第三章 支付卡行业(PCI)数据安全v1-1.pdf

支付卡行业（PCI）数据安全 标准 _____________________________ 版本：V1.1 发布时间：2006 年 9 月 建立并维护安全的网络 要求1: 安装并且维护防火墙以保护持卡人信息 要求2: 避免使用供应商提供的默认系统口令和其他安全参数 保护持卡人数据 要求3: 保护存储的持卡人数据 要求4: 加密开放/公共网络上的持卡人数据传输. 维护一个弱点管理程序 要求5: 使用定期升级的防病毒软件或计算机程序 要求 6: 开发并维护安全的系统和应用 实施强有力的安全访问控制措施 要求 7: 根据业务需要限制对持卡人数据的访问 要求 8: 为每一个具有计算机访问权限的用户分配唯一的ID 要求 9: 限制对于持卡人数据的物理访问 定期监视并测试网络 要求 10: 追踪并监控对网络资源和持卡人数据的所有访问 要求 11: 定期测试安全系统和流程 维护一个信息安全策略 要求 12: 维护一个信息安全策略 2 支付卡行业（PCI）数据安全标准 v.1.1 前言 本文描述了支付卡行业（PCI）数据安全标准（DSS）的12项要求。这些要求被分为6组， 每组要求都是为了实现某个控制目标。 下表阐明了通常会使用到的持卡人数据和敏感认证数据、它们是否允许被保存以及各数据元 素是否必须受保护。本表格没有列举出所有的数据元素，只阐明了应用于各类数据元 素的不同类型的要求。 支付卡行业数据安全标准（以下简称“PCI DSS”）的要求是否适用，取决于主账号 （Primary Account Number，以下简称“PAN”）是否被存储、处理或者传输。如果答案 为否，那么PCI DSS要求不适用。 数据元素 存储许可 保护要求 PCI DSS 要求 3.4