SOC 1、SOC 2 和 SOC 3

StateRAMP

联邦RAMP

中国移动通信集团

DFARS NIST 800-171

NIST 800-53

工业标准

PCI DSS RoC 和 SAQ

PCI SSF 评估

ACAB LADMF DMF 审计

IRS 1075 审计服务

IRS 4812 审计服务

SCA-V 审计服务

FDA 21 CFR 第 11 部分审计

MARS-E 审计服务

HIPAA、HITECH 和有意义的使用

NVLAP 通用标准

欧洲能源委员会 CIP

萨班斯-奥克斯利法案 (SOX)

FTC 保障措施规则审计服务

《通用数据保护条例》（GDPR）

C5

ENS

印度——数字个人数据保护法（DPDP）

ISO 27001

ISO 27701

ISO 27017

ISO 27018

ISO 9001

ISO 90003

ISO 22301

ISO 30141

ISO 31000

企业及运营风险

NIST风险管理框架（RMF）

ISO 31000

NIST 800-30 | 800-37

威胁评估与补救分析 (TARA)

信息和相关技术控制目标 (COBIT)

运营关键威胁、资产和漏洞评估 (OCTAVE)

隐私审计与合规

SOC 2 隐私

CPRA 和 CCPA

PIPEDA 隐私

GDPR隐私

印度——数字个人数据保护法（DPDP）

GLBA 隐私

HIPAA 隐私

瑞士-美国隐私护盾

美国州隐私法

漏洞和渗透测试

红队演习

经过验证的渗透测试

经过验证的漏洞测试

静态代码分析

动态代码分析

SCAP 基准测试

物理安全测试

无线安全测试

社会工程学或人为黑客

网络钓鱼测试

拉撒路联盟实验室

政策与治理

CYBERVISOR® 咨询服务

为什么选择我们？

博客

联系我们！

媒体关系

无风险咨询

对 PCI DSS 合规性感到困惑？本文将解释 PCI DSS 以及遵守这一重要信息安全标准的重要性。

什么是PCI DSS？

PCI DSS 代表 支付卡行业 (PCI) 数据安全标准 (DSS)。 PCI DSS 是各大信用卡品牌于 2004 年制定的专有信息安全标准。该标准适用于处理各大品牌信用卡的组织，包括 Visa、MasterCard、American Express、Discover 和 JCB。PCI DSS 不涵盖与各大信用卡品牌无关的自有品牌卡，例如百货商店信用卡。

PCI DSS 包含符合广泛接受的数据安全最佳实践的常识性步骤。PCI DSS 标准的目标是帮助商家安全地处理信用卡交易并防止欺诈。

谁必须遵守 PCI DSS？法律是否要求遵守 PCI DSS？

虽然 PCI DSS 不是美国联邦法律强制要求的，但一些州的法律明确提及 PCI DSS 或包含同等强制标准。此外，主要信用卡品牌要求全球所有接受或处理其信用卡的组织都遵守 PCI DSS。如果您的组织处理、存储或传输持卡人数据，则您必须遵守 PCI DSS。

PCI DSS 合规性包含哪些内容？

PCI DSS 列出了 12 项要求，每项要求都属于六个类别或“目标”之一。以下是这些目标及其相应要求的简要概述：

目标 1：建立并维护安全网络

组织必须安装和维护安全的网络来进行交易，包括使用有效但不会给持卡人或供应商带来过度不便的防火墙。

组织不得使用供应商提供的系统密码和其他安全参数的默认设置，因为这些默认设置已被黑客广泛知晓。它们应该被改变 before 网络上安装了系统。

目标 2：保护持卡人数据

除非绝对必要，否则不应存储持卡人数据（无论是电子形式还是纸质形式）。磁条和芯片数据应 决不要 存储。当需要存储持卡人数据时，必须安全存储。主帐号 (PAN) 必须不可读。

通过开放的公共网络传输的持卡人数据必须加密。

目标 3：维护漏洞管理计划

必须使用防病毒软件并定期更新。

所有系统和应用程序都必须安全，没有可能导致数据泄露的错误或漏洞。软件和操作系统应保持最新状态；供应商提供的补丁应立即安装。

目标 4：实施强有力的访问控制措施

员工应基于“需要知道”的原则访问持卡人数据；员工应该只能访问他们工作中绝对需要的系统和数据。

每个用户都应该有一个唯一的 ID 来访问系统，并且应该使用强密码或密码短语、生物识别技术、令牌设备或智能卡对用户进行身份验证。

数据必须得到物理和电子保护。这涉及的措施包括限制对建筑物不同部分的物理访问、维护访客日志、物理保护媒体、强制使用文件粉碎机以及给垃圾箱上锁。

目标 5：定期监控和测试网络

所有对网络资源和持卡人数据的访问都必须进行跟踪、监控和定期测试。审计线索应得到保护，审计线索历史记录应保留至少一年，其中至少三个月的历史记录始终可供分析。

应定期测试安全系统和流程，尤其是在部署新软件或系统更改之后。

目标 6：维护信息安全政策

组织必须制定全面的安全政策，以满足所有 PCI DSS 要求。所有人员都应接受有关持卡人数据敏感性及其在数据安全方面的具体职责的培训。这些职责必须明确定义并始终遵守。

如果我不符合 PCI DSS，并且发生数据泄露，会发生什么情况？

尽管联邦法律并未规定 PCI DSS，但您的企业可能会被发现违反所在州的数据隐私法律，其中一些法律与 PCI DSS 标准相似或直接引用。此外，强制执行 PCI DSS 的信用卡公司可能会对您的组织处以数万甚至数十万美元的罚款；如果您无法支付罚款，您将无法再接受他们的信用卡。

尽管联邦政府没有强制实施 PCI DSS，但联邦执法部门仍可能介入，以确保从您的组织窃取的信用卡数据不会被用于资助恐怖活动。当然，您的客户数据也会被泄露，这可能会对您组织的声誉造成巨大的、甚至无法挽回的损害和/或民事诉讼。

我该怎么做才能确保我的组织符合 PCI DSS 标准？

PCI DSS 重点关注组织可以采取的主动措施，以保护持卡人数据并防止违规。Lazarus Alliance 同意这种方法；我们认为，确保安全并防止违规要比不得不对违规做出反应并面临高额罚款、法律后果和组织声誉受损要好得多。

PCI DSS 合规性要求的具体内容相当复杂。幸运的是， PCI DSS 合规性 Lazarus Alliance 的专家将为您提供帮助。 作为 PCI DSS 审计合格安全评估商 (QSA)，Lazarus Alliance 已获得 PCI 安全标准委员会 (SSC) 的批准，可衡量组织对 PCI DSS 审计标准的遵守情况。Lazarus Alliance 专门为客户提供 可扩展、高效的解决方案，满足严格要求 PCI DSS 合规性。

Lazarus Alliance 提供全方位的风险评估和风险管理服务，帮助世界各地的公司维持主动的网络安全计划。Lazarus Alliance 是主动的网络安全®。请致电 1-888-896-7580 讨论贵组织的网络安全需求，并了解我们如何帮助您遵守 PCI DSS。