組織必須制定有效的第三方風險管理 (TPRM) 計劃，以確保其供應商滿足網(wǎng)絡安全要求。否則，他們將承擔因客戶數(shù)據(jù)泄露而造成的財務和聲譽損害的風險。PCI DSS 標準涵蓋了第三方風險管理的各個方面，因為它適用于所有處理信用卡數(shù)據(jù)的組織，尤其是受到嚴格監(jiān)管的金融行業(yè)。避免巨額罰款和負面新聞頭條足以鼓勵 PCI 合規(guī)性。這些擔憂往往掩蓋了標準實施的實際好處，例如安全態(tài)勢成熟度和更有效的 TPRM 實踐。

什么是 PCI DSS？

支付卡行業(yè)數(shù)據(jù)安全標準 (PCI DSS)是一項國際信息安全標準，旨在保護信用卡數(shù)據(jù)和敏感的身份驗證數(shù)據(jù)并減少信用卡欺詐。該標準于 2004 年首次發(fā)布，調整了五個主要支付品牌——Visa、MasterCard、Discover、American Express 和 JCB 的數(shù)據(jù)安全控制。自 2006 年五個卡品牌成立其管理機構——支付卡行業(yè)安全標準委員會 (PCI SSC) 以來，PCI DSS 經歷了多次修訂。

PCI DSS 的最新版本是 v3.2.1，于 2018 年 5 月發(fā)布。自 2013 年以來最重大的變化將伴隨著PCI DSS 4.0 的預期發(fā)布，即 2022 年第一季度，這將解決數(shù)字化轉型和不斷擴大的攻擊面。

任何處理信用卡或借記卡數(shù)據(jù)的組織都必須符合 PCI 標準。此類組織包括：

• 收購方
• 處理器
• 商家
• 銀行
• 第三方服務提供商

PCI DSS 合規(guī)性要求是什么？

最新版本的 PCI DSS包含 12 項主要要求，分為六個更廣泛的目標。

目標 1：建立和維護安全的網(wǎng)絡和系統(tǒng)

要求 1.安裝并維護防火墻配置以保護持卡人數(shù)據(jù)。

要求 2.不要將供應商提供的默認值用于系統(tǒng)密碼和其他安全參數(shù)。

目標 2：保護持卡人數(shù)據(jù)

要求 3.保護存儲的持卡人數(shù)據(jù)。

要求 4.加密跨開放公共網(wǎng)絡的持卡人數(shù)據(jù)傳輸。

目標 3：維護漏洞管理計劃

要求 5.保護所有系統(tǒng)免受惡意軟件的侵害，并定期更新防病毒軟件或程序。

要求 6.開發(fā)和維護安全的系統(tǒng)和應用程序。

目標 4：實施強大的訪問控制措施

要求 7.限制業(yè)務需要知道的對持卡人數(shù)據(jù)的訪問。

要求 8.識別和驗證對系統(tǒng)組件的訪問。

要求 9.限制對持卡人數(shù)據(jù)的物理訪問。

目標 5：定期監(jiān)控和測試網(wǎng)絡

要求 10.跟蹤和監(jiān)控對網(wǎng)絡資源和持卡人數(shù)據(jù)的所有訪問。

要求 11.定期測試安全系統(tǒng)和流程。

目標 6：維護信息安全策略

要求 12.維護針對所有人員的信息安全問題的政策。

PCI 安全標準委員會要求每年對合規(guī)性進行驗證。商戶必須完成自我評估問卷 (SAQ)，如果他們處理大量交易，他們將接受合格安全評估員的現(xiàn)場審核。不遵守 PCI DSS 的組織將面臨每月 5,000 至 100,000 美元不等的罰款。

PCI DSS 合規(guī)級別

有四種不同級別的 PCI DSS 合規(guī)性要求，具體取決于：

• 商家處理的信用卡交易數(shù)量，
• 商家使用的支付處理媒介，以及
• 商戶的數(shù)據(jù)泄露狀態(tài)。

1級

涵蓋每年處理超過 600 萬筆信用卡交易（包括現(xiàn)實世界和電子商務交易）的商家，或任何最近經歷過數(shù)據(jù)泄露的商家。

合規(guī)?要求：?

• 由合格的安全評估員 (QSA) 進行的年度審計
• 由經批準的掃描供應商 (ASV) 執(zhí)行的季度網(wǎng)絡掃描
• 每年收到合規(guī)證明 (AoC) 和合規(guī)報告 (RoC)

2級

涵蓋每年處理 1 到 600 萬次信用卡交易的商家，包括現(xiàn)實世界和電子商務交易。

合規(guī)要求：

• 每年完成一份自我評估問卷 (SAQ)

• 由經批準的掃描供應商 (ASV) 執(zhí)行的季度網(wǎng)絡掃描

3級

涵蓋每年處理 20,000 至 100 萬筆電子商務交易的商家。

合規(guī)要求：

• 每年完成一份自我評估問卷 (SAQ)

• 由經批準的掃描供應商 (ASV) 執(zhí)行的季度網(wǎng)絡掃描

4級

涵蓋每年處理少于 20,000 和 100 萬筆電子商務交易或每年處理多達 100 萬筆實際交易的商家。

合規(guī)要求：

• 每年完成一份自我評估問卷 (SAQ)

• 由經批準的掃描供應商 (ASV) 執(zhí)行的季度網(wǎng)絡掃描

第三方的 PCI DSS 要求是什么？

PCI 安全標準委員會的信息補充：第三方安全保證文件指出，實體可以將其信用卡業(yè)務外包給第三方服務提供商 (TPSP)，例如“代表實體存儲、處理或傳輸持卡人數(shù)據(jù)，或管理實體持卡人數(shù)據(jù)環(huán)境 (CDE) 的組件?！?/p>

常見的 TPSP 包括：

• 應用程序托管
• 數(shù)據(jù)中心
• 支付網(wǎng)關提供商
• 云基礎設施
• 加密或令牌化服務
• 托管安全服務
• 支付處理器

CDE 組件包括：

• 路由器
• 防火墻
• 數(shù)據(jù)庫
• 物理安全
• 和/或服務器

雖然理事會承認此類 TPSP“……可以成為實體持卡人數(shù)據(jù)環(huán)境的組成部分……影響實體的 PCI DSS 合規(guī)性……[和]持卡人數(shù)據(jù)環(huán)境的安全性”，但它強調實體“最終 [ly] ] 負責[le] 自己的 PCI DSS 合規(guī)性，[而不是] 免除……確保其持卡人數(shù)據(jù) (CHD) 和 CDE 安全的責任和義務。”

PCI SSC 在四個主要領域提供指導，以幫助實體實施符合 PCI DSS 標準安全要求的 TPRM 計劃。

1. 第三方服務商盡職調查

進行供應商盡職調查，以確保根據(jù)其安全實踐審查和選擇潛在供應商?。

2. 與 PCI DSS 要求的服務相關性

就 TPSP 將滿足哪些 PCI DSS 要求以及實體將滿足哪些要求達成相互協(xié)議，并了解實體最終對合規(guī)性負責。

3. 書面協(xié)議和政策和程序

創(chuàng)建書面協(xié)議，明確說明 TPSP 和實體就 PCI DSS 合規(guī)性要求達成的共同協(xié)議。

4. 監(jiān)控第三方服務提供商合規(guī)狀態(tài)

了解每個相關 TPSP 的 PCI DSS 合規(guī)狀態(tài)，以確保實體本身保持合規(guī)。

PCI DSS 第三方風險要求

PCI 數(shù)據(jù)安全標準包括一個簡明的供應商風險管理計劃，根據(jù)要求 12.8 進行細分，其中包含五個子要求和一個專門針對第三方服務提供商的附加要求。

要求 12.8

“制定并實施政策和程序，以管理共享持卡人數(shù)據(jù)或可能影響持卡人數(shù)據(jù)安全的服務提供商。”

政策和程序應涵蓋以下子要求。

子要求 12.8.1

“維護服務提供商列表，包括對所提供服務的描述。”