术语
1、PCI-DSS
支付卡行业数据安全标准(PCI Data Security Standard)
2、PA-DSS
支付应用程序数据安全标准
3、PCI-SSC
PCI安全标准委员会(Payment Card Industry Security Standards Council,简称PCI SSC)
4、PA-QSA
支付应用程序合格的安全性评估商(Qualified Security Assessor)。PA-QSA 由 PCI-SSC 授予按照 PA-DSS评估支付应用程序的资格。
5、ASV
授权的扫描服务商(Approved Scanning Vendor)。由 PCI-SSC 授权可执行外部漏洞扫描服务的公司。
商户
接收使用PCI-SSC支付卡支付商品和/或服务的所有实体。可以简单理解为持卡人。
请注意接受使用相关支付卡支付商品和/或服务的商户也可能是服务提供商,前提是销售的服务会导致代表其他商户或服务提供商存储、处理或传输持卡人数据。
例如,ISP是接受按月使用支付卡结算的商户,但是如果其客户为商户,那么它也是服务提供商。
服务提供商
并非支付品牌的企业实体,代表其他实体直接参与持卡人数据的处理、存储或传输。可以简单理解为处理持卡人数据的管理商。如,处理商、收单机构、发卡机构。
服务提供商也提供控制或可能影响持卡人数据安全的服务。
示例包括提供托管防火墙、IDS和其他服务的托管服务提供商,以及托管提供商和其他实体。
如果某实体提供 仅涉及公共网络访问提供的服务(例如仅提供通信链接的电信公司),则不认为该实体是相关服务的服务提供商(不过可认为该实体是其他服务的服务提供商)。
ISP
互联网服务提供商(Internet Service Provider),简称ISP。
处理商
支付处理商,有时被称为“支付网关”或“支付服务提供商(PSP)”。可以简单理解为交易结算的银行的pos机。
商户雇佣的实体或其他代表商户处理支付卡交易的实体。虽然支付处理商一般提供收单服务,但除非由支付卡品牌定义,否则支付处理商不被视为收单机构。
收单机构
也称为“商业银行”、“收单银行”或“收单金融机构”。可以简单理解为交易结算的银行。
收单机构是为商户处理支付卡交易的实体,通常为金融机构,由支付品牌定义。收单机构须遵从有关商户合规性的支付品牌规则和程序。
发卡机构
发行支付卡或者提供、促进或支持发卡服务的实体,包括但不限于发卡银行和发卡处理机构。也称为“发卡银行”或“发卡金融机构”。可以简单理解为制卡发卡的银行。
帐户数据(持卡人数据和/或敏感验证数据)
CHD
持卡人数据(Cardholder data)
主帐户 (PAN)、持卡人姓名、失效日、业务码。
SAD
敏感验证数据(Sensitive Authentication Data)
用于验证持卡人身份和/或授权支付卡交易的安全相关信息(包括但不限于卡认证代码/值、全磁道数据(磁条数据或芯片上的等效数据)、PIN 和 PIN 数据块)。
PIN/PIN 数据块、全磁道数据(磁条数据或芯片上的等效数据)、CAV2/CVC2/CVV2/CID
CDE
持卡人数据环境(Cardholder data environment)
持卡人数据环境包含存储、处理 、 或传输持卡人数据(CHD)或敏感验证数据(SAD)的人员、流程和技术。
“系统组件”包括网络设备、服务器、计算设备和应用程序。系统组件示例包括但不限于:
▪ 提供安全服务(例如验证服务器)、方便分段(例如内部防火墙)或可能影响 CDE 安全性(例如名称解析或 Web 跳转服务器)的系统。
▪ 虚拟化组件,例如虚拟机、虚拟交换机/路由器、虚拟设备、虚拟应用程序/桌面和监控程序。
▪ 网络组件,包括但不限于防火墙、交换机、路由器、无线接入点、网络设备和其他安全设备。
▪ 服务器类型,包括但不限于 Web、应用程序、数据库、验证、邮件、代理、网络时间协议 (NTP) 和域名系统 (DNS)。
▪ 应用程序,包括所有购买和自定义的应用程序以及内部和外部(例如互联网)应用程序。
▪ 位于 CDE 内或连接到 CDE 的任何其他组件或设备。
PAN
“主帐户号”的缩写(primary account number),也称为“帐号”。识别发卡机构和特定持卡人帐户的唯一支付卡号(一般是信用卡和借记卡)。
主帐户是持卡人数据的决定性因素。
PIN
“个人识别码”的缩写(personal identity number)。只有用户以及验证用户的系统知道的秘密数字密码。只有用户提
供的 PIN 与系统中的 PIN 相匹配时,用户才能访问系统。一般的 PIN
用于预借现金交易的现金自动取款机。
政策
支配可接受的计算资源使用和安全实践以及指导操作程序发展的组织级规则。
安全政策
法律、规则和实践的集合,可监管组织如何管理、保护和分配敏感信息。
强效加密法
至少 128 位的有效密码长度
如:AEC、TDES、RSA、ECC、SHA-1/SHA-2
以经过行业测试和认可的算法为基础的加密法,以及提供至少 112位的有效密钥长度及合适的密钥管理方法的密钥长度。
加密法是一种保护数据的方法,包括加密(可逆的)和散列(单向的,即不可逆的)。另请参见 散列。
本文发表时,经过行业测试和认可的标准和算法包括 AES(128位和更高)、TDES/TDEA(最少三倍长的密钥)、RSA(2048 位和更高)、ECC(224位和更高)以及 DSA/D-H(2048/224位和更高)。关于密钥强度和算法的更多指南,请参见《NIST 特别出版物 800-57》第 1部分的最新版本(http://csrc.nist.gov/publications/)。
注:以上示例适用于持卡人数据的永久储存。如 PCI PIN 和 PTS中所定义,交易操作的最低加密要求更加灵活,因为设有附加控制以减少暴露风险。
我们建议所有新实施的内容使用至少 128 位的有效密码长度。
SHA-1/SHA-2
“安全散列算法”的缩写。相关加密散列函数(包括 SHA-1 和 SHA-2)系列或集合。请参见 强效加密法。
SSL行业选择SHA作为数字签名的散列算法,从2011到2015,一直以SHA-1位主导算法。但随着互联网技术的提升,SHA-1的缺点越来越突显。从去年起,SHA-2成为了新的标准,所以现在签发的SSL证书,必须使用该算法签名。
安全性方面,显然SHA256(又称SHA2)的安全性最高,但是耗时要比其他两种多很多。MD5相对较容易破解,因此,SHA1应该是这三种中性能最好的一款加密算法。
安全最优为SHA2
性能最优为SHA1
职责分离
为不同的个人划分职能,以确保单独的个人无法破坏流程的方法。
CVSS
Common Vulnerability Scoring System,即“通用漏洞评分系统”
是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。
目标是为所有软件安全漏洞提供一个严重程度的评级。漏洞的最终得分最大为10,最小为0。得分7~10的漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞,0~3.9的则是低级漏洞
关键系统
示例可能包括安全系统、面向公众的设备和系统、数据库以及其他存储、处理或传输持卡人数据的系统。
ROC
遵从性报告
SAQ
自我评估调查问卷
AOC
遵从性证明书
FAQ
常见问题
QSA
合格的安全性评估商
ASV
授权扫描服务商
BAU
常规业务
将 PCI DSS 纳入常规业务活动的方式示例包括但不限于:
1. 监控安全控制(例如防火墙、入侵检测系统/入侵防御系统 (IDS/IPS)、文件完整性监控 (FIM)、杀毒、访问控制等),以确保它们按原计划有效运行。
2. 确保及时发现所有安全控制故障并作出响应。安全控制故障响应流程应包括:
• 恢复安全控制
• 找出故障原因
• 发现并解决安全控制故障期间出现的任何安全问题
• 实施防范措施(例如过程或技术控制),防止故障原因再次出现
• 恢复对安全控制的监控,可能会在一段时间内加强监控力度,以确认控制正在有效运行
3. 在完成环境变更(例如增加新系统、变更系统或网络配置)前审查这些变更,并执行下列操作:
• 确定对 PCI DSS 范围的潜在影响(例如允许 CDE 中的某个系统与另一系统连接的一条防火墙新规则可能会将额外的系统或网络纳入PCI DSS 的范围)。
• 确定 PCI DSS 要求适用于受变更影响的系统和网络(例如,如果一个新系统属于 PCI DSS 的范围,则可能需要按照系统配置标准进行配置,包括 FIM、AV、补丁和检查日志等,并需添加进季度漏洞扫描计划)。
• 更新 PCI DSS 范围并视情况实施安全控制。
4. 导致对 PCI DSS 范围和要求的影响进行正式审核的组织结构变更(例如,公司合并或收购)。
5. 定期进行审核和沟通,以确保 PCI DSS 要求继续有效,并且工作人员均遵守安全流程。此类定期审核应涵盖所有设施和位置(包括零售店、数据中心等),并应包括系统组件(或系统组件样本)审核,以确认 PCI DSS 要求继续有效(例如配置标准已应用,补丁和 AV 已更新,检查日志已审核等)。定期审核的频度应由实体根据其环境的规模和复杂性确定。
此类审核还可用于确认已保留适当证据(例如检查日志、漏洞扫描报告、防火墙检查等),从而帮助实体为下一次遵从性评估做准备。
6. 至少每年审核一次硬件和软件技术,以确认其继续获得供应商的支持,并能满足实体的安全要求(包括 PCI DSS)。如果发现这些技术未继续获得供应商的支持或不能满足实体的安全需求,实体则应制定补救方案、更新或者甚至在必要时替换该技术。
除上述实践外,组织可能还想考虑对其安全职能部门实施职责分离,以便将安全和/或审核职能部门从业务职能部门中分离出去。在一人负责多角(例如管理和安全操作)的环境中,可分配职责,这样便能确保在没有独立检查点时无人具备端对端的流程控制。例如,配置职责和变更审批职责可以分配给不同的人员。
其他来源的知识start:
故障转移
在计算机术语中,故障转移(英语:failover),即当活动的服务或应用意外终止时,快速启用冗余或备用的服务器、系统、硬件或者网络接替它们工作。
对于要求高可用和高稳定性的服务器、系统或者网络,系统设计者通常会设计故障转移功能。
在服务器级别,自动故障转移通常使用一个“心跳”线连接两台服务器。只要主服务器与备用服务器间脉冲或“心跳”没有中断,备用服务器就不会启用。为了热切换和防止服务中断,也可能会有第三台服务器运行备用组件待命。当检测到主服务器“心跳”报警后,备用服务器会接管服务。有些系统有发送故障转移通知的功能。
有些系统故意设计为不能进行完全自动故障转移,而是需要管理员介入。这种“人工确认的自动故障转移”配置,当管理员确认进行故障转移后,整个过程将自动完成。
负载平衡(Load balancing)
是一种计算机技术,用来在多个计算机(计算机集群)、网络连接、CPU、磁盘驱动器或其他资源中分配负载,以达到最优化资源使用、最大化吞吐率、最小化响应时间、同时避免过载的目的。 使用带有负载平衡的多个服务器组件,取代单一的组件,可以通过冗余提高可靠性。负载平衡服务通常是由专用软件和硬件来完成。 主要作用是将大量作业合理地分摊到多个操作单元上进行执行,用于解决互联网架构中的高并发和高可用的问题。
灾难恢复(Disaster recovery,也称灾备)
指自然或人为灾害后,重新启用信息系统的数据、硬件及软体设备,恢复正常商业运作的过程。灾难恢复规划是涵盖面更广的业务连续规划的一部分,其核心即对企业或机构的灾难性风险做出评估、防范,特别是对关键性业务数据、流程予以及时记录、备份、保护。
虚拟化
在计算机技术中,虚拟化(技术)或虚拟技术(英语:Virtualization)是一种资源管理技术,是将计算机的各种实体资源(CPU、内存、磁盘空间、网络适配器等),予以抽象、转换后呈现出来并可供分区、组合为一个或多个计算机配置环境。由此,打破实体结构间的不可切割的障碍,使用户可以比原本的配置更好的方式来应用这些计算机硬件资源。这些资源的新虚拟部分是不受现有资源的架设方式,地域或物理配置所限制。一般所指的虚拟化资源包括计算能力和数据存储。
其他来源的知识end:
HSM
“硬件安全模块”或“主机安全模块”的缩写。物理和逻辑上受保护的硬件设备,会提供加密服务的安全集合以用于密钥管理函数和/或帐户数据的解密。
PTS
“PIN 交易安全”的缩写(PIN Transaction Security,密码交易安全),PTS 受 PCI 安全标准委员会管理,是 PIN 认可 POI 终端的模块化评估要求集合。
2017年3月21日,支付安全研讨会暨PCI PTS检测资质授权仪式在京召开。中国人民银行、中国银联、PCISSC、商业银行、支付机构、终端企业代表等共计100余人参加本次会议。
银行卡检测中心渠韶光总经理接过PCI SSC国际总监Jeremy King的授权证书,宣布银行卡检测中心正式成为中国首家本土PCI PTS(PIN Transaction Security,密码交易安全)安全检测机构,也是PCI SSC授权认可的全球第8家PTS检测机构。中心秉持“建设国内一流且与国际接轨的专业检测机构”的战略目标,紧跟国际银行卡和电子支付产业的发展趋势,经过十年的努力与积累,建成中国首家本土PCI PTS安全检测机构。这也是银行卡检测中心继2013年获得PCI DSS(Data Security Standard,数据安全标准)合规评估扫描资质后,再次取得PCI检测资质,可为产业相关各方提供全面的PCI PTS认证检测和DSS合规评估扫描服务
POI
“交互点”的缩写,从卡中读取数据的起点。电子交易认可产品,POI 由硬件和软件组成且托管在认可设备中,可让持卡人执行支付卡交易。POI 可能有人看管,也可能无人看管。POI 交易一般是集成电路(芯片)和/或磁条卡支付交易。