支付卡行业数据安全标准遵守规划指南.docx
《支付卡行业数据安全标准遵守规划指南.docx》由会员分享,可在线阅读,更多相关《支付卡行业数据安全标准遵守规划指南.docx(43页珍藏版)》请在冰豆网上搜索。
支付卡行业数据安全标准遵守规划指南
支付卡行业数据安全标准遵守规划指南
OnThisPage
简介
满足PCIDSS要求
附录
简介
《支付卡行业数据安全标准遵守规划指南》旨在帮助组织满足支付卡行业数据安全标准(PCIDSS)的要求。
具体而言,本指南针对的是接受支付卡的贸易商、处理支付卡交易的金融机构以及服务提供商-即提供支付卡处理或数据存储服务的第三方公司。
针对这些群体的IT解决方案必须满足所有PCIDSS要求。
本指南是为了进一步强化法规遵守规划指南-它介绍了一种基于框架的方法来创建IT控制,帮助您遵守各种法规和标准。
该指南还介绍了您可以用来实施一系列IT控制的Microsoft产品和技术解决方案,这些IT控制有助于满足PCIDSS要求以及履行您的组织可能担负的其他法规义务。
注意 如果您的组织提供的服务包括自动取款机(ATM)服务,Microsoft将提供支持ATM的软件、系统和网络适用的体系结构和安全指南。
有关详细信息,请参阅MSDN网站上的Microsoft银行行业中心下载页。
本指南不包含有关每个组织如何遵守PCIDSS的全面信息。
有关与您的组织有关的特定遵守问题的解答,请向您的律师或审核人员咨询。
本指南的简介包括以下部分:
∙摘要。
此部分提供有关PCIDSS要求以及该规划指南主要目标的广泛概述。
在这一部分还会讨论IT管理人员在开始解决PCIDSS遵守要求时需要掌握的知识。
∙本指南的目标读者。
此部分介绍本指南的目标读者、指南的目的和适用范围,以及与指南限制有关的注意事项和免责声明。
∙什么是支付卡行业数据安全标准?
此部分提供PCIDSS及其要求的概述。
∙规划PCIDSS遵守。
此部分介绍使用框架满足PCIDSS要求。
此方法包括:
创建各种类型的IT控制、如何配合使用这些控制,以及它们为何是您的组织可以用来帮助满足PCIDSS要求和履行其他法规遵守义务的重要组件。
∙PCIDSS审核流程。
此部分概述审核人员用来评估组织是否符合PCIDSS要求的PCIDSS审核流程。
由于本白皮书是对《法规遵守规划指南》的补充,因此,当您计划一个满足您的组织适用的所有法规要求的完整解决方案时,您还应当参考该指南。
摘要
如果您的组织处理、存储或传输持卡人信息,则您的业务要求必须遵守支付卡行业数据安全标准(PCIDSS)。
这些标准中定义的要求是由PCI安全标准委员会制定,旨在为使用您的组织服务的持卡人提供可接受的最低安全级别。
有三个问题使此情况变得复杂。
第一个问题是遵守PCIDSS要求可能对整个组织产生影响。
因此,在部门间协调遵守工作,并且有一个组织范围内的PCIDSS遵守策略非常重要。
第二个复杂问题是您的组织可能需要遵守多套法规,每套法规都规定了不同的一组要求。
因此,许多公司发现很难了解如何正确响应这些不同的法规要求并使用经济高效的流程和过程保持法规遵守,也就不足为奇了。
第三个复杂问题是与其他许多法规一样,PCIDSS只是顺带提及IT控制,而对于IT管理人员明确确定究竟该执行什么工作来实现和维护法规遵守,提供的指导则非常有限。
《支付卡行业数据安全标准遵守规划指南》针对的是在公司担负满足PCIDSS要求职责的IT管理人员。
本指南旨在帮助IT管理人员了解如何着手解决其组织适用的许多IT控制要求,包括PCIDSS遵守要求。
为实现这一目的,本指南提供了有关在此过程中您可以使用的解决方案的信息。
有关如何遵守多种法规标准的更全面的讨论,请参阅法规遵守规划指南。
重要 本规划指南不提供法律意见。
本指南仅提供有关法规遵守的事实面和技术面的信息。
不要完全依赖本指南提供的有关如何满足法规要求的意见。
有关特定问题,请向您的律师或审核人员咨询。
本文的目标读者
《PCIDSS遵守规划指南》主要针对负责确保其组织安全可靠地收集、处理、传输和存储持卡人数据并且保护持卡人隐私的个人。
本指南的目标读者包括在组织中担任以下职位的IT管理人员:
∙首席信息官(CIO),负责系统和IT相关流程的部署和运行。
∙首席信息安全官(CISO),负责整个信息安全计划以及对信息安全策略的遵守。
∙首席财务官(CFO),负责其组织的整个控制环境。
∙首席保密官(CPO),负责实施与个人信息管理相关的策略,包括支持遵守保密性和数据保护法的策略。
∙技术决策者,负责确定适当的技术解决方案来解决特定的业务问题。
∙IT运营经理,运行执行PCIDSS遵守计划的系统和流程。
∙IT安全架构师,设计IT控制和安全系统以提供满足其组织业务需求的相应安全级别。
∙IT基础结构架构师,设计支持IT安全架构师设计的IT安全和控制的基础结构。
∙咨询人员和合作伙伴,推荐或实施保密性和安全最佳做法,帮助客户实现PCIDSS遵守目标。
此外,本指南对于以下人员可能也非常有价值:
∙风险/合规事务主管,负责其组织符合PCIDSS要求的总体风险管理。
∙IT审核经理,负责审核IT系统,减少内外IT审核人员的工作量。
什么是支付卡行业数据安全标准?
支付卡行业(PCI)数据安全标准(DSS)是一组全面的要求,旨在确保持卡人的信用卡和借记卡信息保持安全,而不管这些信息是在何处以何种方法收集、处理、传输和存储。
PCIDSS由PCI安全标准委员会的创始成员(包括AmericanExpress、DiscoverFinancialServices、JCB、MasterCardWorldwide和VisaInternational)制定,旨在鼓励国际上采用一致的数据安全措施。
PCIDSS中的要求是针对在日常运营期间需要处理持卡人数据的公司和机构提出的。
具体而言,PCIDSS对在整个营业日中处理持卡人数据的金融机构、贸易商和服务提供商提出了要求。
PCIDSS包括有关安全管理、策略、过程、网络体系结构、软件设计的要求的列表,以及用来保护持卡人数据的其他措施。
PCIDSSV1.1是2006年9月发布的最新版本标准。
该标准由一组共6个原则以及12个附属要求构成。
每项要求下面包含子要求,您必须按照这些子要求来实施流程、策略或技术解决方案以遵守该要求。
PCIDSS策略和要求包括:
∙建立和维护安全网络
∙要求1:
安装和维护一个防火墙配置来保护持卡人数据。
∙要求2:
不要对系统密码和其他安全参数使用供应商提供的默认值。
∙保护持卡人数据
∙要求3:
保护存储的持卡人数据。
∙要求4:
对通过开放的公共网络传输的持卡人数据进行加密。
∙维护漏洞管理计划
∙要求5:
使用并定期更新防病毒软件。
∙要求6:
开发并维护安全系统和应用程序。
∙实施强访问控制措施
∙要求7:
将对持卡人数据的访问限制为业务需要时。
∙要求8:
为具有计算机访问权限的每个人分配唯一的ID。
∙要求9:
限制对持卡人数据的物理访问。
∙定期监视和测试网络
∙要求10:
跟踪和监视对网络资源和持卡人数据的所有访问。
∙要求11:
定期测试安全系统和流程。
∙维护信息安全策略
∙要求12:
维护解决信息安全的策略。
要求9和12不需要您实施技术解决方案。
要求9指示您解决存储和处理持卡人数据的位置的物理安全。
这可能包括对大楼进出实施安全控制、安装和维护监视设备以及要求对在设施内工作或访问设施的所有个人进行身份检查。
要求12指示您创建信息安全策略,将其传达给您的员工、供应商以及在您的组织内处理持卡人数据的其他当事人。
规划PCIDSS遵守
孤立起来创建PCIDSS遵守解决方案既不高效也不经济。
在规划遵守PCIDSS要求的方法时,您还必须考虑其他许多法规。
这些法规的例子包括:
∙萨班斯-奥克斯利法案(SOX)
∙格雷姆-里奇-比雷利法案(Gramm-LeachBlileyAct)
∙健康保险流通与责任法案(HIPAA)
∙欧洲数据保护指令(EUDPD)
∙ISO17799:
2005信息安全管理实施细则(ISO 17799)
注意 如果您的组织是一个跨国企业,则需要确保遵守所有业务开展地的政府法规。
Microsoft建议您向熟悉组织业务开展地的所有法规的律师咨询。
有关对这些法规的遵守工作进行规划的详细信息,请参阅法规遵守规划指南。
您的组织创建的PCIDSS遵守解决方案应该在完全了解以下两个问题的情况下制定:
∙满足其他法规要求的现有解决方案
∙创建符合所有法规要求的新解决方案的最佳方法
为高效且有效地实现您的遵守目标,Microsoft建议您利用控制框架来帮助实现您组织的法规遵守目标。
利用控制框架,您的组织能够将适用法规和标准映射到框架中。
然后,您的组织就可以更高效地将IT控制工作的重点放在解决框架(而不是各个法规)中定义的要求上。
此外,在出现新的法规和标准影响组织时,您也可以将它们映射到框架,然后集中精力解决框架中要求已更改的部分。
而且,您可以将与IT控制相关的各种要求映射到框架中,其中包括支付卡行业安全要求、内部策略等行业特定的要求。
框架为寻求实现法规遵守目标的组织提供了许多显著的优势。
利用基于框架的法规遵守方法,组织能够:
∙组合IT控制以满足多种法规标准,例如,PCIDSS和EUDPD所规定的标准,从而避免单独审核。
∙在新法规推出时能够迅速做出调整。
∙通过选择影响最大的IT控制,确定支出的优先次序。
∙避免公司内部的业务部门之间为实现遵守目标所开展的工作出现重复。
∙通过渐增的更改,更高效地将当前法规更新到所在组织现有的IT控制。
∙在IT部门和审计人员之间建立一个公共的平台。
当然,在开始规划您的遵守工作时,您应该对PCIDSS本身进行检查。
您可以从以下位置下载PCIDSS:
https:
//www.pcisecuritystandards.org/pdfs/pci_dss_v1-1.pdf。
此外,PCI安全标准委员会创建了一个自我评估调查表,帮助您的组织确定是否遵守PCIDSS。
您还可以利用它帮助您规划组织的PCIDSS遵守工作。
您可以从以下位置下载PCIDSS自我评估调查表:
https:
//www.pcisecuritystandards.org/pdfs/pci_saq_v1-0.pdf。
有关在控制框架中使用IT控制解决法规要求的详细信息,请参阅《法规遵守规划指南》。
PCIDSS审核流程
PCIDSS遵守的审核流程通常与法规遵守规划指南中介绍的流程类似。
但是,有一些特定于PCIDSS审核的细节您应该知道。
PCIDSS审核评估由两种第三方组织执行,即合格安全性评估商(QSA)和认可的扫描服务供应商(ASV)。
QSA执行审核的现场部分,而ASV则对组织面向Internet的环境执行漏洞扫描。
对于成为QSA和ASV的企业,每年都必须由PCI数据安全委员会(PCIDSC)进行一次审核和批准。
QSA在审核组织之后必须编制一份报告,该报告必须遵照PCIDSC定义的特定准则。
这些准则包含在PCI审核过程文档中,该文档可以从以下位置下载:
https:
//www.pcisecuritystandards.org/pdfs/pci_audit_procedures_v1-1.pdf。
这些准则规定了QSA在审核之后必须编制的报告应该如何组织。
此报告包括组织的联系信息、审核日期、摘要、工作范围以及QSA在审核组织时所采用方法的描述、季度扫描结果以及QSA的发现和观察。
最后一部分包含大量有关组织对PCIDSS遵守情况的信息。
在此部分,QSA会使用一个模板来报告组织对每项PCIDSS要求以及子要求的遵守情况。
在为组织安排PCIDSS审核之前,或者最好是在规划PCIDSS遵守时,应该由组织的关键成员对PCIDSS审核过程进行审查。
这可能有助于您充分了解QSA会在审核过程中进行哪些检查。
ASV在对组织面向Internet的环境执行漏洞扫描之后,也必须就扫描结果编制一份报告。
此报告的准则包含在PCI扫描过程文档中,该文档可以从以下位置下载:
https:
//www.pcisecuritystandards.org/pdfs/pci_scanning_procedures_v1-1.pdf。
该文档规定了ASV必须扫描组织环境中的哪些元素,并且包含关键字来帮助您阅读和理解ASV的报告。
作为贸易商或服务提供商,您的组织必须遵守各个支付卡公司的符合性报告要求,确保每个支付卡公司承认您组织的合规状态。
换句话说,如果您的组织是处理与Visa和AmericanExpress有关的持卡人数据的服务提供商,您必须向Visa和AmericanExpress提交您的符合性报告。
每个支付卡公司的相容规则和过程略有不同。
有关特定PCIDSS遵守要求以及每个公司为实现贸易商和服务提供商相容而推出的支持计划的详细信息,请与您的公司处理、传输或存储其持卡人数据的支付卡公司联系。
TopOfPage
满足PCIDSS要求
此部分详细说明您的组织规划PCIDSS遵守时可以考虑的Microsoft技术解决方案。
您应该将选择的解决方案融合到您的组织的日常工作中。
如“规划PCIDSS遵守”部分所述,您的组织策略、过程和技术解决方案应当考虑整个组织的法规遵守情况,还应该考虑PCIDSS遵守会对公司的各个组成部分产生怎样的影响。
有关将IT控制映射到技术解决方案所涉及的考虑事项的详细讨论,请参阅法规遵守规划指南。
文档管理
文档管理解决方案结合软件和流程来帮助您管理组织内非结构化的信息。
此信息可能以许多数字化的形式存在,包括文档、图像、音频和视频文件以及XML文件。
满足的PCIDSS要求
实施文档管理解决方案从两个方面帮助实现PCIDSS遵守。
一方面,使用此类解决方案来管理包含持卡人数据的文档可帮助满足与数据访问、管理和保护相关的PCIDSS要求。
具体而言,您可以使用文档管理解决方案满足要求7以及子要求10.2.1。
另一方面,您可以使用文档管理系统维护和发布策略,比如满足小节3.6、6.4、9.2和12中的要求所需要的那些策略。
有关这些要求的全文,请参阅支付卡行业数据安全标准V1.1。
可用技术
Microsoft提供了许多用于创建文档管理IT控制的技术,这些技术可以结合起来使用,也可以单独使用。
您应该设计这些控制,以满足PCIDSS要求以及您的组织适用的其他法规要求。
∙Microsoft®Windows®RightsManagementServices。
WindowsRightsManagementServices(RMS)是一种帮助应用程序保护数字信息免遭XX使用(包括联机、脱机以及在防火墙内外的使用)的软件平台。
RMS是MicrosoftOffice和WindowsSharePoint®Services的信息权限管理(IRM)功能的基础技术。
无论是在公司内部部署还是通过托管服务部署,RMS服务器都需要使用这些功能。
RMS不管信息传送到什么位置,都会保持对信息应用持续的使用策略来保护信息,从而能够增强组织的安全策略。
启用了RMS的应用程序可用来管理、控制和审核对包含持卡人信息的文档的访问。
RMS客户端已经集成到WindowsVista™操作系统中。
对于其他版本的Windows,可以免费下载RMS客户端。
有关详细信息,请参阅WindowsRightsManagementServices(
∙MicrosoftOfficeSharePointServer。
SharePointServer是一种协作和内容管理服务器,允许您使用一个集成平台支持组织的门户和文档管理需求。
它允许您在企业范围内支持内部网、外部网和Web应用程序,为IT专业人员和开发人员提供他们进行服务器管理、实现应用程序可扩展性和互操作性所需的平台和工具。
SharePointServer可用作包含持卡人数据的文档以及描述策略和流程的文档的中央存储库。
SharePointServer2007与RMS相集成,能够对从SharePointServer2007下载的内容的所有副本实施访问控制策略。
此功能使站点管理员能够使用IRM对文档库中的文件下载进行保护。
当用户尝试从存储库下载文件时,MicrosoftWindowsSharePointServices会验证该用户是否对指定文件具有相应的权限,然后向用户发放许可,使该用户能够在相应的权限级别访问该文件。
然后,WindowsSharePointServices会采用加密的、有管理权限的文件格式将文件下载到用户的计算机。
有关详细信息,请参阅MicrosoftSharePoint产品和技术网站(
∙MicrosoftExchangeServer。
如今对于大多数企业而言,电子邮件已经成为至关重要的通讯工具,员工必须使用电子邮件进行沟通才能获得最好的工作效果。
随着对电子邮件越来越依赖,发送和接收的消息数量、通过电子邮件执行的工作量和种类以及业务本身的速度都已经增加。
ExchangeServer提供一种功能丰富的消息传递平台,用来管理组织中的信息交换,帮助满足PCIDSS遵守目标。
ExchangeServer2007包括统一消息服务,将发送到一个用户的电子邮件、语音邮件和传真合并到一个收件箱中。
此外,它还提供一些功能,使您的组织能够应用保留规则、对传输过程中的消息进行扫描和操作、灵活记录日志以及对所有配置的邮箱执行丰富文本搜索。
有关详细信息,请参阅MicrosoftExchangeServer网站(
∙MicrosoftOffice。
Office是最主要的企业生产力应用程序套件。
MicrosoftOffice的IRM功能有助于组织控制对持卡人数据等敏感信息的访问。
具体而言,OfficeIRM功能将帮助您的组织:
∙防止受保护信息的授权接收人转发、复制、修改、打印、传真或剪切和粘贴信息来进行XX的使用。
∙防止使用WindowsPrintScreen功能复制受保护的信息。
∙不管信息传送到什么位置,始终为信息提供相同级别的保护。
这称为“持续保护”。
∙为电子邮件附件提供相同级别的保护,只要附件是使用MicrosoftExcel®或MicrosoftWord等其他Office程序创建的文件。
∙保护已经设置为即将过期的电子邮件或文档,使信息在指定的一段时间后不能再查看。
∙执行公司的策略,控制公司内外对信息的使用和分发。
有关详细信息,请参阅MicrosoftOffice网站(
风险评估
风险评估是您的组织用来确定对业务的风险以及划分风险优先级的流程。
通常,使用系统的方法来确定信息处理系统的资产,对这些资产的威胁以及系统暴露给这些威胁的漏洞。
在法规遵守情况下,风险评估是评估组织内的遵守水平和遵守不充分之处的流程。
在规划PCIDSS遵守时,您主要是确定持卡人数据面临的风险,确定这些威胁的优先级。
满足的PCIDSS要求
风险评估能够从许多方面帮助您满足PCIDSS要求。
它使您能够确定在网络中需要升级哪些方面才能符合要求。
即使已经基本符合要求,风险评估也很重要,它帮助您确定组织是否能在一段时间内保持符合要求。
由于您可以借助风险评估确定许多潜在问题,因此它能够帮助您符合许多PCIDSS要求,其中包括要求1、3、4、5、6、7、8和11。
有关这些要求的全文,请参阅支付卡行业数据安全标准V1.1。
可用技术
Microsoft提供了许多用于创建风险管理IT控制的技术,这些技术可以结合起来使用,也可以单独使用。
您应该设计这些控制,以满足PCIDSS要求以及您的组织适用的其他法规要求。
∙Microsoft基准安全分析器(MBSA)。
MBSA是您可以用来在组织中评估持卡人数据风险的主要工具之一。
MBSA工具易于使用,可以确定许多Microsoft产品的常见安全误配置,这些产品包括MicrosoftWindows操作系统、InternetInformationServices(IIS)、SQLServer™、MicrosoftInternetExplorer®和MicrosoftOffice。
MBSA还会扫描已经发布到MicrosoftUpdate但尚未在系统上安装的安全更新、更新汇总以及ServicePack。
您可以在命令提示符或其GUI下运行MBSA,还可将其与MicrosoftUpdate和MicrosoftWindowsServer®UpdateServices配合使用。
由于保持系统最新是使持卡人数据尽可能安全的一种非常重要的方法,因此在组织中评估数据风险时,MBSA可能是一种非常重要的工具。
有关MBSA的详细信息,请参阅Microsoft基准安全分析器(
∙MicrosoftSystemsManagementServer。
如果您的组织使用MicrosoftSystemsManagementServer(SMS)管理客户端计算机和服务器,您可能已经拥有了执行持卡人数据风险评估所需的一些工具。
使用SMS,您的组织可以远程管理分布式网络上运行Windows操作系统的计算机上的安全设置。
您可以盘点网络上的计算机是否安装了必需的软件更新,跟踪更新部署到这些计算机的进度。
您还可以使用SMS生成报告,列出详细的硬件和软件清单、网络上计算机的配置详细信息和状态,以及软件部署和部署错误的状态。
在组织内评估持卡人数据的风险时,这些SMS功能可能非常重要。
有关SMS的详细信息,请参阅MicrosoftSystemsManagementServer主页(
∙MicrosoftSystemCenterOperationsManager审核收集。
OperationsManager2007可以从Windows操作系统安全、高效地提取和收集安全日志,并且存储这些日志供以后分析和报告使用。
提取的日志存储在单独的“审核收集”数据库中。
OperationsManager
升级会员 