文档变更记录日期 PCI DSS 版本 SAQ 修订版描述 N/A 1.0 未使用 N/A 2.0 未使用 2014 年 2 月 3.0 针对仅通过与支付处理商建立 IP 连接的独立 PTS 批准的交互点设备处理持卡人数据的商户适用要求的新 SAQ 根据新的 PCI DSS 3.0 版要求与测

Size: px

Start display at page:

Download "文档变更记录日期 PCI DSS 版本 SAQ 修订版描述 N/A 1.0 未使用 N/A 2.0 未使用 2014 年 2 月 3.0 针对仅通过与支付处理商建立 IP 连接的独立 PTS 批准的交互点设备处理持卡人数据的商户适用要求的新 SAQ 根据新的 PCI DSS 3.0 版要求与测"

徒蔚解
7 years ago
Views:

1 支付卡行业 (PCI) 数据安全标准自我评估调查问卷 B-IP 和遵从性证明书使用独立 IP 连接 PTS 交互点 (POI) 终端的商户无电子持卡人数据存储适用于 PCI DSS 3.2 版

2 文档变更记录日期 PCI DSS 版本 SAQ 修订版描述 N/A 1.0 未使用 N/A 2.0 未使用 2014 年 2 月 3.0 针对仅通过与支付处理商建立 IP 连接的独立 PTS 批准的交互点设备处理持卡人数据的商户适用要求的新 SAQ 根据新的 PCI DSS 3.0 版要求与测试程序调整内容 2015 年 4 月 3.1 更新以符合 PCI DSS 3.1 版有关 PCI DSS 变更的详细信息, 请参阅 PCI DSS PCI DSS 3.0 版到 3.1 版的变更汇总 2015 年 7 月更新以在 2015 年 6 月 30 日前将参考部分移至最优方法更新以符合 PCI DSS 3.2 版有关 PCI DSS 变更的详细信息, 请参阅 PCI DSS PCI DSS 3.1 版到 3.2 版的变更汇总 PCI DSS 3.2 版 SAQ B-IP, 修订版 PCI 安全标准委员会版权所有保留所有权利第 i 页

3 目录文档变更记录... i 开始之前...iii PCI DSS 自我评估实施步骤... iii 了解自我评估调查问卷... iv... iv 完成自我评估调查问卷... v 某些特定要求的不适用性指南... v 法律规定的例外情况... v 第 1 节 : 评估信息... 1 第 2 节 : 自我评估调查问卷 B-IP... 4 构建和维护安全网络... 4 要求 1: 安装和维护防火墙配置以保护数据... 4 要求 2: 不要使用供应商提供的默认系统密码和其他安全参数... 6 保护持卡人数据... 8 要求 3: 保护存储的持卡人数据... 8 要求 4: 加密持卡人数据在开放式公共网络中的传输维护漏洞管理计划要求 6: 开发并维护安全的系统和应用程序实施强效访问控制措施要求 7: 按业务知情需要限制对持卡人数据的访问要求 8: 识别并验证对系统组件的访问要求 9: 限制对持卡人数据的物理访问定期监控并测试网络要求 11: 定期测试安全系统和流程维护信息安全政策要求 12: 维护针对所有工作人员的信息安全政策附录 A: PCI DSS 附加要求附录 A1: 针对共享托管服务提供商的 PCI DSS 附加要求附录 A2: 针对使用 SSL/ 早期 TLS 的实体的 PCI DSS 附加要求附录 A3: 指定实体补充认证 (DESV) 附录 B: 补偿性控制工作表附录 C: 不适用性说明第 3 节 : 认证和证明书详情...25 PCI DSS 3.2 版 SAQ B-IP, 修订版 PCI 安全标准委员会版权所有保留所有权利第 ii 页

4 开始之前 SAQ B-IP 已针对仅通过与支付处理商建立 IP 连接的独立 PTS 批准的交互点 (POI) 设备处理持卡人数据的商户适用要求进行完善 SAQ B-IP 商户可能为实体 ( 实卡 ) 或邮件 / 电话订购 ( 无实卡 ) 的商户, 并且不在任何计算机系统中存储持卡人数据对于此支付渠道,SAQ B-IP 商户确认 : 您的企业仅使用与支付处理商建立 IP 连接的独立 PTS 批准的交互点 (POI) 设备 (SCR 除外 ) 获取客户的支付卡信息 ; 独立 IP 连接 POI 设备经 PCI SSC 网站列出的 PTS POI 计划认证 (SCR 除外 ); 独立 IP 连接 POI 设备不连接环境中的任何其他系统 ( 这一点可通过网络分段讲 POI 设备与其他系统隔离来实现 ); 持卡人数据仅可从 PTS 批准的 POI 设备传输至支付处理商 ; POI 不依靠任何其他设备 ( 例如计算机手机平板电脑等 ) 连接支付处理商 ; 您的企业只会保留持卡人数据的纸质文件 ( 例如, 打印的报告或收据 ), 且不通过电子方式接收此类文件 ; 并且您的企业不以电子格式存储持卡人数据此 SAQ 不适用于电子商务渠道此简要版 SAQ 包含了适用于特定类型的小商户环境的问题, 如以上合格标准中所定义的如果某些适用于您所在环境的 PCI DSS 要求未包含在本 SAQ 中, 可能表示本 SAQ 不适用于您所在环境此外, 您必须遵从所有适用的 PCI DSS 要求以符合 PCI DSS 要求 PCI DSS 自我评估实施步骤 1. 识别适用于您所在环境的 SAQ 有关详情, 请参见 PCI SSC 网站上的自我评估调查问卷说明和指南文档 2. 确认您所在环境的范围适当且满足您所使用的 SAQ 的适用条件 ( 参见遵从性证明书的第 2g 部分 ) 3. 评估您的环境否达到相应的 PCI DSS 要求 4. 实施此文档的所有章节 : 第 1 节 (AOC 的第 1 2 部分 ) 评估信息和实施概要第 2 节 PCI DSS 自我评估调查问卷 (SAQ B-IP) 第 3 节 (AOC 的第 3 4 部分 ) 认证和证明书详情以及针对未遵从要求的行动计划 ( 如果适用 ) 5. 向收单机构支付品牌或其他申请机构提交 SAQ 遵从性证明书 (AOC) 以及其他任何要求的文档 ( 例如 ASV 扫描报告 ) PCI DSS 3.2 版 SAQ B-IP, 修订版 PCI 安全标准委员会版权所有保留所有权利第 iii 页

5 了解自我评估调查问卷此自我评估调查问卷中 PCI DSS 问题列所包含的问题基于 PCI DSS 中的要求为帮助完成评估流程, 已提供了就 PCI DSS 要求和如何完成自我评估调查问卷予以指导的其他资源下面概述了其中的一些资源 : 文档内容 : PCI DSS (PCI 数据安全标准要求和安全评估程序 ) 有关范围界定的指导有关所有 PCI DSS 要求意图的指导测试程序详情有关补偿性控制的指导 SAQ 说明和指南文档所有 SAQ 及其适用标准的相关信息如何确定哪项 SAQ 适用于您所在组织 PCI DSS 和 PA-DSS 术语缩略词和首字母缩略词词汇表 PCI DSS 和自我评估调查问卷中所使用的术语的说明和定义上述资源和一些其他资源可在 PCI SSC 网站 ( 上找到建议组织在开始评估之前先浏览 PCI DSS 和其他支持文档列中包含的说明基于 PCI DSS 中的测试程序, 提供了有关认证已满足要求所必须执行的测试活动类型的高级说明有关针对各项要求的测试程序的完整详情, 请参见 PCI DSS PCI DSS 3.2 版 SAQ B-IP, 修订版 PCI 安全标准委员会版权所有保留所有权利第 iv 页

6 完成自我评估调查问卷对于每个问题, 可以选择一个选项来表明您所在公司针对该要求的状态对于每个问题, 只能选择一个下表说明了各项的含义 : 此的适用情况 :, 已填写 CCW ( 补偿性控制工作表 ) 已执行, 且已按照相关说明满足该要求的所有元素已执行, 且已采用补偿性控制满足该要求如果选择此列中的, 则必须在 SAQ 附录 B 中填写补偿性控制工作表 (CCW) 要了解如何使用补偿性控制和填写该工作表, 请参见 PCI DSS 否 N/A ( 不适用 ) 该要求的部分或所有元素尚未满足或正处于实施状态, 或者需要进一步测试才能确定否满足该要求不适用于相关组织所在环境 ( 有关示例, 参见下面的某些特定要求的不适用性指南 ) 如果选择此列中的, 则必须在 SAQ 附录 C 中提供支持说明某些特定要求的不适用性指南由于许多完成 SAQ B-IP 的组织需要认证其对于每项 PCI DSS 要求的遵从性, 因此一些具有特定业务模式的组织可能会发现某些要求不适用举例来说, 如果一家公司在任何方面都不使用无线技术, 则无需认证对于特定于管理无线技术的 PCI DSS 章节的遵从性 ( 例如, 要求和 4.1.1) 如果您认为任何要求不适用于您所在环境, 请针对该特定要求选择 N/A 选项, 然后在附录 C 为所有 N/A 条目填写不适用性说明法律规定的例外情况如果您所在组织因受到相关法律限制约束而无法满足 PCI DSS 要求, 请针对该要求选择否列, 然后在第 3 部分填写相关证明书 PCI DSS 3.2 版 SAQ B-IP, 修订版 PCI 安全标准委员会版权所有保留所有权利第 v 页

7 第 1 节 : 评估信息提交说明商户必须填写此文档, 以声明其按照支付卡行业数据安全标准要求和安全评估程序 (PCI DSS) 所做的自我评估的结果填写所有章节 : 商户应负责确保相关方 ( 如果有 ) 填写所有章节联系收单机构 ( 商户银行 ) 或支付品牌以确定报告和提交程序第 1 部分商户和合格安全性评估商信息第 1a 部分商户组织信息公司名称 : DBA( 经营别称 ): 联系人姓名 : 职务 : 电话 : 电子邮件地址 : 公司地址 : 城市 : 州 / 省 : 网址 : 国家 / 地区 : 邮编 : 第 1b 部分合格安全性评估商公司信息 ( 如果有 ) 公司名称 : QSA 主要联系人姓名 : 职务 : 电话 : 电子邮件地址 : 公司地址 : 城市 : 州 / 省 : 网址 : 国家 / 地区 : 邮编 : 第 2 部分实施概要第 2a 部分商户业务类型 ( 选中所有合适选项 ) 零售商通信百货和超市石油电子商务邮件 / 电话订购 (MOTO) 其他 ( 请指明 ): 您所在企业提供哪些类型的支付渠道? 邮件 / 电话订购 (MOTO) 电子商务实卡交易 ( 面对面 ) 此 SAQ 覆盖哪些支付渠道? 邮件 / 电话订购 (MOTO) 电子商务实卡交易 ( 面对面 ) 注 : 如果您所在组织的支付渠道或流程未涵盖在此 SAQ 范围内, 请咨询您的收单机构或支付品牌了解如何验 PCI DSS 3.2 版 SAQ B-IP, 修订版 1.0 第 1 节 : 评估信息 PCI 安全标准委员会版权所有保留所有权利第 1 页

8 证其他渠道第 2b 部分支付卡业务说明您所在企业如何存储处理和 / 或传输持卡人数据, 以及支持的容量多少? 第 2c 部分地点列出 PCI DSS 审核中包含的场所类型和所在地点概要 ( 例如, 零售店公司办公室数据中心呼叫中心等等 ) 场所类型此类场所数量场所所在地点 ( 例如, 城市国家 / 地区 ) 示例 : 零售店 3 美国马萨诸塞州波士顿第 2d 部分支付应用程序该组织否使用一款或多款支付应用程序? 否提供有关您所在组织使用的支付应用程序的下列信息 : 支付应用程序名称版本号应用程序供应商该应用程序否获得 PA-DSS 认证? PA-DSS 认证失效日期 ( 如果有 ) 否否否否否第 2e 部分环境说明提供有关此评估所涵盖的环境的高级说明例如 : 对持卡人数据环境 (CDE) 的输入和输出连接该 CDE 中的关键系统组件 ( 例如 POS 设备数据库网络服务器等 ) 以及其他任何必要的支付组件 ( 如果有 ) 您所在企业否使用网络分段来影响 PCI DSS 环境范围? ( 有关网络分段的指南, 请参见 PCI DSS 的网络分段章节 ) 否 PCI DSS 3.2 版 SAQ B-IP, 修订版 1.0 第 1 节 : 评估信息 PCI 安全标准委员会版权所有保留所有权利第 2 页

9 第 2f 部分第三方服务提供商您的公司否使用合格集成商和经销商 (QIR)? 如果的话 : QIR 公司名称 : QIR 个人名称 : QIR 所提供服务的说明 : 您所在公司否与任何第三方服务提供商 ( 例如, 合格集成商和经销商 (QIR) 网关支付处理商支付服务提供商 (PSP) 网络托管公司航班订票代理商忠诚计划代理商等 ) 共享持卡人数据? 否否如果的话 : 服务提供商名称 : 所提供服务的说明 : 注 : 要求 12.8 适用于上述列表中的所有条目第 2g 部分完成 SAQ B-IP 的适用性商户证明符合填写本简要版自我评估调查问卷的适用条件, 因为对于此支付渠道 : 商户仅使用与支付处理商建立 IP 连接的独立 PTS 批准的交互点 (POI) 设备 (SCR 除外 ) 获取客户的支付卡信息 ; 独立 IP 连接 POI 设备经 PCI SSC 网站列出的 PTS POI 计划认证 (SCR 除外 ); 独立 IP 连接 POI 设备不连接商户环境中的任何其他系统 ( 这一点可通过网络分段讲 POI 设备与其他系统隔离来实现 ); 持卡人数据仅可从 PTS 批准的 POI 设备传输至支付处理商 ; POI 不依靠任何其他设备 ( 例如计算机手机平板电脑等 ) 连接支付处理商 ; 商户不以电子格式存储持卡人数据 ; 并且如果商户存储持卡人数据, 仅可以纸质报告或纸质收据副本的形式存储此类数据, 并不以电子方式接收数据 PCI DSS 3.2 版 SAQ B-IP, 修订版 1.0 第 1 节 : 评估信息 PCI 安全标准委员会版权所有保留所有权利第 3 页

10 第 2 节 : 自我评估调查问卷 B-IP 注 : 以下问题的编号与 PCI DSS 要求和安全评估程序文档中说明的 PCI DSS 要求和测试程序顺序相符自我评估实施日期 : 构建和维护安全网络要求 1: 安装和维护防火墙配置以保护数据 PCI DSS 问题 (a) 否已存在当前网络图且该图记录了持卡人数据环境与包括任何无线网络在内的其他网络之间的所有连接? (b) 否有相应流程以确保该图及时更新? (a) 各互联网连接以及任何非军事区 (DMZ) 和内部网络区域间否要求和实施了防火墙? (b) 当前网络图否与防火墙配置标准相符? (a) 防火墙和路由器配置标准否包含服务协议和端口的文档记录列表 ( 包括各自的业务理由和审批 )? (b) 否已识别出所有不安全的服务协议和端口且已针对识别出的所有服务记录和实施了安全功能? 审核当前网络图检查网络配置与负责人面谈审核防火墙配置标准查看网络配置以确认否部署了防火墙对比防火墙配置标准和当前网络图否相符审核防火墙和路由器配置标准审核防火墙和路由器配置标准检查防火墙和路由器配置 ( 为每个问题选中一个 ), 已填 1.2 防火墙和路由器配置否按照下述要求限制了不可信网络和持卡人数据环境中任何系统间的连接 : 注 : 不可信网络指受审核实体所属网络之外的任何网络, 和 / 或不受该实体控制或管理的任何网络 PCI 安全标准委员会版权所有保留所有权利第 4 页

11 PCI DSS 问题 (a) 输入和输出流量否限制在持卡人数据环境所需的范围? 审核防火墙和路由器配置标准检查防火墙和路由器配置 ( 为每个问题选中一个 ), 已填 (b) 否明确拒绝 ( 例如, 使用明确的拒绝所有或在允许声明后含蓄地表达拒绝之意 ) 其他所有输入和输出流量? 审核防火墙和路由器配置标准检查防火墙和路由器配置否在所有无线网络和持卡人数据环境间安装了外围防火墙, 并将这些防火墙配置为拒绝流量或 ( 如果出于业务目的而需要流量 ) 仅允许无线环境和持卡人数据环境间的授权流量? 审核防火墙和路由器配置标准检查防火墙和路由器配置 1.3 否按照下述要求禁止了互联网与持卡人数据环境中任何系统组件之间的直接公共访问 : 否实施了反欺骗措施以检测并阻止伪造的源 IP 地址进入该网络? 检查防火墙和路由器配置 ( 例如, 阻止具有内部地址的互联网流量 ) 从持卡人数据环境输出到互联网的流量否具有明确授权? 检查防火墙和路由器配置否仅允许已建立的连接进入该网络? 检查防火墙和路由器配置 PCI 安全标准委员会版权所有保留所有权利第 5 页

12 要求 2: 不要使用供应商提供的默认系统密码和其他安全参数 PCI DSS 问题 2.1 (a) 否始终于在该网络中安装系统之前更改供应商提供的默认值? 此要求适用于所有默认密码, 包括但不限于操作系统提供安全服务的软件应用程序和系统帐户销售点 (POS) 终端支付应用程序简单网络管理协议 (SNMP) 社区字符串等使用的默认密码 (b) 否已于在该网络中安装系统之前删除或禁用不必要的默认帐户? 对于连接到持卡人数据环境或传输持卡人数据的无线环境, 否按照下述要求在安装时更改了所有无线供应商提供的默认值 : (a) 否在安装以及知道密钥的任何人离职或更换岗位时更改了默认的加密密钥? (b) 否在安装时更改了无线设备上的默认 SNMP 社区字符串? (c) 否在安装时更改了接入点的默认密码 / 口令? 检查供应商文档查看系统配置和帐户设置审核供应商文档检查系统配置和帐户设置审核供应商文档审核供应商文档检查系统配置检查系统配置 ( 为每个问题选中一个 ), 已填 PCI 安全标准委员会版权所有保留所有权利第 6 页

13 PCI DSS 问题 (d) 否已更新无线设备的固件来支持通过无线网络进行的验证和传输的强效加密? (e) 否已更改其他与安全有关的无线供应商默认值 ( 如果适用 )? 2.3 否按照下述要求对非控制台管理访问 ( 包括基于 Web 的访问 ) 进行了加密 : 注 : 若要使用 SSL/ 早期 TLS, 须完成附录 A2 中的要求审核供应商文档检查系统配置审核供应商文档检查系统配置 ( 为每个问题选中一个 ), 已填 (a) (b) (c) (d) 否已对所有非控制台管理访问应用强效加密法, 且在要求提供管理员密码前已调用强效加密法? 系统服务和参数文件否已配置为阻止使用 Telnet 和其他不安全的远程登录命令? 否已采用强效加密法对管理员进入基于 web 的管理界面的访问权进行加密? 否已按照行业最优方法和 / 或供应商建议对所使用的技术实施强效加密? 检查系统组件检查系统配置查看管理员登录检查系统组件检查服务和文件检查系统组件查看管理员登录检查系统组件审核供应商文档 PCI 安全标准委员会版权所有保留所有权利第 7 页

14 保护持卡人数据要求 3: 保护存储的持卡人数据 PCI DSS 问题 3.2 (c) 完成授权流程后, 否删除了敏感验证数据或使其不可恢复? (d) 否所有系统均已遵循以下有关授权后不存储敏感验证数据 ( 即使已经加密 ) 的要求 : 授权后不存储任意磁道上的完整内容 ( 位于卡背面的磁条中芯片上或其他位置 ) 此类据也可称为全磁道磁道磁道 1 磁道 2 和磁条数据注 : 在正常业务过程中, 以下磁条数据元素可能需要保留 : 持卡人姓名, 主帐户 (PAN), 失效日, 以及业务码为将风险降至最低, 只存储业务所需的数据元素检查系统配置检查删除流程检查数据来源, 其中包括 : 输入的交易数据所有日志存档文件跟踪文件数据库架构数据库内容 ( 为每个问题选中一个 ), 已填 PCI 安全标准委员会版权所有保留所有权利第 8 页

15 PCI DSS 问题授权后不存储卡验证代码或值 ( 印在支付卡正面或背面的三位或四位数值 )? 授权后不存储个人识别码 (PIN) 或经加密的 PIN 数据块? 3.3 PAN 否在显示时被掩盖 ( 只有前六位和后四位数字可以显示 ), 以便仅有正当业务需要者才能看到除前六位 / 后四位以外的 PAN? 注 : 该要求不能取代现行更严格的有关持卡人数据显示的要求, 例如法律或支付卡品牌对销售点 (POS) 收据的要求检查数据来源, 其中包括 : 输入的交易数据所有日志存档文件跟踪文件数据库架构数据库内容检查数据来源, 其中包括 : 输入的交易数据所有日志存档文件跟踪文件数据库架构数据库内容审核需要能够查看完整 PAN 的角色检查系统配置查看 PAN 的显示 ( 为每个问题选中一个 ), 已填 PCI 安全标准委员会版权所有保留所有权利第 9 页

16 要求 4: 加密持卡人数据在开放式公共网络中的传输 PCI DSS 问题 4.1 (a) 否使用了强效加密法和安全协议来保护经由公开公共网络传输的敏感持卡人信息注 : 若要使用 SSL/ 早期 TLS, 须完成附录 A2 中的要求在 PCI DSS 的范围内, 公开公共的网络包括但不限于, 互联网无线技术 ( 包括和蓝牙 ) 蜂窝技术 ( 例如, 全球移动通信系统 (GSM) 码分多址 (CDMA)) 以及通用分组无线业务 (GPRS) 审核书面标准审核传输或接收 CHD 的所有地点检查系统配置 ( 为每个问题选中一个 ), 已填 (b) 否只接受可信密钥和 / 或证书? (c) 实施的安全协议否仅使用安全配置且不支持非安全版本或配置? (d) 否已根据所使用的加密方法实施了适当的加密强度 ( 查看供应商建议 / 最优方法 )? (e) 对于 TLS 的实施, 否在传输或接收持卡人数据时始终启用了 TLS? 例如, 对于基于浏览器的实施 : HTTPS 作为浏览器统一记录定位器 (URL) 协议, 且仅当 HTTPS 作为 URL 的一部分时才需要持卡人数据传输持卡人数据或连接到持卡人数据环境的无线网络否使用了行业最优方法来对验证和传输实施强效加密? 4.2 (b) 否已制定政策来规定不会通过终端用户通讯技术传送不受保护的 PAN? 查看输入和输出传输检查密钥和证书检查系统配置审核供应商文档检查系统配置检查系统配置审核书面标准审核无线网络检查系统配置设置 PCI 安全标准委员会版权所有保留所有权利第 10 页

17 维护漏洞管理计划要求 6: 开发并维护安全的系统和应用程序 PCI DSS 问题 ( 为每个问题选中一个 ), 已填 6.1 否制定了包括以下方面的安全漏洞识别流程 : 使用可信外源获取安全漏洞信息? 为安全漏洞指定风险等级, 包括对所有高风险和重要漏洞的识别? 查看流程注 : 风险等级应以行业最优方法和潜在影响考虑为依据例如, 漏洞分级标准可能包括对 CVSS 基础得分的考虑和 / 或供应商的分类, 及 / 或相关系统的类型根据组织的环境和风险评估策略不同, 评估漏洞和指定风险等级的方法也不尽相同风险等级至少应标识出所有被视为对环境具有高风险的漏洞除风险等级外, 如果安全漏洞即将对环境造成威胁影响关键系统且 / 或如果不解决可能会造成潜在危害, 则可被视为重要关键系统可能包括安全系统面向公众的设备和系统数据库以及其他存储处理或传输持卡人数据的系统 6.2 (a) 否已安装供应商提供的适用安全补丁, 以确保所有系统组件和软件均杜绝已知漏洞? (b) 否在发布后一个月内安装了关键的安全补丁? 注 : 应按照要求 6.1 中规定的风险分级流程标识关键安全补丁检查系统组件对比安装的安全补丁列表和最新的供应商补丁列表否相符实施强效访问控制措施 PCI 安全标准委员会版权所有保留所有权利第 11 页

18 要求 7: 按业务知情需要限制对持卡人数据的访问 PCI DSS 问题 7.1 否如下所述只有具有相应工作需要的个人才能访问系统组件和持卡人数据 : 否按照下述要求对特权用户 ID 的访问权限进行了限制 : 限制为执行工作所需的最小权限? 只分配给明确需要此类特权访问的角色? 检查书面访问控制政策与管理人员面谈审核特权用户 ID ( 为每个问题选中一个 ), 已填否基于个人的工作分类和职能分配了访问权限? 检查书面访问控制政策与管理人员面谈审核用户 ID PCI 安全标准委员会版权所有保留所有权利第 12 页

19 要求 8: 识别并验证对系统组件的访问 PCI DSS 问题 ( 为每个问题选中一个 ), 已填 (a) 否仅在需要的时间段启用并在不用时禁用第三方用于通过远程访问来访问支持或维护系统组件的帐户? 审核密码程序查看流程 (b) 否对处于使用中的第三方远程访问帐户进行了监控? 查看流程 8.3 否使用如下所述的多因素验证保护对 CDE 的所有单独非控制台管理访问和所有远程访问 : 注 : 多因素验证要求在验证过程中至少使用三种验证方法中的其中两种 ( 有关验证方法的说明, 请参见 PCI DSS 要求 8.2) 使用一个因素两次 ( 例如, 使用两个不同的密码 ) 不视为多因素验证否针对来自该实体网络外部的所有远程网络访问 ( 针对用户和管理员, 并包括出于支持和维护目的的第三方访问 ) 加入了多因素验证? 检查系统配置查看远程连接工作人员 8.5 否按照下述要求禁用了群组共享或常规帐户密码或其他验证方法 : 检查用户 ID 列表禁用或删除了常规用户 ID; 用于系统管理活动和其他重要功能的共享用户 ID 不存在 ; 以及不使用共享和常规用户 ID 管理任何系统组件 PCI 安全标准委员会版权所有保留所有权利第 13 页

20 要求 9: 限制对持卡人数据的物理访问 PCI DSS 问题 ( 为每个问题选中一个 ), 已填否已实施物理和 / 或逻辑控制, 以限制对公共网络插座交换机的访问? 例如, 位于公共区域和访客可进入区域的网络插座交换机可能被禁用, 并且仅在明确授权进行网络访问时才能启用或者, 也可以实施相应流程, 以确保访客处在网络插座交换机正在运行的区域时始终有人陪同查看位置 9.5 否已采取措施来保护所有媒介实体安全 ( 包括但不限于计算机可移动电子媒介纸质收据纸质报告和传真 )? 审核用于保护媒介实体安全的政策和程序在要求 9 中, 媒介指所有包含持卡人数据的纸质和电子媒介 9.6 (a) 否严格控制任何媒介的内部或外部分发? 审核针对媒介分发的政策和程序 (b) 相关控制否包含以下方面 : 否已对媒介进行分类以便确定数据的敏感性? 审核针对媒介分类的政策和程序与安全人员面谈媒介否通过可靠的快递公司或可准确跟踪的其他投递方法发出? 转移媒介时 ( 尤其将媒介分发给个人时 ) 否经过管理层的批准? 检查媒介分发跟踪日志和文档检查媒介分发跟踪日志和文档 9.7 否严格控制对媒介的存储和获取? PCI 安全标准委员会版权所有保留所有权利第 14 页

21 PCI DSS 问题 ( 为每个问题选中一个 ), 已填 9.8 (a) 否销毁了因业务或法律原因而不再需要的所有媒介? 审核媒介定期销毁政策和程序 (c) 否按照下述要求销毁媒介 : (a) 硬拷贝材料否已被粉碎焚烧或打浆以确保无法重建持卡人数据? 审核媒介定期销毁政策和程序查看流程 (b) 否已确保待销毁材料所用存储容器的安全性以免他人访问相关内容? 检查存储容器的安全性 9.9 否已按照下述要求保护通过直接接触卡本身便可捕获支付卡数据的设备以免其被篡改和替换? 注 : 此要求适用于销售点实卡交易 ( 即刷卡 ) 中使用的读卡设备本要求不适用于手动密钥输入组件, 如计算机键盘和 POS 机键盘 (a) 相关政策和程序否要求维护此类设备列表? (b) 相关政策和程序否要求定期检查设备以查找篡改或替换迹象? (c) 相关政策和程序否要求培训工作人员, 以确保其了解可疑行为和举报篡改或替换设备行为? (a) 设备列表否包含以下方面? 检查设备列表设备的外形型号设备位置 ( 例如安放设备的现场或设施的地址 ) 设备的序列号或其他独特验证方法 (b) 该列表否准确且已及时更新? 查看设备及设备位置, 并与该列表进行对比 (c) 设备列表否随着设备的新增更换位置停用等进行更新? PCI 安全标准委员会版权所有保留所有权利第 15 页

22 PCI DSS 问题 ( 为每个问题选中一个 ), 已填 (a) 否按照下述要求定期检查设备表面, 以查找篡改 ( 例如为设备增加读卡器 ) 或替换 ( 例如通过检查序列号或其他设备特征确认其未被欺诈性设备调换 ) 迹象? 查看检查流程并与规定的流程进行对比注 : 设备可能被篡改或替换的迹象包括 : 不明附件或有线缆连接到设备, 安全标签丢失或改变, 外壳破损或颜色不同, 序列号或其他外部标记改变 (b) 工作人员否了解设备的检查程序? 否已按照下述要求培训工作人员, 使其了解尝试篡改或替换设备的行为? (a) 针对销售点所在地工作人员的培训材料否包含以下方面? 审核培训材料在允许对设备进行调整或修理之前, 验证任何自称修理或维护人员的第三方人员的身份在未经验证的情况下, 不要安装替换或退还设备注意设备周围的可疑行为 ( 例如, 陌生人尝试拔掉设备插头或打开设备 ) 向相关人员 ( 例如, 经理或安全人员 ) 报告篡改或替换设备的可疑行为和迹象 (b) 否已培训销售点所在地的工作人员, 使其了解用于检测和报告尝试篡改或替换设备行为的程序? 与 POS 所在地的工作人员面谈 PCI 安全标准委员会版权所有保留所有权利第 16 页

23 定期监控并测试网络要求 11: 定期测试安全系统和流程 PCI DSS 问题 ( 为每个问题选中一个 ), 已填 (a) 否每个季度运行了一次外部漏洞扫描? 注 : 季度外部漏洞扫描必须由支付卡行业安全标准委员会 (PCI SSC) 认证的授权扫描服务商 (ASV) 执行审核最近四个季度的外部漏洞扫描结果如需了解扫描客户的责任扫描准备等, 请参阅 PCI SSC 网站上发布的 ASV 计划指南 (b) 每个季度的外部扫描和重复扫描结果否符合 ASV 计划指南对扫描通过的要求 ( 例如不存在 CVSS 评级为 4.0 或以上的漏洞或无自动故障 )? 审核每个季度的外部扫描和重复扫描结果 (c) 季度外部漏洞扫描否由 PCI SSC 认证的授权扫描服务商 (ASV) 执行? 审核每个季度的外部扫描和重复扫描结果 PCI 安全标准委员会版权所有保留所有权利第 17 页

24 维护信息安全政策要求 12: 维护针对所有工作人员的信息安全政策注 : 在要求 12 中, 工作人员指常驻实体经营场所或能够以其他方式访问该公司的持卡人数据环境现场的全职和兼职员工临时工和工作人员承包商和顾问 PCI DSS 问题 ( 为每个问题选中一个 ), 已填 12.1 否已建立公布维护并向所有相关人员宣传安全政策? 审核相关信息安全政策否至少每年审核一次安全政策, 并在环境发生变更时进审核相关信息安全政策行更新? 与负责人面谈 12.3 否已制定关键技术的使用政策, 以规定这些技术的正确用法并包含以下方面 : 注 : 关键技术包括但不限于, 远程访问和无线技术笔记本电脑平板电脑可移动电子媒介以及电子邮件和互联网的使用被授权方明确允许使用这些技术? 审核使用政策与负责人面谈一份列出所有此类设备和具有访问权的工作人员的列表? 审核使用政策与负责人面谈可接受的技术使用方式? 审核使用政策与负责人面谈仅在供应商和业务合作伙伴需要时为其激活远程访问技术, 并在使用后立即停用? 审核使用政策与负责人面谈 PCI 安全标准委员会版权所有保留所有权利第 18 页

25 PCI DSS 问题 ( 为每个问题选中一个 ), 已填 12.4 安全政策和程序否明确规定所有工作人员的信息安全责任? 审核信息安全政策和程序抽样选取部分负责人员进行面谈 12.5 (b) 否已将下列信息安全管理职责正式分配给个人或团队 : 建立记录并分发安全事故响应和逐级上报程序, 以确保及时有效地处理所有情况? 审核信息安全政策和程序 12.6 (a) 否已实施正式的安全意识计划, 以使所有工作人员了解持卡人数据安全政策和程序? 审核安全意识计划 12.8 否已按照下述要求实施并维护政策和程序以管理共享持卡人数据或可能影响持卡人数据安全的服务提供商 : 已维护服务提供商列表 ( 包括所提供服务的说明 )? 查看流程审核服务提供商名单否维护书面协议, 其中确认服务提供商负责其处理或者代表客户以其他方式存储处理或传输的持卡人数据的安全性以及他们可能会影响客户持卡人数据环境的安全性? 查看书面协议注 : 确认的确切措辞取决于双方协议所提供服务的详情以及分配给每一方的责任确认不一定要包含与本要求完全相同的措辞否已建立雇用服务提供商的流程 ( 包括雇用前的相应尽职调查 )? 否已维护相应计划来至少每年监控一次服务提供商的 PCI DSS 遵从性状态? 否已维护有关分别由各服务提供商和实体管理的 PCI DSS 要求的信息? 查看流程审核政策程序和支持文档查看流程审核政策程序和支持文档查看流程审核政策程序和支持文档 PCI 安全标准委员会版权所有保留所有权利第 19 页

27 附录 A: 附录 A1: PCI DSS 附加要求针对共享托管服务提供商的 PCI DSS 附加要求此附录不用于商户评估附录 A2: 针对使用 SSL/ 早期 TLS 的实体的 PCI DSS 附加要求 PCI DSS 问题 ( 为每个问题选中一个 ), 已填 A2.1 针对使用 SSL 和 / 或早期 TLS 的 POS POI 终端 ( 及其连接到的 SSL/TLS 终端点 ): 否已证实这些设备不易受到任何已知 SSL/ 早期 TLS 漏洞的影响查看文档 ( 例如, 供应商文档系统 / 网络配置详情等 ), 证实 POS POI 设备不易受到任何已知 SSL/ 早期 TLS 漏洞的影响或者 : 否根据要求 A2.2 制定了适当的正式风险降低和迁移计划? A2.2 否针对使用 SSL 和 / 或早期 TLS 的所有实施 (A2.1 中允许的实施除外 ) 制定了适当的正式风险降低和迁移计划, 包括 : 查看记录的风险降低和迁移计划使用说明, 包括传输的数据使用和 / 或支持 SSL/ 早期 TLS 的系统的类型和数量环境类型 ; 风险评估结果和适当的风险降低控制 ; 对用于监控 SSL/ 早期 TLS 相关漏洞的流程的说明 ; 对实施以确保 SSL/ 早期 TLS 未实施到新环境的变更控制流程的说明 ; 迁移项目计划概述, 包括目标迁移完成时间不迟于 2018 年 6 月 30 日? PCI 安全标准委员会版权所有保留所有权利第 21 页

29 附录 B: 补偿性控制工作表使用本工作表为任何选中, 已填写 CCW 的要求定义补偿性控制注 : 只有已采取风险分析并具有合理的技术限制或书面业务限制的公司才能考虑使用补偿性控制来实现遵从性有关补偿性控制和如何填写本工作表的信息, 请参见 PCI DSS 的附录 B C 和 D 要求编号和定义 : 所需信息解释 1. 限制列出导致无法遵守最初要求的限制 2. 目的定义最初控制的目的 ; 确定通过补偿性控制实现的目的 3. 已确定的风险确定由于缺少最初控制而导致的任何其他风险 4. 补偿性控制的定义 5. 补偿性控制的验证定义补偿性控制并解释其如何实现最初控制的目的并解决增加的风险 ( 若有 ) 定义如何验证并测试补偿性控制 6. 维护规定流程和控制措施以维护补偿性控制 PCI 安全标准委员会版权所有保留所有权利

31 第 3 节 : 认证和证明书详情第 3 部分 PCI DSS 认证此 AOC 基于 (SAQ 填写日期 ) 填写的 SAQ B-IP( 第 2 节 ) 中的结果基于上述 SAQ B-IP 中记录的结果, 第 3b-3d 部分中指明的签署者 ( 如果适用 ) 针对本文档第 2 部分中指明的实体声明以下遵从性状态 ( 选中一个选项 ): 遵从 : 已填写 PCI DSS SAQ 的所有章节且已针对所有问题提供积极, 从而获得了总体遵从评分 ; 因此 ( 商户公司名称 ) 已证明其完全遵从 PCI DSS 未遵从 : 未填写 PCI DSS SAQ 的部分章节或未针对所有问题提供积极, 从而获得了总体未遵从评分, 因此 ( 商户公司名称 ) 未证明其完全遵从 PCI DSS 遵从目标日期 : 如果某实体提交的本表单具有未遵从状态, 则可能需要填写本文档第 4 部分中的行动计划在填写第 4 部分之前, 请先咨询您的收单机构或支付品牌遵从但包含法律规定的例外情况 : 由于受到阻止满足相关要求的法律限制, 因此一项或多项要求选为了否此选项要求收单机构或支付品牌进行附加审核如果选中此选项, 请填写以下内容 : 相关要求有关法律限制如何阻止满足相关要求的详情第 3a 部分确认状态签署者确认 : ( 选中所有合适选项 ) 已根据本文中的说明填写第 (SAQ 版本 ) 版 PCI DSS 自我评估调查问卷 B-IP 上述引用的 SAQ 和本证明书中的所有信息在一切重要方面均完全代表本次评估的结果已向相应的支付应用程序供应商确认自己的支付系统未在验证后存储敏感验证数据已阅读 PCI DSS 且了解必须始终遵从适用于所在环境的 PCI DSS 了解如果所在环境发生变化则必须重新评估所在环境, 并实施任何适用的 PCI DSS 附加要求 PCI DSS 3.2 版 SAQ B-IP, 修订版 1.0 第 3 节 : 认证和证明书详情 PCI 安全标准委员会版权所有保留所有权利第 25 页

32 第 3a 部分确认状态 ( 续 ) 未在本次评估所审核的 ANY 系统中发现交易授权后仍存储完整磁道数据 1 CAV2 CVC2 CID CVV2 2 3 数据或 PIN 数据的迹象 ASV 扫描正由 PCI SSC 认证的授权扫描服务商 (ASV 名称 ) 完成第 3b 部分商户证明书商户执行官签名日期 : 商户执行官姓名 : 职务 : 第 3c 部分合格安全性评估商 (QSA) 确认 ( 如适用 ) 如果 QSA 参与了或帮助完成本次评估, 请说明其执行的角色 : QSA 公司正式授权管理人员签名日期 : 正式授权管理人员姓名 : QSA 公司 : 第 3d 部分内部安全性评估商 (ISA) 参与 ( 如适用 ) 如果 ISA 参与了或帮助完成本次评估, 请确认该 ISA 工作人员, 并说明其执行的角色 : 实卡交易中用于授权的磁条编译数据或芯片上的类似数据实体不得在交易授权后保留完整磁道数据唯一可保留的磁道数据部分为主帐户 (PAN) 失效日期和持卡人姓名用于验证非实卡交易而印于支付卡签名条或正面的三位或四位数值持卡人在实卡交易中输入的个人识别码, 和 / 或交易消息中包含的加密 PIN 数据块 PCI DSS 3.2 版 SAQ B-IP, 修订版 1.0 第 3 节 : 认证和证明书详情 PCI 安全标准委员会版权所有保留所有权利第 26 页

33 第 4 部分针对未遵从要求的行动计划针对每项要求的 PCI DSS 要求遵从性选择合适的如果您针对任一要求了否, 则需要提供您所在公司预计遵从该要求的日期, 并简要说明为满足该要求所采取的行动在填写第 4 部分之前, 请先咨询您的收单机构或支付品牌 PCI DSS 要求 * 要求说明遵从 PCI DSS 要求 ( 选择一个选项 ) 否补救日期和行动 ( 如果针对任一要求选择了否 ) 1 安装并维护防火墙配置以保护持卡人数据 2 不要使用供应商提供的默认系统密码和其他安全参数 3 保护存储的持卡人数据加密持卡人数据在开放式公共网络中的传输开发并维护安全的系统和应用程序按业务知情需要限制对持卡人数据的访问 8 识别并验证对系统组件的访问 9 限制对持卡人数据的物理访问 11 定期测试安全系统和流程 12 附录 A2 维护针对所有工作人员的信息安全政策针对使用 SSL/ 早期 TLS 的实体的 PCI DSS 附加要求 * 此处提及的 PCI DSS 要求指本 SAQ 第 2 节中的问题 PCI DSS 3.2 版 SAQ B-IP, 修订版 1.0 第 3 节 : 认证和证明书详情 PCI 安全标准委员会版权所有保留所有权利第 27 页

文档变更记录日期 PCI DSS 版本 SAQ 修订版描述 2008 年 10 月 1.2 根据新的 PCI DSS 1.2 版调整内容并实施原始 1.1 版中标出的微小变更 2010 年 10 月 2.0 根据新的 PCI DSS 2.0 版要求与测试程序调整内容 2014 年 2 月 3.0

文档变更记录日期 PCI DSS 版本 SAQ 修订版描述 2008 年 10 月 1.2 根据新的 PCI DSS 1.2 版调整内容并实施原始 1.1 版中标出的微小变更 2010 年 10 月 2.0 根据新的 PCI DSS 2.0 版要求与测试程序调整内容 2014 年 2 月 3.0 支付卡行业 (PCI) 数据安全标准自我评估调查问卷 B 和遵从性证明书仅使用压印机或独立拨出终端的商户无电子持卡人数据存储适用于 PCI DSS 3.2 版文档变更记录日期 PCI DSS 版本 SAQ 修订版描述 2008 年 10 月 1.2 根据新的 PCI DSS 1.2 版调整内容并实施原始 1.1 版中标出的微小变更 2010 年 10 月 2.0 根据新的 PCI DSS

文档变更记录 日期 PCI DSS 版本 SAQ 修订版 描述 N/A 1.0 未使用 N/A 2.0 未使用 2014 年 2 月 3.0 针对仅通过与支付处理商建立 IP 连接的独立 PTS 批准的交 互点设备处理持卡人数据的商户适用要求的新 SAQ 根据新的 PCI DSS 3.0 版要求与测

文档变更记录日期 PCI DSS 版本 SAQ 修订版描述 N/A 1.0 未使用 N/A 2.0 未使用 2014 年 2 月 3.0 针对仅通过与支付处理商建立 IP 连接的独立 PTS 批准的交互点设备处理持卡人数据的商户适用要求的新 SAQ 根据新的 PCI DSS 3.0 版要求与测