PCI-DSS成功指南！.pdf

PCI DSS 成功指南 PCI DSS 成功指南 目前主要的信用卡公司已经进行了委托，所有的会员、商家和服务提供商存储、处理 以及传输持卡人数据都必须遵守支付卡行业（Payment Card Industry，PCI）的“十二诫 律”——12 条最佳做法组成的指南。另外，到 2007 年 9 月30 日，所有的二级企业——每 年处理 15 万 Visa 或者 MasterCard 交易的商家或者每年交易量超过一百万的商家——必 须遵守这些标准。不幸的是，由于资金数量、时间和精力的要求，遵守 PCI DSS的难度非 常高。本指南将介绍难度较大的 PCI DSS 的要求，并提供一些帮助企业遵守 PCI DSS 规定 的技巧。 PCI 最难五条规则 PCI DSS 的所有要求的说明都相当明确，不像萨班斯法案（SOX）的规定。SOX 没有提 供如何保护信息资产的任何详细指导，而且可以由企业和法规审计单位自由做出不同的解 释。然而，企业仍然觉得遵守 PCI DSS 很难 PCI 最难五条规则指导 PCI DSS 规则详解 尽管 PCI DSS 非常全面，这些要求中还是有写可能出错的地方；任何一条不能满足都 表示企业不能遵守法规。另外，即使 PCI DSS提供了详细的要求，它还是会被不同类型的 企业以不同的方式解读。本部分将介绍不易遵守的 PCI DSS 要求，分析为什么有的企业中 会产生问题，并讨论解决这些困难可以采取的措施。 PCI DSS 成功策略：第三条规则 PCI DSS 成功策略：第十一条规则 PCI DSS 成功策略：第八条规则 TT 安全技术专题之“主题名称” Page 2 of 14 PCI DSS 成功策略：第十条规则 PCI DSS 成功策略：第一条规则 PCI DSS 成功策略之总结 PCI 的设计是为了从开始接收到生命周期的终结保护信用卡数据。这道门槛对于互联 网业务的工具来说很高，这些公司都非常依赖信用卡来处理产品和服务的销售。只要一次 安全泄漏就会造成业务底线以及声誉的重大伤害，而这种伤害可能是永久性的。理解“十 二戒律”中的那些是最困难的可以帮助企业避免在错误的思想或技术的实施上浪费时间、 资金和精力。 PCI DSS 成功策略之总结：降低风险的挑战 TT 安全技术专题之“主题名称” Page 3 of 14 PCI 最难五条规则指导 大家都知道，目前主要的信用卡公司已经进行了委托，所有的会员、商家和服务提供 商存储、处理以及传输持卡人数据都必须遵守支付卡行业（Payment Card Industry， PCI）的“十二诫律”——12 条最佳做法组成的指南——或者可能的风险处罚，甚至是信 用卡权限的终止。另外，到 2007年 9 月 30 日，所有的二级企业——每年处理 15 万 Visa 或者 MasterCard 交易的商家或者每年交易量超过一百万的商家——必须遵守这些标准。 不幸的是，由于资金数量、时间和精力的要求，遵守 PCI DSS 的难度非常高。 这一系列指南将介绍难度较大的 PCI DSS 的要求，并提供一些帮助企业遵守 PCI DSS 规定的技巧。 PCI DSS：企业的难点在哪里？ PCI DSS 的所有要求的说明都好像相当明确，不像萨班斯法案（SOX）的规定。SOX 没 有提供如何保护信息资产的任何详细指导，而且可以由企业和法规审计单位自由做出不同 的解释。然而，企业仍然觉