LBMC是一家自豪的PCI合格安全评估公司,自PCI数据安全标准(PCI DSS). 明升体育app下载团队由技术娴熟、经验丰富的qa组成,为所有主要行业的各种规模的商户和服务提供商进行评估和咨询. 

QSA视角系列 这个六部分的系列博客是在分享我们对理解的看法吗, 解释, 应用PCI DSS. 本系列的主题包括:

  • 持卡人数据环境
  • 连接到/安全影响系统
  • 网络和数据流程图
  • 服务提供者和嵌套的第三方
  • 云审计——真的有那么不同吗?
  • 云审计- AWS, Azure,客户端-谁负责什么?

本系列的目标是分享知识,并提供我们对合规基础的看法,以及如何将这些基础应用于帮助实体实现和维护PCI DSS合规. 我们希望本系列文章能够为qa如何解释PCI DSS和方法合规性评估提供有价值的见解.

持卡人数据环境

成功的计划, 行为, 完成评估, 准确定义合规范围是非常重要的. 这个范围,在PCI术语中,称为 持卡人数据环境.  PCI安全标准委员会已经确定,定义其持卡人数据环境是实体的责任, or CDE,以便正确应用和成功评估PCI控制要求. 虽然概念简单, 准确定义CDE通常是寻求合规性的实体和评估人员面临的最大挑战. 这就是为什么范围验证是在评估中首先进行的活动之一. 没有正确定义的CDE, 评估的界限无法确定, 因此, 不能确定评估是否包括所有相关的银行卡支付操作和组件. 不幸的是, 许多评估, 特别是对于寻求初始认证的实体, 会因为CDE没有被正确定义而受到负面影响吗.

那么,PCI DSS对于定义CDE有什么要说的? 很简单,它说"CDE是由人组成的, 存储的过程和技术, 过程, 或传输持卡人数据或敏感的身份验证数据.虽然这是一个简单的声明,但它仍然留下了误解的空间. 持卡人数据,或者 冠心病,由完整的主要帐户号码组成,或 , 哪一个是在您的信用卡的正面或背面找到的16位字符串, 持卡人的名字, 截止日期, 和/或服务的代码. 服务代码一般编码在磁条上,不应与卡的安全代码混淆, 哪一个是经常印在卡片背面的3位或4位代码. 而所有这些值都被认为是冠心病, PCI DSS认为锅是“持卡人数据的定义因素”.“如果没有完整的锅,那么其他元素就不被认为是冠心病. You read that right; even if 持卡人的名字, 存在过期日期和/或服务代码, 如果没有包含完整的锅, 那么您就没有持卡人数据了. 相反, 如果完整的锅附有名称, 截止日期和/或服务代码, 那么所有这些元素都被认为是冠心病,按照PCI DSS进行保护. 顺便说一下,你可能已经知道这个词了 完整的锅 在这些定义. 如果不超过锅的前6位和后4位,则不被认为是锅. 超过这个值就被认为等同于整个锅.

认证敏感数据 悲伤的 卡的安全相关信息是否包括全磁道数据(编码在磁条或芯片上), 信用卡安全代码, 针, 和销块. 这些元素用于验证持卡人和/或授权支付卡交易.

从这些定义开始的要点是,它们是确定实体的PCI遵从性范围的基本元素. 实体及其评估人员必须识别持卡人数据的所有实例,以便能够定义和验证持卡人数据环境. 现在,回想一下,PCI委员会也确定了CDE是由 人、流程和技术. 这意味着在范围内不仅仅要考虑计算机系统和网络, 也包括那些与冠心病有关的人以及相关的流程和技术, 无论是手动还是自动, 这些人用来方便信用卡支付和所有相关活动. 这是定义CDE来采访人们的必要练习, 观察他们的流程, 并将其纳入评估中. 尽管一个实体在其CDE中可以有任意数量的人员和流程, 以下是一些常见的例子:

  • 客户服务代理
  • 零售商店的同事
  • 会计部门人员
  • 邮件收发室人员
  • IT系统管理员
  • 软件开发人员
  • 数据库管理员

以下是这些人(或他们管理的系统)可能执行的一些常见流程:

  • 客户服务代理通过电话收取费用
  • 零售收银员通过支付终端刷卡
  • 会计支持员工处理退款和退款
  • 收发室职员扫描付款单据
  • 安装销售点系统的系统管理员
  • 为基于web的支付创建api的软件开发者
  • 数据库管理员查询支付数据表

最后,这些过程中使用的技术可能包括:

  • ip电话系统
  • 电话录音软件
  • 销售点系统和外部支付终端
  • 基于云计算的软件即服务应用程序
  • 打印机和扫描仪
  • 各种服务器平台e.g.、文件、数据库、主机等.
  • 网络交换机和路由器

现在, 你可能会想, “这些都是很好的信息, 但为我定义这个范围不是评估员的工作吗?“是啊, PCI DSS清楚地建立了确定CDE已被准确定义的共享性质. 根据PCI DSS,

至少每年及在年度评估前进行, 被评估的实体应通过识别持卡人数据的所有位置和流来确认其PCI DSS范围的准确性, 并识别所有连接到或的系统, 如果妥协, 可能会影响CDE(例如, 认证服务器),以确保它们包含在PCI DSS范围内. 实体保留显示如何确定PCI DSS范围的文档. 该文件被保留以供评估人员审查和/或在下一次年度PCI DSS范围确认活动中参考. 对于每个PCI DSS评估, 评估人员需要确认评估的范围是准确定义和记录的.”

简而言之, 该实体负责识别CDE并确定其合规范围, 评估人员的角色是验证实体确定的内容. 在开始评估之前,双方共同达成一个准确定义的CDE.

PCI DSS范围确定中的常见错误

这一点需要重复, 虽然概念简单, 准确地定义CDE通常是最大的遵从性挑战. 下面是一些常见的错误实体, 甚至评估员, 在定义和验证CDE和遵从范围时:

  • 省略非标准或支持过程(如.g.,收发室,会计)从范围.
  • 忽略存储柜或非现场记录设备等存储硬拷贝持卡人数据的位置.
  • 不包括接受付款或管理系统的第三方.
  • 假设加密数据超出范围(即使加密数据也是持卡人数据).
  • 使用不正确和/或不完整的网络和数据流程图来表示CDE.
  • 维护所有存储、处理或传输持卡人数据的系统的不完整库存.

结论

你可能会想起古老的数据处理格言, 垃圾输入,垃圾输出.  它也适用于为评估PCI合规性定义实体的CDE. 如果实体的CDE定义不准确, 那么评估的结果就不准确了. 实体及其评估人员负责了解哪些资格和持卡人数据,然后仔细和系统地识别所有人, 流程, 以及涉及支付流程的技术. 在这个系列的下一个条目中, 我们将考虑PCI DSS范围标准的另一个元素:连接系统和影响安全的系统.

友情链接: 1 2 3 4 5 6 7 8 9 10