支付卡行业数据安全标准遵守规划指南 (支付卡行业数据安全标准)

教程大全 2025-07-08 10:19:01 浏览

简介

支付卡行业数据安全标准

《支付卡行业数据安全标准遵守规划指南》旨在帮助组织满足支付卡行业数据安全标准 (PCI DSS) 的要求。具体而言,本指南针对的是接受支付卡的贸易商、处理支付卡交易的金融机构以及服务提供商 - 即提供支付卡处理或数据存储服务的第三方公司。针对这些群体的 IT 解决方案必须满足所有 PCI DSS 要求。本指南是为了进一步强化法规遵守规划指南- 它介绍了一种基于框架的方法来创建 IT 控制,帮助您遵守各种法规和标准。该指南还介绍了您可以用来实施一系列 IT 控制的 Microsoft 产品和技术解决方案,这些 IT 控制有助于满足 PCI DSS 要求以及履行您的组织可能担负的其他法规义务。

注意如果您的组织提供的服务包括自动取款机 (ATM) 服务,Microsoft 将提供支持 ATM 的软件、系统和网络适用的体系结构和安全指南。有关详细信息,请参阅 MSDN 网站上的 Microsoft银行行业中心下载页。

本指南不包含有关每个组织如何遵守 PCI DSS 的全面信息。有关与您的组织有关的特定遵守问题的解答,请向您的律师或审核人员咨询。

本指南的简介包括以下部分:

由于本白皮书是对《法规遵守规划指南》的补充,因此,当您计划一个满足您的组织适用的所有法规要求的完整解决方案时,您还应当参考该指南。

摘要

如果您的组织处理、存储或传输持卡人信息,则您的业务要求必须遵守支付卡行业数据安全标准 (PCI DSS)。这些标准中定义的要求是由 PCI 安全标准委员会制定,旨在为使用您的组织服务的持卡人提供可接受的最低安全级别。

有三个问题使此情况变得复杂。第一个问题是遵守 PCI DSS 要求可能对整个组织产生影响。因此,在部门间协调遵守工作,并且有一个组织范围内的 PCI DSS 遵守策略非常重要。第二个复杂问题是您的组织可能需要遵守多套法规,每套法规都规定了不同的一组要求。因此,许多公司发现很难了解如何正确响应这些不同的法规要求并使用经济高效的流程和过程保持法规遵守,也就不足为奇了。第三个复杂问题是与其他许多法规一样,PCI DSS 只是顺带提及 IT 控制,而对于 IT 管理人员明确确定究竟该执行什么工作来实现和维护法规遵守,提供的指导则非常有限。

《支付卡行业数据安全标准遵守规划指南》针对的是在公司担负满足 PCI DSS 要求职责的 IT 管理人员。本指南旨在帮助 IT 管理人员了解如何着手解决其组织适用的许多 IT 控制要求,包括 PCI DSS 遵守要求。为实现这一目的,本指南提供了有关在此过程中您可以使用的解决方案的信息。

有关如何遵守多种法规标准的更全面的讨论,请参阅法规遵守规划指南。

重要本规划指南不提供法律意见。本指南仅提供有关法规遵守的事实面和技术面的信息。不要完全依赖本指南提供的有关如何满足法规要求的意见。有关特定问题,请向您的律师或审核人员咨询。

本文的目标读者

《PCI DSS 遵守规划指南》主要针对负责确保其组织安全可靠地收集、处理、传输和存储持卡人数据并且保护持卡人隐私的个人。本指南的目标读者包括在组织中担任以下职位的 IT 管理人员:

此外,本指南对于以下人员可能也非常有价值:

什么是支付卡行业数据安全标准?

支付卡行业 (PCI) 数据安全标准 (DSS) 是一组全面的要求,旨在确保持卡人的信用卡和借记卡信息保持安全,而不管这些信息是在何处以何种方法收集、处理、传输和存储。PCI DSS 由 PCI 安全标准委员会的创始成员(包括 American Express、Discover Financial Services、JCB、MasterCard Worldwide 和 Visa International)制定,旨在鼓励国际上采用一致的数据安全措施。

PCI DSS 中的要求是针对在日常运营期间需要处理持卡人数据的公司和机构提出的。具体而言,PCI DSS 对在整个营业日中处理持卡人数据的金融机构、贸易商和服务提供商提出了要求。PCI DSS 包括有关安全管理、策略、过程、网络体系结构、软件设计的要求的列表,以及用来保护持卡人数据的其他措施。

PCI DSS V1.1 是 2006 年 9 月发布的最新版本标准。该标准由一组共 6 个原则以及 12 个附属要求构成。每项要求下面包含子要求,您必须按照这些子要求来实施流程、策略或技术解决方案以遵守该要求。PCI DSS 策略和要求包括:

要求 9 和 12 不需要您实施技术解决方案。要求 9 指示您解决存储和处理持卡人数据的位置的物理安全。这可能包括对大楼进出实施安全控制、安装和维护监视设备以及要求对在设施内工作或访问设施的所有个人进行身份检查。要求 12 指示您创建信息安全策略,将其传达给您的员工、供应商以及在您的组织内处理持卡人数据的其他当事人。

规划 PCI DSS 遵守

孤立起来创建 PCI DSS 遵守解决方案既不高效也不经济。在规划遵守 PCI DSS 要求的方法时,您还必须考虑其他许多法规。这些法规的例子包括:

注意如果您的组织是一个跨国企业,则需要确保遵守所有业务开展地的政府法规。Microsoft 建议您向熟悉组织业务开展地的所有法规的律师咨询。

有关对这些法规的遵守工作进行规划的详细信息,请参阅法规遵守规划指南。

您的组织创建的 PCI DSS 遵守解决方案应该在完全了解以下两个问题的情况下制定:

为高效且有效地实现您的遵守目标,Microsoft 建议您利用控制框架来帮助实现您组织的法规遵守目标。利用控制框架,您的组织能够将适用法规和标准映射到框架中。然后,您的组织就可以更高效地将 IT 控制工作的重点放在解决框架(而不是各个法规)中定义的要求上。#p#

此外,在出现新的法规和标准影响组织时,您也可以将它们映射到框架,然后集中精力解决框架中要求已更改的部分。而且,您可以将与 IT 控制相关的各种要求映射到框架中,其中包括支付卡行业安全要求、内部策略等行业特定的要求。

框架为寻求实现法规遵守目标的组织提供了许多显著的优势。利用基于框架的法规遵守方法,组织能够:

当然,在开始规划您的遵守工作时,您应该对 PCI DSS 本身进行检查。您可以从以下位置下载 PCI DSS:。此外,PCI 安全标准委员会创建了一个自我评估调查表,帮助您的组织确定是否遵守 PCI DSS。您还可以利用它帮助您规划组织的 PCI DSS 遵守工作。您可以从以下位置下载 PCI DSS 自我评估调查表:。

有关在控制框架中使用 IT 控制解决法规要求的详细信息,请参阅《法规遵守规划指南》。

PCI DSS 审核流程

PCI DSS 遵守的审核流程通常与法规遵守规划指南中介绍的流程类似。但是,有一些特定于 PCI DSS 审核的细节您应该知道。

PCI DSS 审核评估由两种第三方组织执行,即合格安全性评估商 (QSA) 和认可的扫描服务供应商 (ASV)。QSA 执行审核的现场部分,而 ASV 则对组织面向 Internet 的环境执行漏洞扫描。对于成为 QSA 和 ASV 的企业,每年都必须由 PCI 数据安全委员会 (PCI DSC) 进行一次审核和批准。

QSA 在审核组织之后必须编制一份报告,该报告必须遵照 PCI DSC 定义的特定准则。这些准则包含在 PCI 审核过程文档中,该文档可以从以下位置下载:。这些准则规定了 QSA 在审核之后必须编制的报告应该如何组织。此报告包括组织的联系信息、审核日期、摘要、工作范围以及 QSA 在审核组织时所采用方法的描述、季度扫描结果以及 QSA 的发现和观察。最后一部分包含大量有关组织对 PCI DSS 遵守情况的信息。在此部分,QSA 会使用一个模板来报告组织对每项 PCI DSS 要求以及子要求的遵守情况。

在为组织安排 PCI DSS 审核之前,或者最好是在规划 PCI DSS 遵守时,应该由组织的关键成员对 PCI DSS 审核过程进行审查。这可能有助于您充分了解 QSA 会在审核过程中进行哪些检查。

ASV 在对组织面向 Internet 的环境执行漏洞扫描之后,也必须就扫描结果编制一份报告。此报告的准则包含在 PCI 扫描过程文档中,该文档可以从以下位置下载:。该文档规定了 ASV 必须扫描组织环境中的哪些元素,并且包含关键字来帮助您阅读和理解 ASV 的报告。

作为贸易商或服务提供商,您的组织必须遵守各个支付卡公司的符合性报告要求,确保每个支付卡公司承认您组织的合规状态。换句话说,如果您的组织是处理与 Visa 和 American Express 有关的持卡人数据的服务提供商,您必须向 Visa 和 American Express 提交您的符合性报告。

每个支付卡公司的相容规则和过程略有不同。有关特定 PCI DSS 遵守要求以及每个公司为实现贸易商和服务提供商相容而推出的支持计划的详细信息,请与您的公司处理、传输或存储其持卡人数据的支付卡公司联系。

满足 PCI DSS 要求

此部分详细说明您的组织规划 PCI DSS 遵守时可以考虑的 Microsoft 技术解决方案。您应该将选择的解决方案融合到您的组织的日常工作中。如“规划 PCI DSS 遵守”部分所述,您的组织策略、过程和技术解决方案应当考虑整个组织的法规遵守情况,还应该考虑 PCI DSS 遵守会对公司的各个组成部分产生怎样的影响。

有关将 IT 控制映射到技术解决方案所涉及的考虑事项的详细讨论,请参阅法规遵守规划指南。

文档管理

文档管理解决方案结合软件和流程来帮助您管理组织内非结构化的信息。此信息可能以许多数字化的形式存在,包括文档、图像、音频和视频文件以及 XML 文件。

满足的 PCI DSS 要求

实施文档管理解决方案从两个方面帮助实现 PCI DSS 遵守。一方面,使用此类解决方案来管理包含持卡人数据的文档可帮助满足与数据访问、管理和保护相关的 PCI DSS 要求。具体而言,您可以使用文档管理解决方案满足要求 7 以及子要求 10.2.1。另一方面,您可以使用文档管理系统维护和发布策略,比如满足小节 3.6、6.4、9.2 和 12 中的要求所需要的那些策略。

有关这些要求的全文,请参阅支付卡行业数据安全标准 V1.1。#p#

可用技术

Microsoft 提供了许多用于创建文档管理 IT 控制的技术,这些技术可以结合起来使用,也可以单独使用。您应该设计这些控制,以满足 PCI DSS 要求以及您的组织适用的其他法规要求。

有关详细信息,请参阅 Microsoft office 网站 (。

风险评估

风险评估是您的组织用来确定对业务的风险以及划分风险优先级的流程。通常,使用系统的方法来确定信息处理系统的资产,对这些资产的威胁以及系统暴露给这些威胁的漏洞。在法规遵守情况下,风险评估是评估组织内的遵守水平和遵守不充分之处的流程。在规划 PCI DSS 遵守时,您主要是确定持卡人数据面临的风险,确定这些威胁的优先级。

满足的 PCI DSS 要求

风险评估能够从许多方面帮助您满足 PCI DSS 要求。它使您能够确定在网络中需要升级哪些方面才能符合要求。即使已经基本符合要求,风险评估也很重要,它帮助您确定组织是否能在一段时间内保持符合要求。由于您可以借助风险评估确定许多潜在问题,因此它能够帮助您符合许多 PCI DSS 要求,其中包括要求 1、3、4、5、6、7、8 和 11。

有关这些要求的全文,请参阅支付卡行业数据安全标准 V1.1。

可用技术

Microsoft 提供了许多用于创建风险管理 IT 控制的技术,这些技术可以结合起来使用,也可以单独使用。您应该设计这些控制,以满足 PCI DSS 要求以及您的组织适用的其他法规要求。

利用这些服务,您能够为网络上的所有主机环境提供 Microsoft 为指定主机上安装的产品发布的最新安全修补程序。

有关详细信息,请参阅“Windows Server Update Services”主页 (。

有关详细信息,请参阅“Windows Server 2003 组策略”(和“组策略管理控制台”(。

更改管理

更改管理是一种结构化的流程,您的组织可用它来评估对项目计划、IT 基础结构、软件部署或组织中的其他流程或过程的更改。更改管理系统可以帮助您定义更改,评估更改的影响,确定需要哪些操作来实施更改,以及在组织内分发有关更改的信息。此外,它还能帮助您在组织范围内跟踪您所做的更改。这样,您在对 IT 环境进行更改时,就能够保持 IT 环境受到控制。

例如,组织可以在系统中包含一个数据库,帮助员工根据历史数据对将来的更改做出更好的决策,这些历史数据会指出过去所尝试的类似更改是成功还是失败。此外,更改管理也是向所有受到影响的各方传达更改是否存在及其状态的结构化流程。该流程可能产生一个清单系统,指明已经采取了什么操作以及操作影响关键资源状态的时间,帮助预测和消除问题,简化资源管理。

满足的 PCI DSS 要求

更改管理对于 PCI DSS 遵守工作至关重要,这与其他任何法规遵守工作一样。如果组织不知道对其 IT 环境进行了哪些更改,则很难确定环境是否安全。对您的网络、系统、策略和过程中的更改进行跟踪,有助于您满足 PCI DSS 要求 6 和 11。

有关这些要求的全文,请参阅支付卡行业数据安全标准 V1.1。

可用技术

Microsoft 为您提供了多种技术,供您在设计更改管理解决方案时考虑。

Microsoft 桌面优化包仅向软件保证覆盖范围包括桌面的客户提供。有关详细信息,请参阅“优化 Windows 桌面”(。

网络安全

网络安全解决方案构成了一个广泛的解决方案类别,旨在解决组织在所有网络方面的安全,包括防火墙、服务器、客户端、路由器、交换机和访问点。对组织的网络安全进行规划和监视是实现 PCI DSS 遵守目标的关键因素。有各种各样的解决方案可用来解决网络安全问题,您的组织自然也已经部署了安全网络的许多要素。在已经实施的网络安全解决方案的基础上进行构建可能要比重新开始更高效、更经济。

但是,您可能会考虑对组织使用的某些技术进行更改,或者可能希望实施在网络安全策略中尚未包括的新解决方案。Microsoft 提供多种技术解决方案以及相应的指导材料,帮助实施满足组织需要的网络安全解决方案。

满足的 PCI DSS 要求

支付卡行业数据安全标准非常明确地指出,需要在整个组织内建立安全网络才能符合要求。策略 1 规定若要符合要求,组织必须建立和维护一个安全网络。要求 1 规定组织必须安装和维护一个防火墙配置来保护持卡人数据。要求 2 规定组织必须更改供应商为系统密码和其他参数提供的默认设置。网络安全解决方案还帮助您的组织满足要求 4 和 10,这两条分别要求您对通过网络传输的持卡人数据进行加密以及跟踪和监视网络访问。

有关这些要求的全文,请参阅支付卡行业数据安全标准 V1.1。

可用技术

您可以从 Microsoft 提供的多项技术中选择相应的技术,来满足前两条 PCI DSS 要求。

安全配置向导可以指导您的 IT 专业人员根据所选的服务器角色完成创建、编辑、应用或回滚安全策略的过程。使用 SCW 创建的安全策略是在应用时配置服务、网络安全、特定注册表值、审核策略和 IIS(如果适用)的 XML 文件。

有关详细信息,请参阅“Windows Server 2003 的安全配置向导”(。

在 Windows XP Service Pack 2、Windows Vista 和 Windows Server“Longhorn”上支持 WPA2。有关详细信息,请参阅“无线 LAN 技术和 Microsoft Windows” (和“Wi-Fi 保护访问 2 (WPA2) 概述”(。

主机控制

主机控制解决方案控制服务器和工作站中的操作系统。主机控制解决方案还包括在每个主机中操作系统的所有级别实施安全最佳做法,维护最新的更新和修补程序,以及使用安全的方法进行日常操作。

满足的 PCI DSS 要求

主机控制解决方案通过保持操作系统最新并且得到安全地配置,帮助您满足 PCI DSS 要求。具体而言,主机控制可以帮助您符合 PCI DSS 要求 6 和 11。

有关这些要求的全文,请参阅支付卡行业数据安全标准 V1.1。

可用技术

Microsoft 提供了许多用于创建主机解决方案的技术,这些技术可以结合起来使用,也可以单独使用。与其他技术解决方案一样,您应该对这些解决方案进行设计,以符合 PCI DSS 要求以及您的组织适用的其他法规要求。

这些服务帮助您使用 Microsoft 为指定主机上安装的产品提供的最新安全修补程序更新网络上的所有主机环境,保持所有主机环境最新。

有关详细信息,请参阅“Windows Server Update Services”主页 (。

Microsoft 桌面优化包仅向软件保证覆盖范围包括桌面的客户提供。有关详细信息,请参阅“优化 Windows 桌面”(。

有关许多 Microsoft 产品的特定主机安全指南和过程,请参阅法规遵守规划指南的“主机控制”部分。

恶意软件预防

恶意软件解决方案是保持网络中持卡人数据安全的关键因素。通过防止垃圾邮件,保持网络上的系统没有病毒和间谍软件,这些解决方案可以确保网络上的系统以最高效率工作,不会无意中将敏感数据传输到未授权方。

满足的 PCI DSS 要求

您选择的恶意软件预防解决方案可以帮助您满足 PCI DSS 要求 5 和 6。

有关这些要求的全文,请参阅支付卡行业数据安全标准 V1.1。

可用技术

Microsoft 提供了许多用于预防恶意软件的技术,这些技术可以结合起来使用,也可以单独使用。在针对 PCI DSS 以及组织适用的更广泛法规要求的遵守工作中,您应该考虑这些技术。

应用程序安全

要满足 PCI DSS 要求,您应该在两方面考虑您的应用程序安全解决方案。首先,您应该要求组织内部开发人员创建的新应用程序遵守安全开发做法。其次,您应该确保使用从 Microsoft 或任何第三方供应商购得的软件应用程序附带的安全指南。

满足的 PCI DSS 要求

在您的 PCI DSS 遵守工作中,开发和维护安全的应用程序是非常重要的一个步骤,不管这些应用程序是基于 Web 还是基于 Windows。特别是,您可以利用这些技术解决方案满足要求 6。

有关此要求的全文,请参阅支持卡行业数据安全标准 V1.1。

可用技术

Microsoft 为开发安全应用程序提供了特定的工具和指南。此外,还提供了安全使用其主要服务器产品的特定指南。

安全开发生命周期建议您将 FxCop、PREfast 等工具与 GS C++ 编译器选项配合使用,确保代码在运行时不会出现已知的安全问题。

有关详细信息,请参阅 Visual Studio 主页 (。

有关详细信息,请参阅“Intelligent Application Gateway 2007 产品概述”(。

准则

消息和协作

要满足 PCI DSS 要求,您必须确保安全地配置和设置了组织使用的消息和协作软件。由于消息和协作应用程序已经成为支付卡行业的基本工具,因此尽可能确保可能含有持卡人数据的文档或电子邮件的安全非常重要。

满足的 PCI DSS 要求

帮助防止违反消息安全的常见方法包括消息网关、安全消息服务器和消息内容过滤。消息网关和消息内容过滤都会将消息发送到专门的软件应用程序。该应用程序可以使用各种方法隔离特定的字串、数字串、字样或其他项目,具体取决于解决方案的设计情况。然后,会将包含这些关键字的消息隔离起来,直到消息中的可疑信息通过检查,解决方案也可能只是简单地删除和清除消息。在协作环境中通过电子邮件或文档发送持卡人数据时,这些方法可帮助您保护这些持卡人数据。所有这些技术和解决方案将帮助您满足 PCI DSS 要求 4。

有关此要求的全文,请参阅支持卡行业数据安全标准 V1.1。

可用技术

Microsoft 提供了许多帮助您保护消息和协作软件安全的解决方案。在这些解决方案中,每个解决方案都将为企业的不同方面提供相应的解决方案。您应该有序部署这些解决方案,以便在部署完成之后剩下的安全漏洞尽可能少。

有关详细信息,请参阅 Microsoft Forefront (。

Office IRM 建立在 Microsoft Windows Rights Management Services 平台之上。要在 Office 中启用此功能,您必须购买 RMS 服务器许可证。

有关详细信息,请参阅 Microsoft Office 网站 (。

数据分类和保护

数据分类和保护解决方案是成功符合 PCI DSS 要求并保持持卡人数据安全的中心因素。这些解决方案处理如何向系统或传输中的持卡人数据应用安全分类级别。此解决方案类别提供的数据保护还涉及为存储或传输的数据提供加密性和完整性。加密解决方案是组件用来提供数据保护的最常见方法。

满足的 PCI DSS 要求

数据分类和保护解决方案会对数据库中存储的持卡人数据、服务器之间传输的持卡人数据或者在持卡人购物时传输到您的网络的持卡人数据进行保护,从而帮助您满足 PCI DSS 要求。使用以下解决方案使您能够满足 PCI DSS 要求 3 和 7。

有关这些要求的全文,请参阅支付卡行业数据安全标准 V1.1。

可用技术

Microsoft 提供了许多可以帮助您对持卡人数据进行分类和保护的技术,不管这些数据是通过网络传输、存储在员工计算机的文档中,还是存储到数据库中。这些方法包括:

身份管理

身份管理是实现 PCI DSS 遵守的另一个重要因素。身份管理解决方案允许您限制哪些人可以访问、处理和传输持卡人数据。您的组织可以利用这些身份管理解决方案,帮助管理员工、客户和合作伙伴的数字身份和权限。

满足的 PCI DSS 要求

身份管理解决方案帮助创建并指定唯一 ID 给组织中有权访问计算机的每个人,从而使您能够满足 PCI DSS 要求 8。这些解决方案还帮助您根据该唯一 ID 限制对持卡人数据的访问,这也是 PCI DSS 要求 7 的原则。

有关此要求的全文,请参阅支持卡行业数据安全标准 V1.1。

可用技术

Microsoft 提供了大量技术来帮助您满足组织的身份管理要求。

有关详细信息,请访问“Microsoft 身份生命周期管理器”主页 (。

操作系统支持功能

身份验证、授权和访问控制

身份验证是确定用户身份的过程。在 IT 环境中,身份验证通常涉及一个用户名和密码,但是还可以采用其他方法来证明身份,例如智能卡、视网膜扫描、声音识别或指纹。授权侧重于确定经过验证的身份是否能访问请求的资源。您可以选择根据许多标准来授权或拒绝访问,例如,客户端的网址、时间或用户使用的浏览器。

在对您的身份验证、授权和访问控制策略进行规划时,您还应该制定一个授予用户帐户网络上所有资源权限的策略。有关详细信息,请参阅将最小特权原则应用于 Windows XP 上的用户帐户。

满足的 PCI DSS 要求

身份验证、授权和访问控制是您的持卡人数据安全策略的关键部分,特别是在与数据分类和保护以及身份管理解决方案结使用时。在此情况下,身份验证、授权和访问控制解决方案可以帮助您的组织符合 PCI DSS 要求 6、7 和 8。

有关这些要求的全文,请参阅支付卡行业数据安全标准 V1.1。

可用技术

Microsoft 提供了多种技术来帮助您创建身份验证、授权和访问控制策略,并将这些策略集成到完整的 PDI DSS 遵守解决方案中。

操作系统支持功能

有关身份验证、授权和访问控制的概念性信息和规划指南,请参阅法规遵守规划指南的“身份验证、授权和访问控制”部分。

漏洞识别

漏洞识别解决方案提供您的组织可用来帮助测试其信息系统漏洞的工具。您的 IT 人员必须先了解 IT 环境中的漏洞,然后才能有效地解决这些漏洞。漏洞识别还包括能够还原因用户出错而意外丢失的数据。

满足的 PCI DSS 要求

漏洞解决方案使您的组织能够符合 PCI DSS 要求 11,定期对安全系统和过程进行测试。

有关此要求的全文,请参阅支持卡行业数据安全标准 V1.1。

可用技术

Microsoft 提供了相应的解决方案来帮助您设计符合 PCI DSS 要求的漏洞识别解决方案。

监视、审核和报告

监视和报告解决方案将收集和审核身份验证和访问系统所产生的日志。您可以设计这些解决方案,根据 PCI DSS 收集特定信息,或者使用内置到操作系统或软件包的现有日志。

监视和报告的子类别是对组织中所有已记录数据的收集、分析和关联。有时这可以通过一个仪表盘类型的解决方案来实现,您可以在上面更好地分析在整个组织中搜集的各种信息。使用这种解决方案,IT 管理人员能够更好地确定事件之间是否有关联。

满足的 PCI DSS 要求

监视、审核和报告解决方案可以帮助满足 PCI DSS 要求 10,以跟踪和监视所有对网络资源和持卡人数据的访问。

可用技术

Microsoft 提供许多允许您对网络访问以及对持卡人数据的访问进行监视的技术。

操作系统支持功能

管理 PCI DSS 技术解决方案

虽然使用管理产品不能帮助您的组织满足任何特定的 PCI DSS 要求,但是它们可以帮助您跟踪为合规目的已实施的 IT 控制。在创建 IT 控制的框架时,要能够从尽可能少的管理员控制台管理这些控制,这一直很重要。

可用技术

Microsoft 提供两种主要工具,用来管理您为了符合 PCI DSS 和其他法规要求而实施的 IT 控制的框架。

有关详细信息,请参阅 Microsoft System Center (。

小结

此部分描述您的组织可用来帮助实现和维护 PCI DSS 遵守的技术解决方案。该部分将讨论这些解决方案重要的原因,提供可以帮助您的组织实现法规遵守的 Microsoft 指导和技术的链接。

实施这些解决方案后,不仅有助于为您的 IT 环境提供安全和符合性标准,还会对组织的业务流程产生积极的影响。在实施任何确定的解决方案之前,一定要向您的法律顾问和审核人员咨询,获得与您自己的独特 PCI DSS 遵守需求有关的法律意见,并且仔细考虑这些解决方案对整个组织而不只是合规性方面的影响。Microsoft 承诺将为 PCI DSS 和法规遵守提供更深入的研究和解决方案。然而,您也可以公开搜集寻找更多与此复杂而重要的主题有关的信息。

附录

此部分包含客户经常问到的一些问题,这些问题与 Microsoft 的技术解决方案以及这些解决方案如何适合用来遵守 PCI DSS 要求有关。它还包含一个说明哪些技术解决方案可以帮助您的组织满足相应要求的映射图。

常见问题

问:我的组织为什么要遵守支付卡行业数据安全标准? 此标准是否又是一个没什么用、却需要很高的处理成本的标准?

答:您的组织之所以应该遵守 PCI DSS 标准,有三个原因。原因之一是 Visa 等支付卡品牌承诺为遵守 PCI 的组织提供经济奖励,对于不合规的组织则予以处罚。原因之二是遵守该标准可以帮助减轻数据丢失情况发生时的法律责任。原因之三是通过周到的分析以及适当的系统设计,这一过程可实际帮助您更好地跟踪客户数据,从而帮助您改进客户服务,提升客户满意度。

问:Microsoft 是否夸大了它为 PCI DSS 遵守提供的技术?

答:每个组织的情况是不同的,本指南旨在尽可能的全面。Microsoft 可以为行业垂直市场的客户提供特定指南。您还可以与您的 Microsoft 销售代表联系,以获取指南。如上所述,如果您不是简单地将这看作一个合规性项目,而是着眼于改进客户信息的跟踪和管理,则可以获得更好的商业效果。

问:本白皮书介绍了许多帮助遵守 PCI DSS 的技术,但是遵守解决方案则极少。为什么?

答:每种情况都具有独特性,因此,不可能提出一个适合所有情况的解决方案。如小结中所述,Microsoft 承诺为您的组织提供更详细的信息。

问:Microsoft 可以做哪些工作来帮助我的组织获得 PCI DSS 认证?

答:Microsoft 可以为您提供有助于符合 PCI DSS 要求的软件和服务,但是,它不能确保您的组织最终能符合要求。作为一个供应商,我们非常乐意帮助您的组织符合这些要求,然而,是否遵守要求取决于您的组织、审计人员以及要处理的支付卡品牌。#p#

答:小节 3.4.1 是否意味着不能使用 Microsoft 数据保护技术?

答:不是。该小节的原文是:

“如果使用磁盘加密(而不是文件或卷级别的数据加密),则必须独立于本机操作系统访问控制机制之外管理逻辑访问(例如,不使用本地系统或 Active Directory 帐户)。不能将解密密钥与用户帐户关联。”

Microsoft 数据保护技术不会将解密密钥与用户帐户关联。例如,BitLocker 驱动器加密从来不会将解密密钥(PIN 或恢复密码)与 Active Directory 中的用户帐户关联。加密文件系统 (EFS) 也不会将解密密钥与用户帐户关联。您的组织可以撤消个人解密文档的能力,而不用更改系统访问权限。在某些配置中,EFS 会尝试通过自动将某些解密密钥放置在特定用户的用户配置文件中来优化用户体验。但是,此行为可通过相应的配置加以更改。

PCI DSS 要求和相关技术解决方案

要求

技术解决方案部分

要求 1

风险评估;网络安全

要求 2

网络安全性

要求 3

文档管理;风险管理;数据分类和保护

要求 4

风险评估;消息和协作;数据分类和保护;网络安全

要求 5

风险评估;恶意软件预防

要求 6

文档管理;风险管理;更改管理;主机控制;恶意软件预防;应用程序安全;

身份验证、授权和访问控制

要求 7

文档管理;风险评估;身份管理;身份验证、授权和访问控制;数据分类和保护

要求 8

风险评估;身份验证、授权和访问控制

要求 9

文档管理

要求 10

文档管理;更改管理;监视、审核和报告;网络安全

要求 11

风险评估;主机控制;漏洞识别

要求 12

文档管理

原文地址 |


温州装修公司 温州装修设计公司 温州室内装修公司

温州装修公司、温州装修设计公司、温州室内装修公司信赖温州旭升装饰公司!

温州旭升装饰公司是温州装修公司、温州装修设计公司、温州室内装修公司的领头企业,知名温州装修公司、温州装修设计公司、温州室内装修公司,是一家专业从事家居装饰、写字楼、公寓、挑高空间、商业空间、别墅设计与施工的专业性,我们对内提倡尊重、信任、崇尚团队精神,对外强调诚实、信用、坚持质量第一,力求在每一项工程以及每一项工程的每一个环节,通过自身优势营造出完美的工程作品以回馈客户。 公司自创立以来,以“严谨塑造浪漫”的经营理念,以客户的满意为服务宗旨,秉承“诚信、创新、高效”的核心价值观。 其高雅品位和精品倍出的优良业绩,多次获得全国同行业的一致好评和广大客户的普遍赞誉。 在企业管理上,公司从设计到采购、到装饰施工、售后服务都已拥有一套完整的管理体系和质量控制体系,做到了设计专化,施工规范化,报价透明化,管理科学化。 在装饰设计上,我们倡导“以人为本、回归自然、绿色装饰”,追求“简洁典雅、时尚人性”的设计风格,为每一位客户营造一份独特而温馨的空间。 在项目施工管理上,施工人员都由公司统一管理,定期培训,不断提高员工的个人素质和职业教育素养,施工中严格遵守国家规范。 材料和施工工艺上坚持“三不”,即不用假冒伪劣产品和不合格产品、不偷工减料、不弄虚作假损害消费者利益。 面对装饰、装潢行业竞争激烈的市场,公司仍将始终坚持“以人为本、以质为本、以诚为本、用户至上、信誉第一”的经营方针,不断努力、不断完善、不断开拓创新、不断提高企业的市场竞争能力,以低价优质,科学规范的管理服务于广大客户,力争让客户100%的满意,客户的需要、满意才是公司生存发展的基础。 您的满意是我们最大的执着追求,欢迎您来电咨询!

工商企业管理是一种什么学科?

工商企业管理专业是自学考试学科调整后产生的新专业。 这一专业的设置是为了培养在社会主义市场经济条件下从事工商业及其他各类企业管理方面工作的专门人才。 经过专业学习,成绩合格者应系统地掌握现代管理理论、有广泛的知识。 熟悉各类管理的基本技能和科学方法,能够胜任企业管理工作。 一、工商企业管理专业的培养目标为了满足工商企业管理专业培养目标的要求,选学工商管理专业的自考生应具有爱国主义和集体主义精神,有良好的道德情操,遵守法纪、法规,热爱并乐于从事各类管理工作,具有责任心。 工商管理专业专科层次的学习,以政治理论、经济理论。 基础课程和适用广泛的管理专业理论学习为主。 专科成绩合格者应能从事具有管理性质的基础工作和一般的经营活动。 工商管理专业本科层次的学习,是在专科知识的基础上,进一步扩展管理理论和管理知识的学习,增加中、高层次管理工作必须掌握的技能和方法,提高本科自考生的工作适应性。

通联支付刷卡交易没到账怎么办

可前往办卡银行进行问询。 一般在交易签购单已经打印出来的情况下,资金都会通过银联的跨行清算,因此可能是清算银行的原因。 需要2到4天。 同时受制于交易性质的问题,如果是公对私,需要的时间更久,在一星期左右。 还有一个可能性是账户因为某个原因被冻结了,是这种情况,建议把小票打印出来核对后,拿着完整的小票和机具,到通联问询,进行核对,追回资金。 询问一下你的发卡银行。 看一下是不是农行之类的,一般有些银行会进行风险控制,拨打你发卡行的客服电话询问一下。 其次看一下你的是对公账户转到私人账户,这种情况也会比较慢。 一般容易出现这种请况的有民生,各个城市商业银行还有邮政农村信用社以及农行。 只要你有签购单,并且持卡人签名这个就是对账依据。 因为一些银行目前为止还有些事手工入账可能造成以往这些的在你提醒之后会按照银行进度处理。 扩展资料:“为企业、个人的支付、转账等业务提供技术平台、软件开发和相关专业化服务;从事计算机软件服务,计算机系统的设计、集成、安装、调试和管理;数据处理及相关技术业务处理服务;广告设计、制作、代理,利用自有媒体发布广告。 经济贸易咨询服务;自有设备租赁;计算机、软件及辅助设备、电子产品销售;金融自助设备运营管理维护服务及技术咨询服务。 ”主要业务通联支付公司的主要业务分为行业综合支付服务和金融外包服务。 客户范围除银行和传统的百货超市餐饮商户企业外,还包括基金、保险、航空、物流、医疗、休闲等行业合作伙伴和若干大型集团企业客户。 参考资料:通联支付网络百科通联支付官网帮助中心

本文版权声明本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请联系本站客服,一经查实,本站将立刻删除。

发表评论

热门推荐