組織必須制定有效的第三方風(fēng)險管理 (TPRM) 計劃，以確保其供應(yīng)商滿足網(wǎng)絡(luò)安全要求。否則，他們將承擔(dān)因客戶數(shù)據(jù)泄露而造成的財務(wù)和聲譽損害的風(fēng)險。PCI DSS 標(biāo)準(zhǔn)涵蓋了第三方風(fēng)險管理的各個方面，因為它適用于所有處理信用卡數(shù)據(jù)的組織，尤其是受到嚴(yán)格監(jiān)管的金融行業(yè)。避免巨額罰款和負(fù)面新聞頭條足以鼓勵 PCI 合規(guī)性。這些擔(dān)憂往往掩蓋了標(biāo)準(zhǔn)實施的實際好處，例如安全態(tài)勢成熟度和更有效的 TPRM 實踐。

什么是 PCI DSS？

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)是一項國際信息安全標(biāo)準(zhǔn)，旨在保護信用卡數(shù)據(jù)和敏感的身份驗證數(shù)據(jù)并減少信用卡欺詐。該標(biāo)準(zhǔn)于 2004 年首次發(fā)布，調(diào)整了五個主要支付品牌——Visa、MasterCard、Discover、American Express 和 JCB 的數(shù)據(jù)安全控制。自 2006 年五個卡品牌成立其管理機構(gòu)——支付卡行業(yè)安全標(biāo)準(zhǔn)委員會 (PCI SSC) 以來，PCI DSS 經(jīng)歷了多次修訂。

PCI DSS 的最新版本是 v3.2.1，于 2018 年 5 月發(fā)布。自 2013 年以來最重大的變化將伴隨著PCI DSS 4.0 的預(yù)期發(fā)布，即 2022 年第一季度，這將解決數(shù)字化轉(zhuǎn)型和不斷擴大的攻擊面。

任何處理信用卡或借記卡數(shù)據(jù)的組織都必須符合 PCI 標(biāo)準(zhǔn)。此類組織包括：

• 收購方
• 處理器
• 商家
• 銀行
• 第三方服務(wù)提供商

PCI DSS 合規(guī)性要求是什么？

最新版本的 PCI DSS包含 12 項主要要求，分為六個更廣泛的目標(biāo)。

目標(biāo) 1：建立和維護安全的網(wǎng)絡(luò)和系統(tǒng)

要求 1.安裝并維護防火墻配置以保護持卡人數(shù)據(jù)。

要求 2.不要將供應(yīng)商提供的默認(rèn)值用于系統(tǒng)密碼和其他安全參數(shù)。

目標(biāo) 2：保護持卡人數(shù)據(jù)

要求 3.保護存儲的持卡人數(shù)據(jù)。

要求 4.加密跨開放公共網(wǎng)絡(luò)的持卡人數(shù)據(jù)傳輸。

目標(biāo) 3：維護漏洞管理計劃

要求 5.保護所有系統(tǒng)免受惡意軟件的侵害，并定期更新防病毒軟件或程序。

要求 6.開發(fā)和維護安全的系統(tǒng)和應(yīng)用程序。

目標(biāo) 4：實施強大的訪問控制措施

要求 7.限制業(yè)務(wù)需要知道的對持卡人數(shù)據(jù)的訪問。

要求 8.識別和驗證對系統(tǒng)組件的訪問。

要求 9.限制對持卡人數(shù)據(jù)的物理訪問。

目標(biāo) 5：定期監(jiān)控和測試網(wǎng)絡(luò)

要求 10.跟蹤和監(jiān)控對網(wǎng)絡(luò)資源和持卡人數(shù)據(jù)的所有訪問。

要求 11.定期測試安全系統(tǒng)和流程。

目標(biāo) 6：維護信息安全策略

要求 12.維護針對所有人員的信息安全問題的政策。

PCI 安全標(biāo)準(zhǔn)委員會要求每年對合規(guī)性進行驗證。商戶必須完成自我評估問卷 (SAQ)，如果他們處理大量交易，他們將接受合格安全評估員的現(xiàn)場審核。不遵守 PCI DSS 的組織將面臨每月 5,000 至 100,000 美元不等的罰款。

PCI DSS 合規(guī)級別

有四種不同級別的 PCI DSS 合規(guī)性要求，具體取決于：

• 商家處理的信用卡交易數(shù)量，
• 商家使用的支付處理媒介，以及
• 商戶的數(shù)據(jù)泄露狀態(tài)。

1級

涵蓋每年處理超過 600 萬筆信用卡交易（包括現(xiàn)實世界和電子商務(wù)交易）的商家，或任何最近經(jīng)歷過數(shù)據(jù)泄露的商家。

合規(guī)?要求：?

• 由合格的安全評估員 (QSA) 進行的年度審計
• 由經(jīng)批準(zhǔn)的掃描供應(yīng)商 (ASV) 執(zhí)行的季度網(wǎng)絡(luò)掃描
• 每年收到合規(guī)證明 (AoC) 和合規(guī)報告 (RoC)

2級

涵蓋每年處理 1 到 600 萬次信用卡交易的商家，包括現(xiàn)實世界和電子商務(wù)交易。

合規(guī)要求：

• 每年完成一份自我評估問卷 (SAQ)

• 由經(jīng)批準(zhǔn)的掃描供應(yīng)商 (ASV) 執(zhí)行的季度網(wǎng)絡(luò)掃描

3級

涵蓋每年處理 20,000 至 100 萬筆電子商務(wù)交易的商家。

合規(guī)要求：

• 每年完成一份自我評估問卷 (SAQ)

• 由經(jīng)批準(zhǔn)的掃描供應(yīng)商 (ASV) 執(zhí)行的季度網(wǎng)絡(luò)掃描

4級

涵蓋每年處理少于 20,000 和 100 萬筆電子商務(wù)交易或每年處理多達 100 萬筆實際交易的商家。

合規(guī)要求：

• 每年完成一份自我評估問卷 (SAQ)

• 由經(jīng)批準(zhǔn)的掃描供應(yīng)商 (ASV) 執(zhí)行的季度網(wǎng)絡(luò)掃描

第三方的 PCI DSS 要求是什么？

PCI 安全標(biāo)準(zhǔn)委員會的信息補充：第三方安全保證文件指出，實體可以將其信用卡業(yè)務(wù)外包給第三方服務(wù)提供商 (TPSP)，例如“代表實體存儲、處理或傳輸持卡人數(shù)據(jù)，或管理實體持卡人數(shù)據(jù)環(huán)境 (CDE) 的組件。”

常見的 TPSP 包括：

• 應(yīng)用程序托管
• 數(shù)據(jù)中心
• 支付網(wǎng)關(guān)提供商
• 云基礎(chǔ)設(shè)施
• 加密或令牌化服務(wù)
• 托管安全服務(wù)
• 支付處理器

CDE 組件包括：

• 路由器
• 防火墻
• 數(shù)據(jù)庫
• 物理安全
• 和/或服務(wù)器

雖然理事會承認(rèn)此類 TPSP“……可以成為實體持卡人數(shù)據(jù)環(huán)境的組成部分……影響實體的 PCI DSS 合規(guī)性……[和]持卡人數(shù)據(jù)環(huán)境的安全性”，但它強調(diào)實體“最終 [ly] ] 負(fù)責(zé)[le] 自己的 PCI DSS 合規(guī)性，[而不是] 免除……確保其持卡人數(shù)據(jù) (CHD) 和 CDE 安全的責(zé)任和義務(wù)。”

PCI SSC 在四個主要領(lǐng)域提供指導(dǎo)，以幫助實體實施符合 PCI DSS 標(biāo)準(zhǔn)安全要求的 TPRM 計劃。

1. 第三方服務(wù)商盡職調(diào)查

進行供應(yīng)商盡職調(diào)查，以確保根據(jù)其安全實踐審查和選擇潛在供應(yīng)商?。

2. 與 PCI DSS 要求的服務(wù)相關(guān)性

就 TPSP 將滿足哪些 PCI DSS 要求以及實體將滿足哪些要求達成相互協(xié)議，并了解實體最終對合規(guī)性負(fù)責(zé)。

3. 書面協(xié)議和政策和程序

創(chuàng)建書面協(xié)議，明確說明 TPSP 和實體就 PCI DSS 合規(guī)性要求達成的共同協(xié)議。

4. 監(jiān)控第三方服務(wù)提供商合規(guī)狀態(tài)

了解每個相關(guān) TPSP 的 PCI DSS 合規(guī)狀態(tài)，以確保實體本身保持合規(guī)。

PCI DSS 第三方風(fēng)險要求

PCI 數(shù)據(jù)安全標(biāo)準(zhǔn)包括一個簡明的供應(yīng)商風(fēng)險管理計劃，根據(jù)要求 12.8 進行細(xì)分，其中包含五個子要求和一個專門針對第三方服務(wù)提供商的附加要求。

要求 12.8

“制定并實施政策和程序，以管理共享持卡人數(shù)據(jù)或可能影響持卡人數(shù)據(jù)安全的服務(wù)提供商。”

政策和程序應(yīng)涵蓋以下子要求。

子要求 12.8.1

“維護服務(wù)提供商列表，包括對所提供服務(wù)的描述。”