认识PCI DSS

PCI DSS（Payment Card Industry Data Security Standard）,全球第三方支付行业数据安全标准，是为了提高持卡人数据环境的安全性，最大限度防止数据泄露，降低欺诈事件的发生而出现。

PCI DSS由支付卡行业数据安全标准委员会（PCI SSC）制定而成，不论规模或交易量如何，任何存储、处理或传输付款和持卡人数据的公司都需要遵守 PCI DSS。

现行标准版本为PCI DSSv3.2.1。

一、PCI安全标准委员会（PCI SSC）

PCI SSC由American Express、Discover、JCB International、MasterCard、中国银联和Visa于2006年成立。是一个全球论坛，致力于制定和推动全球支付账户的数据安全.

二、PCI DSS内容概要

建立并维护安全的网络

安装并维护防火墙设定以保护持卡人数据；不能使用供应商提供的默认密码和其他安全参数。

保护持卡人信息

保护存储的持卡人资料；加密通过开放的公用网络传输的持卡人数据。

维护漏洞管理程序

为所有系统提供恶意软件防护并定期更新杀毒软件或程序；开发并维护安全系统和应用程序。

实施严格的存储控制措施

按业务知情需要限制对持卡人资料的访问；为具有电脑存取权的每个人指定唯一的ID；限制对持卡人数据的实际存储。

定期监控并测试网络

追踪并监控对网络资源及持卡人资料的所有访问；定期测试安全系统和程序。

维护信息安全政策

维护针对所有人员的信息安全政策。

三、PCI-DSS是怎样鉴定的？

极为严密的认证审查过程

PCI-DSS安全认证的主要过程是由VISA和MasterCard授权的独立审查公司完成。是一次彻底对该支付公司在线支付系统的安全审查，其中有300多项审查内容。包含6大领域12项要求的规范，其认证过程异常严苛且繁杂，包括自我安全检测(SelfSecurityProbe)、漏洞分析 (AnalysisoftheVulnerabilities)以及由协会执行的安全调查 (SecurityInvestigationbytheCouncil)三个阶段，考察范围涉及硬件、软件、员工和公司管理等多项指标。

四、PCI认证使信用卡交易安全更加安全

1、交易流程保护更加严密、严谨，从每个环节把关

2、对信用卡信息保护更上一层楼，增加网上交易信誉度

3、对商家来说，更完善、规范的交易流程可以赢得更多消费者

4、信用卡交易对消费者也更加便捷

关于三思网安

我司在PCI DSS项目及等保认证项目上，案例方面经验丰富，公司核心团队由清华大学技术团体组成，公司具有亚太区PCI发证资质且我司QSA是中国区首个做PCI DSS认证的主任审核员。我们的等保审核员老师也均来自清华网络信息安全实验室，在安全咨询服务项目上（PCI +等保），我司诚意十足。