LBMC是一家自豪的PCI合格安全评估公司,自PCI数据安全标准(PCI DSS). 明升体育app下载专业和经验丰富的质量保证师团队为所有主要行业的各种规模的商家和服务提供商进行了评估和咨询. 

QSA透视系列 这个由六部分组成的博客系列是在分享我们对理解的看法吗, 解释, PCI DSS的应用. 该系列的主题包括:

  • 持卡人数据环境
  • 连接/安全影响系统
  • 网络和数据流图
  • 服务提供商和嵌套第三方
  • 云审计——它真的有那么不同吗?
  • 云审计——AWS、Azure、客户端——谁负责什么?

本系列的目标是分享知识,并提供我们对遵从性基础的看法,以及如何应用这些基础来帮助实体实现和维护PCI DSS遵从性. 我们希望本系列文章能够对qsa如何解释PCI DSS和如何进行合规性评估提供有价值的见解.

持卡人资料环境

成功规划, 行为, 然后完成评估, 准确定义合规的范围是至关重要的. 在PCI术语中,这个作用域称为 持卡人资料环境. PCI安全标准委员会已经确定,定义持卡人数据环境是实体的责任, or CDE,使PCI控制要求得以正确应用和成功评估. 虽然概念简单, 对于寻求遵从性的实体和评估人员来说,准确地定义CDE通常是最大的挑战. 这就是为什么范围确认是在评估中执行的第一个活动之一. 没有正确定义的CDE, 评估的界限是无法确定的, 因此, 无法确信评估已包括所有相关的卡支付业务和组成部分. 不幸的是, 许多评估, 特别是对于寻求初始认证的实体, 由于没有正确定义CDE而受到负面影响.

那么,PCI DSS对于定义CDE有什么要说的呢? 很简单,它说"CDE是由人组成的, 存储的过程和技术, 过程, 或传输持卡人数据或敏感身份验证数据.虽然这句话很简单,但却给人留下了误解的余地. 持卡人资料,或 冠心病,由完整的主帐号组成,或 , 你信用卡正面或背面的16位字符串是哪一个, 持卡人的姓名, 截止日期, 和/或服务代码. 服务代码通常被编码到磁条中,不应与信用卡的安全代码混淆, 通常印在卡片背面的3位或4位代码是哪一个. 虽然所有这些值都被认为是冠心病, PCI DSS认为锅是“持卡人数据的定义因素”.如果没有完整的锅,那么其他因素就不被认为是冠心病. You read that right; even if 持卡人的姓名, 显示过期日期和/或服务代码, 如果不包括完整的锅, 那么你没有持卡人的数据. 相反, 如果完整的锅附有名称, 过期日期和/或服务代码, 那么根据PCI DSS,所有这些元素都被认为是安全的. 顺便说一下,你可能已经学会了这个词 完整的锅 在这些定义中. 如果不超过锅的前6位和后4位,则不认为是锅. 超过这个数就等同于完整的锅.

敏感认证数据,或 悲伤的 卡的安全相关信息是否包括完整的磁道数据(编码在磁条或芯片上), 卡安全码, 针, 和PIN块. 这些元素用于验证持卡人和/或授权支付卡交易.

从这些定义开始的要点是,它们是确定实体的PCI遵从范围的基本元素. 实体及其评估者必须识别持卡人数据的所有实例,以便能够定义和验证持卡人数据环境. 现在,回想一下PCI理事会也确定了CDE由 人员、流程和技术. 这意味着要考虑的范围不仅仅是计算机系统和网络, 还包括与冠心病互动的人以及流程和技术, 无论是手动还是自动, 这些人用它来方便信用卡支付和所有相关活动. 面试是定义CDE的基本练习, 观察他们的过程, 并在评估中包括每一个. 尽管实体在其CDE中可能有任意数量的人员和流程, 以下是一些常见的例子:

  • 客户服务代表
  • 零售商店助理
  • 会计部人员
  • 邮件收发室人员
  • IT系统管理员
  • 软件开发人员
  • 数据库管理员

以下是这些人(或他们管理的系统)可能执行的一些常见流程:

  • 客户服务代理通过电话付款
  • 零售收银员通过支付终端刷卡
  • 会计支持人员处理退款和退款
  • 收发室的工作人员正在扫描付款单
  • 安装销售点系统的系统管理员
  • 为网络支付创建api的软件开发人员
  • 数据库管理员查询支付数据表

最后,在这些过程中使用的技术可能包括:

  • ip语音电话系统
  • 通话录音软件
  • 销售点系统和外部支付终端
  • 基于云的软件即服务应用程序
  • 打印机和扫描仪
  • 各种服务器平台.g.、文件、数据库、主机等.
  • 网络交换机和路由器

现在, 你可能会想, “这些都是很好的信息, 但为我定义这个范围不是评估员的工作吗?“事实上是这样, PCI DSS明确地建立了确定CDE被准确定义的共享性质. 根据PCI DSS,

至少每年或在年度评估之前, 被评估实体应通过识别持卡人数据的所有位置和流动来确认其PCI DSS范围的准确性, 识别所有连接到或的系统, 如果妥协, 会影响CDE(例如, 身份验证服务器),以确保它们包含在PCI DSS范围内. 实体保留了显示如何确定PCI DSS范围的文档. 文件将保留,以供评估员审查和/或在下次年度PCI DSS范围确认活动中参考. 每次PCI DSS评估, 评估员需要确认评估的范围是准确定义和记录的.”

简而言之, 该实体负责识别CDE并确定其合规范围, 评估员的角色是验证实体所决定的内容. 在开始评估之前,双方共同达成准确定义的CDE.

PCI DSS范围中的常见错误

值得重复的是, 虽然概念简单, 准确定义CDE通常是最大的遵从性挑战. 下面是一些常见的错误实体, 甚至是评估员, 在定义和验证CDE和合规范围时所做的:

  • 省略非标准或支持过程(例如.g.(邮件收发室、会计).
  • 俯瞰存储硬拷贝持卡人数据的存储柜或场外记录设施等位置.
  • 不包括第三方参与接受付款或管理系统.
  • 假设加密数据超出范围(即使加密数据也是持卡人数据).
  • 使用不正确和/或不完整的网络和数据流程图来表示CDE.
  • 维护存储、处理或传输持卡人数据的所有系统的不完整清单.

结论

你可能还记得古老的数据处理格言, 垃圾进,垃圾出. 它也适用于为评估PCI遵从性而定义实体的CDE. 如果实体的CDE没有准确定义, 那么评估的结果就不准确了. 实体及其评估人员有责任了解哪些资格和持卡人数据,然后仔细和系统地识别所有人, 流程, 以及支付过程中涉及的技术. 在本系列的下一篇文章中, 我们将考虑PCI DSS范围标准的另一个元素:连接和安全影响系统.

友情链接: 1 2 3 4 5 6 7 8 9 10