支付卡產業資料安全標準 (PCI DSS) - V4 合規報告

這份報告顯示在您的網站上找到的 PCI 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全,並可能會被視為違反法規。

重要性

PCI 資料安全標準提供單一的防護方式,來保護各家卡片的機密資料。這個標準是 Visa 和 MasterCard 的合作結果,它是專為了建立一般產業安全需求而設計。美國的其他卡片公司(如 American Express®、Discover、JCB 和 Diners 等)也在各自的方案中,為「PCI 資料安全標準」背書。PCI 用來保護在任何地方的持卡人資料,以及確保成員、特約商家和服務提供者都夠維護高的資訊安全標準。

PCI DSS 漏洞

ID 名稱
要求2 將安全性配置應用於所有系統組件。
要求2.2.2 如果將使用供應商預設帳戶,則根據要求 8.3.6 變更預設密碼。如果不使用供應商預設帳戶,則該帳戶將被刪除或停用。
要求2.2.4 僅啟用必要的服務、協定、守護程序和功能,並刪除或停用所有不必要的功能。
要求2.2.6 配置系統安全參數以防止誤操作。
要求4 在開放的公共網路上傳輸期間,使用強大的加密技術保護持卡人資料。
要求5 保護所有系統和網路免受惡意軟體的侵害。
要求6 開發和維護安全系統和應用程式。
要求6.2.1 客製化和客製化軟體是安全開發的。
要求 6.2.4.1 軟體開發人員定義並使用軟體工程技術或其他方法來防止或減輕客製化和自訂軟體中的常見軟體攻擊和相關漏洞,包括但不限於注入攻擊,包括 SQL、LDAP、XPath 或其他命令,參數、對象、故障或註入型缺陷。
要求 6.2.4.2 軟體開發人員定義並使用軟體工程技術或其他方法來防止或減輕客製化和自訂軟體中的常見軟體攻擊和相關漏洞,包括但不限於對資料和資料結構的攻擊,包括嘗試操縱緩衝區、指標、輸入資料或共享資料。
要求 6.2.4.3 軟體開發人員定義並使用軟體工程技術或其他方法來防止或減輕客製化和客製化軟體中的常見軟體攻擊和相關漏洞,包括但不限於對加密使用的攻擊,包括嘗試利用弱、不安全或不適當的加密實作、演算法、密碼套件或操作模式。
要求 6.2.4.4 軟體開發人員定義並使用軟體工程技術或其他方法來防止或減輕客製化和自訂軟體中的常見軟體攻擊和相關漏洞,包括但不限於對業務邏輯的攻擊,包括嘗試濫用或繞過應用程式功能和透過操縱API、通訊協定和通道、客戶端功能或其他系統/應用程式功能和資源來實現功能。這包括跨站點腳本(XSS)和跨站點請求偽造(CSRF)。
要求 6.2.4.5 軟體開發人員定義並使用軟體工程技術或其他方法來防止或減輕客製化和客製化軟體中的常見軟體攻擊和相關漏洞,包括但不限於對存取控制機制的攻擊,包括嘗試繞過或濫用身分識別,身份驗證或授權機制,或嘗試利用此類機制實施中的弱點。
要求 6.3 識別並解決安全漏洞。
要求6.3.3 透過安裝適用的安全性修補程式/更新,所有系統組件都可以免受已知漏洞的影響。
要求 6.4 面向公眾的 Web 應用程式受到保護,免受攻擊。
要求 6.5.6 在系統投入生產之前,測試資料和測試帳戶將從系統元件中刪除。
要求7 根據業務需求限制對系統組件和持卡人資料的存取。
要求 7.1 將系統組件和持卡人資料的存取權限限制為只有工作需要此類存取權限的人員才能存取。
要求7.2.2 存取權限是根據以下條件分配給使用者(包括特權使用者)的: 工作分類和職能以及履行工作職責所需的最低權限。
要求7.2.6 所有使用者對儲存的持卡人資料的查詢儲存庫的存取都受到以下限制:透過應用程式或其他程式設計方法,根據使用者角色和最低權限進行存取和允許的操作。只有負責的管理員才能直接存取或查詢儲存的 CHD 的儲存庫。
要求8.2.8 如果使用者會話空閒時間超過15分鐘,則需要使用者重新認證才能重新啟動終端或會話。
要求8.3.1 使用者和管理員對系統元件的所有存取都至少透過以下身份驗證因素之一進行身份驗證: 您知道的信息,例如密碼或口令。您擁有的東西,例如令牌設備或智慧卡。你是什​​麼,例如生物識別元素。
要求8.3.2 強大的加密技術用於使所有身份驗證因素在所有系統組件上的傳輸和預存程序中不可讀。
要求 8.6.2 可用於互動式登入的任何應用程式和系統帳戶的密碼/口令都不會硬編碼在腳本、配置/屬性檔案或自訂和自訂原始程式碼中。
要求 11.4 定期進行外部和內部滲透測試,並修正可利用的漏洞和安全弱點。