支付卡行业（PCI）数据安全标准-PCISecurityStandardsCouncil.PDFVIP

支付卡行业（PCI） 数据安全标准 安全扫描程序 版本：V1.1 发布时间：2006年9月 目录 目的1 前言1 PCI安全扫描的范围1 扫描程序1 合规性报告3 阅读和解读报告3 第 5 级4 第 4 级4 第 3 级4 第 2 级4 第 1 级4 目的 本文件旨在向需要进行支付卡行业（PCI）安全扫描、验证是否符合PCI数据安 全标准（DSS）的商家和服务提供商说明支付卡行业（PCI）安全扫描的目的和 范围。授权扫描服务商（ASV）也使用本文件帮助商家和服务提供商确定PCI 安全扫描的范围。 前言 支付卡行业数据安全标准（PCI DSS）详细讲述了对存储、处理或传输持 卡人数据的商家和服务提供商的安全要求。为证实其符合PCIDSS标准，商家 和服务提供商可能会应每一个支付卡公司所确定的要求而定期进行PCI安全 扫描。 PCI安全扫描即由一家授权扫描服务商（ASV）经由互联网进行的扫描。PCI安 全扫描是一个不可或缺的工具，应与弱点管理程序结合使用。扫描有助于确 定包含对外IP地址的网站、应用程序和IT基础设施中的弱点和误配置。 扫描结果提供了有价值的信息，可以支持有效的补丁管理和其它安全措施， 以加强保护，防止受到互联网攻击。 PCI安全扫描适用于所有拥有对外IP地址的商家和服务提供商。既便某个实体 没有提供网络交易，也会有其它服务使系统连接到互联网上。电子邮件和员 工上网等基本功能就会导致公司网络涉及到互联网。这些表面看来无关紧要 的互联网的进出路径，如果没有得到正确的控制，就会向外界提供未受保护的 途径，使其得以访问到商家和服务提供商的系统，由此可能会泄露持卡人 数据。 PCI安全扫描的范围 PCI要求对所有对外IP地址进行弱点扫描。如果发现使用的IP地址并不是客 户原始提供的IP，ASV必须向客户咨询，以确定这些地址是否在扫描范围之 内。在一些情况下，公司可能有很多IP地址，但是仅使用一小部分受理和 处理支付卡。在这些情况下，扫描服务商能够帮助商家和服务提供商确定 要求符合PCI数据安全标准的适当的扫描范围。一般来说，可以使用以下 分割方法来减小PCI安全扫描的范围。 • 在处理持卡人数据的区段和其它区段之间进行物理分割 • 在区段或处理持卡人数据的网络与其它的网络或区段之间禁止流量