組織必須制定有效的第三方風(fēng)險管理 (TPRM) 計(jì)劃，以確保其供應(yīng)商滿足網(wǎng)絡(luò)安全要求。否則，他們將承擔(dān)因客戶數(shù)據(jù)泄露而造成的財務(wù)和聲譽(yù)損害的風(fēng)險。PCI DSS 標(biāo)準(zhǔn)涵蓋了第三方風(fēng)險管理的各個方面，因?yàn)樗m用于所有處理信用卡數(shù)據(jù)的組織，尤其是受到嚴(yán)格監(jiān)管的金融行業(yè)。避免巨額罰款和負(fù)面新聞頭條足以鼓勵 PCI 合規(guī)性。這些擔(dān)憂往往掩蓋了標(biāo)準(zhǔn)實(shí)施的實(shí)際好處，例如安全態(tài)勢成熟度和更有效的 TPRM 實(shí)踐。

什么是 PCI DSS？

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)是一項(xiàng)國際信息安全標(biāo)準(zhǔn)，旨在保護(hù)信用卡數(shù)據(jù)和敏感的身份驗(yàn)證數(shù)據(jù)并減少信用卡欺詐。該標(biāo)準(zhǔn)于 2004 年首次發(fā)布，調(diào)整了五個主要支付品牌——Visa、MasterCard、Discover、American Express 和 JCB 的數(shù)據(jù)安全控制。自 2006 年五個卡品牌成立其管理機(jī)構(gòu)——支付卡行業(yè)安全標(biāo)準(zhǔn)委員會 (PCI SSC) 以來，PCI DSS 經(jīng)歷了多次修訂。

PCI DSS 的最新版本是 v3.2.1，于 2018 年 5 月發(fā)布。自 2013 年以來最重大的變化將伴隨著PCI DSS 4.0 的預(yù)期發(fā)布，即 2022 年第一季度，這將解決數(shù)字化轉(zhuǎn)型和不斷擴(kuò)大的攻擊面。

任何處理信用卡或借記卡數(shù)據(jù)的組織都必須符合 PCI 標(biāo)準(zhǔn)。此類組織包括：

• 收購方
• 處理器
• 商家
• 銀行
• 第三方服務(wù)提供商

PCI DSS 合規(guī)性要求是什么？

最新版本的 PCI DSS包含 12 項(xiàng)主要要求，分為六個更廣泛的目標(biāo)。

目標(biāo) 1：建立和維護(hù)安全的網(wǎng)絡(luò)和系統(tǒng)

要求 1.安裝并維護(hù)防火墻配置以保護(hù)持卡人數(shù)據(jù)。

要求 2.不要將供應(yīng)商提供的默認(rèn)值用于系統(tǒng)密碼和其他安全參數(shù)。

目標(biāo) 2：保護(hù)持卡人數(shù)據(jù)

要求 3.保護(hù)存儲的持卡人數(shù)據(jù)。

要求 4.加密跨開放公共網(wǎng)絡(luò)的持卡人數(shù)據(jù)傳輸。

目標(biāo) 3：維護(hù)漏洞管理計(jì)劃

要求 5.保護(hù)所有系統(tǒng)免受惡意軟件的侵害，并定期更新防病毒軟件或程序。

要求 6.開發(fā)和維護(hù)安全的系統(tǒng)和應(yīng)用程序。

目標(biāo) 4：實(shí)施強(qiáng)大的訪問控制措施

要求 7.限制業(yè)務(wù)需要知道的對持卡人數(shù)據(jù)的訪問。

要求 8.識別和驗(yàn)證對系統(tǒng)組件的訪問。

要求 9.限制對持卡人數(shù)據(jù)的物理訪問。

目標(biāo) 5：定期監(jiān)控和測試網(wǎng)絡(luò)

要求 10.跟蹤和監(jiān)控對網(wǎng)絡(luò)資源和持卡人數(shù)據(jù)的所有訪問。

要求 11.定期測試安全系統(tǒng)和流程。

目標(biāo) 6：維護(hù)信息安全策略

要求 12.維護(hù)針對所有人員的信息安全問題的政策。

PCI 安全標(biāo)準(zhǔn)委員會要求每年對合規(guī)性進(jìn)行驗(yàn)證。商戶必須完成自我評估問卷 (SAQ)，如果他們處理大量交易，他們將接受合格安全評估員的現(xiàn)場審核。不遵守 PCI DSS 的組織將面臨每月 5,000 至 100,000 美元不等的罰款。

PCI DSS 合規(guī)級別

有四種不同級別的 PCI DSS 合規(guī)性要求，具體取決于：

• 商家處理的信用卡交易數(shù)量，
• 商家使用的支付處理媒介，以及
• 商戶的數(shù)據(jù)泄露狀態(tài)。

1級

涵蓋每年處理超過 600 萬筆信用卡交易（包括現(xiàn)實(shí)世界和電子商務(wù)交易）的商家，或任何最近經(jīng)歷過數(shù)據(jù)泄露的商家。

合規(guī)?要求：?

• 由合格的安全評估員 (QSA) 進(jìn)行的年度審計(jì)
• 由經(jīng)批準(zhǔn)的掃描供應(yīng)商 (ASV) 執(zhí)行的季度網(wǎng)絡(luò)掃描
• 每年收到合規(guī)證明 (AoC) 和合規(guī)報告 (RoC)

2級

涵蓋每年處理 1 到 600 萬次信用卡交易的商家，包括現(xiàn)實(shí)世界和電子商務(wù)交易。

合規(guī)要求：

• 每年完成一份自我評估問卷 (SAQ)

• 由經(jīng)批準(zhǔn)的掃描供應(yīng)商 (ASV) 執(zhí)行的季度網(wǎng)絡(luò)掃描

3級

涵蓋每年處理 20,000 至 100 萬筆電子商務(wù)交易的商家。

合規(guī)要求：

• 每年完成一份自我評估問卷 (SAQ)

• 由經(jīng)批準(zhǔn)的掃描供應(yīng)商 (ASV) 執(zhí)行的季度網(wǎng)絡(luò)掃描

4級

涵蓋每年處理少于 20,000 和 100 萬筆電子商務(wù)交易或每年處理多達(dá) 100 萬筆實(shí)際交易的商家。

合規(guī)要求：

• 每年完成一份自我評估問卷 (SAQ)

• 由經(jīng)批準(zhǔn)的掃描供應(yīng)商 (ASV) 執(zhí)行的季度網(wǎng)絡(luò)掃描

第三方的 PCI DSS 要求是什么？

PCI 安全標(biāo)準(zhǔn)委員會的信息補(bǔ)充：第三方安全保證文件指出，實(shí)體可以將其信用卡業(yè)務(wù)外包給第三方服務(wù)提供商 (TPSP)，例如“代表實(shí)體存儲、處理或傳輸持卡人數(shù)據(jù)，或管理實(shí)體持卡人數(shù)據(jù)環(huán)境 (CDE) 的組件?！?/p>

常見的 TPSP 包括：

• 應(yīng)用程序托管
• 數(shù)據(jù)中心
• 支付網(wǎng)關(guān)提供商
• 云基礎(chǔ)設(shè)施
• 加密或令牌化服務(wù)
• 托管安全服務(wù)
• 支付處理器

CDE 組件包括：

• 路由器
• 防火墻
• 數(shù)據(jù)庫
• 物理安全
• 和/或服務(wù)器

雖然理事會承認(rèn)此類 TPSP“……可以成為實(shí)體持卡人數(shù)據(jù)環(huán)境的組成部分……影響實(shí)體的 PCI DSS 合規(guī)性……[和]持卡人數(shù)據(jù)環(huán)境的安全性”，但它強(qiáng)調(diào)實(shí)體“最終 [ly] ] 負(fù)責(zé)[le] 自己的 PCI DSS 合規(guī)性，[而不是] 免除……確保其持卡人數(shù)據(jù) (CHD) 和 CDE 安全的責(zé)任和義務(wù)?！?/p>

PCI SSC 在四個主要領(lǐng)域提供指導(dǎo)，以幫助實(shí)體實(shí)施符合 PCI DSS 標(biāo)準(zhǔn)安全要求的 TPRM 計(jì)劃。

1. 第三方服務(wù)商盡職調(diào)查

進(jìn)行供應(yīng)商盡職調(diào)查，以確保根據(jù)其安全實(shí)踐審查和選擇潛在供應(yīng)商?。

2. 與 PCI DSS 要求的服務(wù)相關(guān)性

就 TPSP 將滿足哪些 PCI DSS 要求以及實(shí)體將滿足哪些要求達(dá)成相互協(xié)議，并了解實(shí)體最終對合規(guī)性負(fù)責(zé)。

3. 書面協(xié)議和政策和程序

創(chuàng)建書面協(xié)議，明確說明 TPSP 和實(shí)體就 PCI DSS 合規(guī)性要求達(dá)成的共同協(xié)議。

4. 監(jiān)控第三方服務(wù)提供商合規(guī)狀態(tài)

了解每個相關(guān) TPSP 的 PCI DSS 合規(guī)狀態(tài)，以確保實(shí)體本身保持合規(guī)。

PCI DSS 第三方風(fēng)險要求

PCI 數(shù)據(jù)安全標(biāo)準(zhǔn)包括一個簡明的供應(yīng)商風(fēng)險管理計(jì)劃，根據(jù)要求 12.8 進(jìn)行細(xì)分，其中包含五個子要求和一個專門針對第三方服務(wù)提供商的附加要求。

要求 12.8

“制定并實(shí)施政策和程序，以管理共享持卡人數(shù)據(jù)或可能影響持卡人數(shù)據(jù)安全的服務(wù)提供商?！?/p>

政策和程序應(yīng)涵蓋以下子要求。

子要求 12.8.1

“維護(hù)服務(wù)提供商列表，包括對所提供服務(wù)的描述?！?/p>