(pci)数据安全标准自我评估调查问卷p2pe和遵从性证.docxVIP

PCI DSS 3.2 版 SAQ P2PE，修订版 1.0 2016 年 4 月? 2006-2016 PCI 安全标准委员会版权所有。保留所有权利。 第 PAGE i 页 支付卡行业 (PCI)数据安全标准自我评估调查问卷 P2PE 和遵从性证明书 仅限使用 PCI SSC 列出的 P2PE 解决方案中的支付终端硬件的商户 – 无电子持卡人数据存储 适用于 PCI DSS 3.2 版 2016 年 4 月 文档变更记录 日期 PCI DSS 版本 SAQ 修订版 描述 N/A 1.0 未使用。 2012 年 5 月 2.0 针对仅使用 PCI SSC 清单上经认证的 P2PE 解决方案中的终端硬件的商户制定 SAQ P2PE-HW。 本 SAQ 与 PCI DSS 2.0 版搭配使用。 2014 年 2 月 3.0 根据 PCI DSS 3.0 版要求与测试程序调整内容并纳入了其他应对方案。 2015 年 4 月 3.1 更新以符合 PCI DSS 3.1 版。有关 PCI DSS 变更的详细信息，请参阅“PCI DSS – PCI DSS 3.0 版到 3.1 版的变更汇总”。 从 SAQ 标题中移除了“HW”，因为使用 HW/HW 或 HW/混合 P2PE 解决方案的商户可能会使用。 2015 年 7 月 3.1 1.1 更新以在 2015 年 6 月 30 日前将参考部分移至“最优方法”。 2016 年 4 月 3.2 1.0 更新以符合 PCI DSS 3.2 版。有关 PCI DSS 变更的详细信息，请参阅“PCI DSS – PCI DSS 3.1 版到 3.2 版的变更汇总”。 PCI DSS 3.2 版 SAQ P2PE，修订版 1.0 2016 年 4 月 ? 2006-2016 PCI 安全标准委员会版权所有。保留所有权利。 第 PAGE v 页 目录 TOC \o 1-3 \h \z 文档变更记录 i 开始之前 iii SAQ P2PE 的商户适用条件 iii PCI DSS 自我评估实施步骤 iii 了解自我评估调查问卷 iii 预期测试 iv 完成自我评估调查问卷 v 某些特定要求的不适用性指南 v 法律规定的例外情况 v 第 1 节：评估信息 1 第 2 节：自我评估调查问卷 P2PE 4 保护持卡人数据 4 要求 3：保护存储的持卡人数据 4 实施强效访问控制措施 6 要求 9：限制对持卡人数据的物理访问 6 维护信息安全政策 9 要求 12：维护针对所有工作人员的信息安全政策 9 附录 A：PCI DSS 附加要求 11 附录 A1： 针对共享托管服务提供商的 PCI DSS 附加要求 11 附录 A2： 针对使用 SSL/早期 TLS 的实体的 PCI DSS 附加要求 11 附录 A3： 指定实体补充认证 (DESV) 11 附录 B：补偿性控制工作表 12 附录 C：不适用性说明 13 第 3 节：认证和证明书详情 14 TOC \o 1-3 \h \z \u 开始之前 SAQ P2PE 的商户适用条件 SAQ P2PE 用于解决适用于仅通过 PCI 清单上列出的经认证点对点加密 (P2PE) 解决方案中的支付终端硬件处理持卡人数据的商户的要求。 SAQ P2PE 商户无法通过任何计算机系统访问持卡人数据明文，且仅能通过 PCI SSC 认证 P2PE 解决方案中的支付终端硬件访问帐户数据。SAQ P2PE 商户可以是实体（实卡交易）商户，也可以是邮件/电话订购（非实卡交易）商户。例如，如果一家邮件/电话订购商户通过纸质媒介或电话接收持卡人数据，且仅将其直接嵌入经认证的 P2PE 硬件设备，则该商户符合 SAQ P2PE 的适用条件。 SAQ P2PE 商户确认，对于此支付渠道： 所有支付处理均通过经 PCI SSC 批准和列出的经认证 PCI P2PE 解决方案完成； 商户环境中用于存储、处理或传输帐户数据的系统均为获批与 PCI 清单认证 P2PE 解决方案搭配使用的交互点 (POI) 设备； 您的公司未以其他形式的电子方式接收或传输持卡人数据。 未在该环境中保留存储的电子持卡人数据； 如果您所在公司存储持卡人数据，则此类数据仅包含在纸质报告或纸质收据副本中且未以电子方式接收，以及 您所在公司已实施相应 P2PE 解决方案提供商提供的 P2PE 说明手册 (PIM) 中的所有控制。 此 SAQ 不适用于电子商务渠道。 本简要版 SAQ 包含适用于符合上述适用条件的特定类型小型商户环境的问题。如果某些适用于您所在环