组织必须制定有效的第三方风险管理 (TPRM) 计划,以确保其供应商满足网络安全要求。否则,他们将承担因客户数据泄露而造成的财务和声誉损害的风险。PCI DSS 标准涵盖了第三方风险管理的各个方面,因为它适用于所有处理信用卡数据的组织,尤其是受到严格监管的金融行业。避免巨额罚款和负面新闻头条足以鼓励 PCI 合规性。这些担忧往往掩盖了标准实施的实际好处,例如安全态势成熟度和更有效的 TPRM 实践。
什么是 PCI DSS?
支付卡行业数据安全标准 (PCI DSS)是一项国际信息安全标准,旨在保护信用卡数据和敏感的身份验证数据并减少信用卡欺诈。该标准于 2004 年首次发布,调整了五个主要支付品牌——Visa、MasterCard、Discover、American Express 和 JCB 的数据安全控制。自 2006 年五个卡品牌成立其管理机构——支付卡行业安全标准委员会 (PCI SSC) 以来,PCI DSS 经历了多次修订。
PCI DSS 的最新版本是 v3.2.1,于 2018 年 5 月发布。自 2013 年以来最重大的变化将伴随着PCI DSS 4.0 的预期发布,即 2022 年第一季度,这将解决数字化转型和不断扩大的攻击面。
任何处理信用卡或借记卡数据的组织都必须符合 PCI 标准。此类组织包括:
- 收购方
- 处理器
- 商家
- 银行
- 第三方服务提供商
PCI DSS 合规性要求是什么?
最新版本的 PCI DSS包含 12 项主要要求,分为六个更广泛的目标。
目标 1:建立和维护安全的网络和系统
要求 1.安装并维护防火墙配置以保护持卡人数据。
要求 2.不要将供应商提供的默认值用于系统密码和其他安全参数。
目标 2:保护持卡人数据
要求 3.保护存储的持卡人数据。
要求 4.加密跨开放公共网络的持卡人数据传输。
目标 3:维护漏洞管理计划
要求 5.保护所有系统免受恶意软件的侵害,并定期更新防病毒软件或程序。
要求 6.开发和维护安全的系统和应用程序。
目标 4:实施强大的访问控制措施
要求 7.限制业务需要知道的对持卡人数据的访问。
要求 8.识别和验证对系统组件的访问。
要求 9.限制对持卡人数据的物理访问。
目标 5:定期监控和测试网络
要求 10.跟踪和监控对网络资源和持卡人数据的所有访问。
要求 11.定期测试安全系统和流程。
目标 6:维护信息安全策略
要求 12.维护针对所有人员的信息安全问题的政策。
PCI 安全标准委员会要求每年对合规性进行验证。商户必须完成自我评估问卷 (SAQ),如果他们处理大量交易,他们将接受合格安全评估员的现场审核。不遵守 PCI DSS 的组织将面临每月 5,000 至 100,000 美元不等的罚款。
PCI DSS 合规级别
有四种不同级别的 PCI DSS 合规性要求,具体取决于:
- 商家处理的信用卡交易数量,
- 商家使用的支付处理媒介,以及
- 商户的数据泄露状态。
1级
涵盖每年处理超过 600 万笔信用卡交易(包括现实世界和电子商务交易)的商家,或任何最近经历过数据泄露的商家。
合规 要求:
- 由合格的安全评估员 (QSA) 进行的年度审计
- 由经批准的扫描供应商 (ASV) 执行的季度网络扫描
- 每年收到合规证明 (AoC) 和合规报告 (RoC)
2级
涵盖每年处理 1 到 600 万次信用卡交易的商家,包括现实世界和电子商务交易。
合规要求:
- 每年完成一份自我评估问卷 (SAQ)
- 由经批准的扫描供应商 (ASV) 执行的季度网络扫描
3级
涵盖每年处理 20,000 至 100 万笔电子商务交易的商家。
合规要求:
- 每年完成一份自我评估问卷 (SAQ)
- 由经批准的扫描供应商 (ASV) 执行的季度网络扫描
4级
涵盖每年处理少于 20,000 和 100 万笔电子商务交易或每年处理多达 100 万笔实际交易的商家。
合规要求:
- 每年完成一份自我评估问卷 (SAQ)
- 由经批准的扫描供应商 (ASV) 执行的季度网络扫描
第三方的 PCI DSS 要求是什么?
PCI 安全标准委员会的信息补充:第三方安全保证文件指出,实体可以将其信用卡业务外包给第三方服务提供商 (TPSP),例如“代表实体存储、处理或传输持卡人数据,或管理实体持卡人数据环境 (CDE) 的组件。”
常见的 TPSP 包括:
- 应用程序托管
- 数据中心
- 支付网关提供商
- 云基础设施
- 加密或令牌化服务
- 托管安全服务
- 支付处理器
CDE 组件包括:
- 路由器
- 防火墙
- 数据库
- 物理安全
- 和/或服务器
虽然理事会承认此类 TPSP“……可以成为实体持卡人数据环境的组成部分……影响实体的 PCI DSS 合规性……[和]持卡人数据环境的安全性”,但它强调实体“最终 [ly] ] 负责[le] 自己的 PCI DSS 合规性,[而不是] 免除……确保其持卡人数据 (CHD) 和 CDE 安全的责任和义务。”
PCI SSC 在四个主要领域提供指导,以帮助实体实施符合 PCI DSS 标准安全要求的 TPRM 计划。
1. 第三方服务商尽职调查
进行供应商尽职调查,以确保根据其安全实践审查和选择潜在供应商 。
2. 与 PCI DSS 要求的服务相关性
就 TPSP 将满足哪些 PCI DSS 要求以及实体将满足哪些要求达成相互协议,并了解实体最终对合规性负责。
3. 书面协议和政策和程序
创建书面协议,明确说明 TPSP 和实体就 PCI DSS 合规性要求达成的共同协议。
4. 监控第三方服务提供商合规状态
了解每个相关 TPSP 的 PCI DSS 合规状态,以确保实体本身保持合规。
PCI DSS 第三方风险要求
PCI 数据安全标准包括一个简明的供应商风险管理计划,根据要求 12.8 进行细分,其中包含五个子要求和一个专门针对第三方服务提供商的附加要求。
要求 12.8
“制定并实施政策和程序,以管理共享持卡人数据或可能影响持卡人数据安全的服务提供商。”
政策和程序应涵盖以下子要求。
子要求 12.8.1
“维护服务提供商列表,包括对所提供服务的描述。”
