交易而印于支付卡签名条或正面的三位或四位数值 3 持卡人在实卡交易中输入的个人识别码, 和 / 或交易消息中包含的加密 PIN 数据块适用于服务提供商的 PCI DSS 3.2 版 SAQ D, 修订版 1.1 第 3 节 : 认证和证明书详情 PCI 安全标准委员会版权所有保留所有权利第 79 页

86 第 4 部分针对未遵从要求的行动计划针对每项要求的 PCI DSS 要求遵从性选择合适的如果您针对任一要求了否, 则需要提供您所在公司预计遵从该要求的日期, 并简要说明为满足该要求所采取的行动在填写第 4 部分之前, 请先咨询相应的支付品牌 PCI DSS 要求要求说明遵从 PCI DSS 要求 ( 选择一个选项 ) 否补救日期和行动 ( 如果针对任一要求选择了否 ) 1 安装并维护防火墙配置以保护持卡人数据 2 不要使用供应商提供的默认系统密码和其他安全参数 3 保护存储的持卡人数据 4 加密持卡人数据在开放式公共网络中的传输 5 为所有系统提供恶意软件防护并定期更新杀毒软件或程序 6 开发并维护安全的系统和应用程序 7 按业务知情需要限制对持卡人数据的访问 8 识别并验证对系统组件的访问 9 限制对持卡人数据的物理访问 10 跟踪并监控对网络资源和持卡人数据的所有访问 11 定期测试安全系统和流程 12 维护针对所有工作人员的信息安全政策附录 A1 针对共享托管服务提供商的 PCI DSS 附加要求附录 A2 针对使用 SSL/ 早期 TLS 的实体的 PCI DSS 附加要求适用于服务提供商的 PCI DSS 3.2 版 SAQ D, 修订版 1.1 第 3 节 : 认证和证明书详情 PCI 安全标准委员会版权所有保留所有权利第 80 页

文档变更记录日期 PCI DSS 版本 SAQ 修订版描述 2008 年 10 月 1.2 根据新的 PCI DSS 1.2 版调整内容并实施原始 1.1 版中标出的微小变更 2010 年 10 月 2.0 根据新的 PCI DSS 2.0 版要求与测试程序调整内容 2014 年 2 月 3.0

文档变更记录日期 PCI DSS 版本 SAQ 修订版描述 2008 年 10 月 1.2 根据新的 PCI DSS 1.2 版调整内容并实施原始 1.1 版中标出的微小变更 2010 年 10 月 2.0 根据新的 PCI DSS 2.0 版要求与测试程序调整内容 2014 年 2 月 3.0 支付卡行业 (PCI) 数据安全标准自我评估调查问卷 B 和遵从性证明书仅使用压印机或独立拨出终端的商户无电子持卡人数据存储适用于 PCI DSS 3.2 版文档变更记录日期 PCI DSS 版本 SAQ 修订版描述 2008 年 10 月 1.2 根据新的 PCI DSS 1.2 版调整内容并实施原始 1.1 版中标出的微小变更 2010 年 10 月 2.0 根据新的 PCI DSS

支付卡行业 (PCI) 数据安全标准适用于服务提供商的自我评估调查问卷 D 和遵从性证明书 符合 SAQ 适用条件的服务提供商 适用于 PCI DSS 3.2 版修订版 年 1 月

支付卡行业 (PCI) 数据安全标准适用于服务提供商的自我评估调查问卷 D 和遵从性证明书符合 SAQ 适用条件的服务提供商适用于 PCI DSS 3.2 版修订版年 1 月