附录a对共用托管提供商的其他pcidss要求-pcisecurity.doc

支付卡行業 (PCI) 資料安全標準自我評估問卷 D 和合規證明 其他所有符合 SAQ 資格的商戶和服務提供商 2.0 版2010 年 10 月文件變更記錄日期版本描述2008 年 10 月 1 日1.2 版根據新的 PCI DSS v1.2 調整相關內容，並實施自原始 v1.1 以來所註明的次要變更。 2010 年 10 月 28 日 2.0 版根據新的 PCI DSS v2.0 要求與測試程序調整相關內容。 目錄 文件變更記錄 i PCI 資料安全標準：相關文件 iii 開始之前 iv 完成自我評估問卷 iv PCI DSS 合規 – 完成步驟 iv 關於某些特定要求不適用性的指南 v 合規證明，SAQ D—商戶版 1 合規證明，SAQ D—服務提供商版 1 自我評估問卷 D 1 建立並維護安全網路 1 要求 1：安裝並維護防火牆設定，以保護資料 1 要求 2：對於系統密碼及其他安全參數，請勿使用供應商提供的預設值 4 保護持卡人資料 6 要求 3：保護儲存的持卡人資料 6 要求 4：加密透過開放的公用網路傳輸的持卡人資料 10 維護漏洞管理程式 11 要求 5：使用並定期更新防毒軟體或程式 11 要求 6：開發並維護安全系統和應用程式 11 實施嚴格的存取控制措施 15 要求 7：限制為只有業務需要知道的人才能存取持卡人資料 15 要求 8：為具有電腦存取權的每個人指定唯一的 ID 16 要求 9：限制對持卡人資料的實際存取 19 定期監控並測試網路 22 要求 10：追蹤並監控對網路資源及持卡人資料的所有存取 22 要求 11：定期測試安全系統和程序 23 維護資訊安全政策 27 要求 12：維護確保適用於所有員工的資訊安全政策 27 附錄 A： 對共用託管提供商的其他 PCI DSS 要求 31 要求 A.1：共用託管提供商必須保護持卡人資料環境 31 附錄 B： 補償性控制 33 附錄 C： 補償性控制工作表 34 補償性控制工作表 – 完成的範例 35 附錄 D： 不適用性解釋 36  PCI 資料安全標準：相關文件 以下文件旨在協助商戶和服務提供商理解 PCI 資料安全標準 (PCI DSS) 和 PCI DSS SAQ。 文件 適用對象PCI 資料安全標準： 要求和安全評估程序 所有商戶和服務提供商 導覽 PCI DSS： 理解資料安全要求的目的 所有商戶和服務提供商 PCI 資料安全標準： 自我評估問卷說明和指南 所有商戶和服務提供商 PCI 資料安全標準： 自我評估問卷 A 和證明 符合資格的商戶1 PCI 資料安全標準： 自我評估問卷 B 和證明 符合資格的商戶1 PCI 資料安全標準： 自我評估問卷 C-VT 和證明 符合資格的商戶1 PCI 資料安全標準： 自我評估問卷 C 和證明 符合資格的商戶1 PCI 資料安全標準： 自我評估問卷 D 和證明 符合資格的商戶和服務提供商 PCI 資料安全標準與支付應用程式資料安全標準： 術語、縮寫和首字縮寫 所有商戶和服務提供商 開始之前 完成自我評估問卷 SAQ D 適用於所有符合 SAQ 資格條件的服務提供商，以及所有不符合 SAQ A-C 類型的商戶。各驗證類型的簡要描述見下表，完整描述見《PCI DSS 自我評估問卷說明和指南》。 SAQ 描述A 不出示實卡 (電子商務或郵購/電話訂購) 的商戶，所有持卡人資料處理事宜均外包。這永不適用於面對面交易的商戶。 B 未儲存電子格式的持卡人資料的刷卡機商戶或者未儲存電子格式持卡人資料的獨立撥出終端機商戶 C-VT 僅使用基於 Web 的虛擬終端機而不儲存電子格式持卡人資料的商戶 C 擁有連接到網際網路的支付應用程式系統而不儲存電子格式持卡人資料的商戶 D 所有其他商戶 (不包括在上述 SAQ A-C 的描述中)，以及所有 由支付品牌定義為符合完成 SAQ 資格條件的服務提供商 。 SAQ D 適用於未達到上述 SAQ A-C 以及符合 SAQ 之支付品牌定義之所有服務提供商標準，但符合 SAQ 的商戶。SAQ D 服務提供商和商戶必須完成 SAQ D 和相關的合規證明，確認以下事項，以便驗證其合規性。 雖然許多完成 SAQ D 的組織需要驗證是否符合各項 PCI DSS 要求的規定，但是對於一些業務模式非常特殊的組織來說，某些要求可能不適用。例如，如果某公司在任何情況下均不會使用無線技術，則對於 PCI DSS 中針對無線技術管理的部分，該公司不需要驗證其合規性。請參閱下述指南，瞭解有關無線技術及某些其他特定要求排除事項的資訊。 本問卷的每個部分均根據 PCI DSS 中的要求，關注某個特定的安全領域。 PCI DSS 合規 – 完成步驟