支付卡行業數據安全標準 (PCI DSS) - V4.0.1 合規報告
支付卡行業數據安全標準 (PCI DSS) 合規報告幫助您評估您的應用程序安全性,以符合旨在保護持卡人賬戶數據的要求。
關於 PCI DSS V4.0.1
支付卡行業數據安全標準 (PCI DSS) 的制定是為了鼓勵和加強持卡人數據安全,並促進全球範圍內一致的數據安全措施的廣泛採用。PCI DSS 提供了旨在保護賬戶數據的技術和操作要求的基線。
PCI DSS 包含保護持卡人數據的最低要求集,並可以通過額外的控制和實踐來進一步減輕風險,以及當地、區域和行業法律法規。此外,法律或監管要求可能需要對個人信息或其他數據元素(例如,持卡人姓名)進行特定保護。PCI DSS 不會取代當地或區域法律、政府法規或其他法律要求。
PCI DSS 安全要求適用於所有包含在持卡人數據環境 (CDE) 中或與之相連的系統組件。CDE 由存儲、處理或傳輸持卡人數據或敏感身份驗證數據的人員、流程和技術組成。
"系統組件" 包括網絡設備、伺服器、計算設備和應用程式。系統組件的例子包括但不限於以下內容:
- 提供安全服務的系統(例如,<uicontrol>身份驗證伺服器</uicontrol>),促進分段的系統(例如,<uicontrol>內部防火牆</uicontrol>),或可能影響 CDE 安全性的系統(例如,<uicontrol>名稱解析</uicontrol> 或 <uicontrol>網頁重定向伺服器</uicontrol>)。
- 虛擬化組件如虛擬機、虛擬交換機/路由器、虛擬設備、虛擬應用程式/桌面和虛擬機管理程式。
- 網絡組件包括但不限於防火牆、交換機、路由器、無線接入點、網絡設備和其他安全設備。
- 伺服器類型包括但不限於網頁、應用程式、數據庫、身份驗證、郵件、代理、<uicontrol>網絡時間協議 (NTP)</uicontrol> 和 <uicontrol>域名系統 (DNS)</uicontrol>。
- 應用程式包括所有購買和自定義的應用程式,包括內部和外部(例如,互聯網)應用程式。
- 任何位於或連接到 CDE 的其他組件或設備。
覆蓋實體
<uicontrol>PCI DSS</uicontrol> 適用於所有參與支付卡處理的實體——包括商家、處理器、收單行、發卡行和服務提供商,以及所有其他存儲、處理或傳輸持卡人數據(<uicontrol>CHD</uicontrol>)和/或敏感身份驗證數據(<uicontrol>SAD</uicontrol>)的實體。
PCI DSS 要求適用於儲存、處理或傳輸帳戶數據(持卡人數據和/或敏感身份驗證數據)的組織和環境。某些 PCI DSS 要求可能也適用於已將其支付操作或 CDE 管理外包的組織。此外,將其 CDE 或支付操作外包給第三方的組織有責任確保第三方根據適用的 PCI DSS 要求保護帳戶數據。
合規處罰
如果商家或服務提供商不遵守安全要求或未能糾正安全問題,卡公司可能會對收單會員處以罰款,或對商家或其代理施加限制。
合規要求
PCI DSS 版本 4.0.1 已取代 PCI DSS 版本 4.0,並自 2025 年 1 月 1 日起生效。PCI DSS 版本 4.0 在 2024 年 12 月 31 日之後不能用於 PCI DSS 合規。
監管機構
PCI 安全標準委員會及其創始成員,包括 American Express、Discover Financial Services、JCB、MasterCard Worldwide 和 Visa International。
PCI DSS V4.0.1 報告漏洞
下表列出了評估的特定 PCI DSS V4.0.1 要求。在您的應用程序中發現的漏洞會映射到這些要求。
| ID | 名稱 |
|---|---|
| 要求 2 | 對所有系統組件應用安全配置 |
| 要求 2.2.2 | 如果將使用供應商的預設帳戶,則根據要求8.3.6更改預設密碼。如果不使用供應商的預設帳戶,則刪除或停用該帳戶。 |
| 要求2.2.4 | 僅啟用必要的服務、協議、守護程序和功能,並刪除或停用所有不必要的功能。 |
| 要求2.2.6 | 系統安全參數配置為防止濫用。 |
| 要求4 | 在開放的公共網絡上傳輸時,使用強加密保護持卡人數據 |
| 要求5 | 保護所有系統和網絡免受惡意軟件的侵害 |
| 要求6 | 開發和維護安全的系統和應用程序。 |
| 要求6.2.1 | 定制和自製軟件安全開發 |
| 要求6.2.4.1 | 軟件開發人員定義並使用軟件工程技術或其他方法,以防止或減輕定制和自製軟件中的常見軟件攻擊和相關漏洞,包括但不限於注入攻擊,包括SQL、LDAP、XPath或其他命令、參數、對象、故障或注入類型的缺陷。 |
| 要求6.2.4.2 | 軟件開發人員定義並使用軟件工程技術或其他方法,以防止或減輕定制和自製軟件中的常見軟件攻擊和相關漏洞,包括但不限於對數據和數據結構的攻擊,包括試圖操縱緩衝區、指針、輸入數據或共享數據。 |
| Requirement 6.2.4.3 | 軟體工程技術或其他方法已由軟體開發人員定義並使用,以防止或減輕在定制和專用軟體中常見的軟體攻擊和相關漏洞,包括但不限於對加密使用的攻擊,包括試圖利用弱、不安全或不適當的加密實現、算法、密碼套件或操作模式。 |
| Requirement 6.2.4.4 | 軟體工程技術或其他方法已由軟體開發人員定義並使用,以防止或減輕在定制和專用軟體中常見的軟體攻擊和相關漏洞,包括但不限於對業務邏輯的攻擊,包括試圖通過操縱API、通信協議和通道、客戶端功能或其他系統/應用功能和資源來濫用或繞過應用功能和功能。這包括跨站腳本(XSS)和跨站請求偽造(CSRF)。 |
| Requirement 6.2.4.5 | 軟體工程技術或其他方法由軟體開發人員定義並使用,以防止或減輕定制和客製化軟體中的常見軟體攻擊和相關漏洞,包括但不限於對存取控制機制的攻擊,包括試圖繞過或濫用識別、驗證或授權機制,或試圖利用此類機制實施中的弱點。 |
| 需求 6.3 | 安全漏洞被識別和解決 |
| 需求 6.3.2 | 維護定制和客製化軟體以及整合到定制和客製化軟體中的第三方軟體組件的清單,以促進漏洞和補丁管理。 |
| 需求 6.3.3 | 通過安裝適用的安全補丁/更新來保護所有系統組件免受已知漏洞的影響。 |
| 需求 6.4 | 面向公眾的網頁應用程式受到攻擊保護。 |
| 需求 6.5.6 | 在系統投入生產之前,從系統組件中移除測試數據和測試帳戶。 |
| 需求 7 | 根據業務需要限制對系統組件和持卡人數據的訪問。 |
| 需求 7.1 | 僅限於工作需要訪問系統組件和持卡人數據的個人。 |
| 需求 7.2.2 | 根據:工作分類和職能以及執行工作職責所需的最低權限,分配給用戶,包括特權用戶。 |
| 需求 7.2.6 | 所有用戶對存儲持卡人數據的查詢庫的訪問限制如下:通過應用程序或其他編程方法,根據用戶角色和最低特權進行訪問和允許的操作。只有負責的管理員可以直接訪問或查詢存儲的CHD庫。 |
| 要求 8.2.8 | 如果用戶會話閒置超過15分鐘,用戶需要重新驗證以重新激活終端或會話。 |
| 要求 8.3.1 | 所有用戶和管理員對系統組件的訪問都通過以下至少一種身份驗證因素進行身份驗證:您知道的東西,例如密碼或密碼短語。您擁有的東西,例如令牌設備或智能卡。您是的東西,例如生物識別元素 |
| 要求 8.3.2 | 在傳輸和存儲在所有系統組件上時,使用強加密技術使所有身份驗證因素不可讀。 |
| 要求 8.6.2 | 任何應用程序和系統帳戶的密碼/密碼短語不能在腳本、配置/屬性文件或定制和自定義源代碼中硬編碼。 |
| 要求 11.4 | 定期進行外部和內部滲透測試,並糾正可利用的漏洞和安全弱點。 |