[安全] PCI DSS 安全支付合规解决方案
![[安全] PCI DSS 安全支付合规解决方案](../cardmapr-nl-s8F8yglbpjo-unsplash.jpg)
什么是 PCI DSS
支付卡行业安全标准是 PCI 安全标准协会 (PCI SSC) 制定的用来保护持卡人数据安全的技术与作业要求,适用于所有涉及储存、 处理或传输持卡人数据的组织。PCI 安全标准协会负责管理支付卡行业安全标准,该标准由其创始成员美国运通 (American Express)、发现金融服务 (Discover Financial Services)、JCB 国际、万事达 (MasterCard Worldwide) 和 Visa 国际所共同制定, 并以五种不同的方案面世,包括:Visa 卡信息安全计划、Master 卡站点持卡人数据保护、American Express 卡持卡人数据安 全作业政策、Discover 卡信息与合规性,和 JCB 卡持卡人数据安全方案。每家公司的目标大致相同,即为发卡机构创建一个额 外的保护级别,确保商家存储、处理和传输持卡人数据达到所要求的最低安全水平。因此,五家公司共同成立支付卡行业安全 标准协会,并于 2004 年 12 月 15 日整合各自的政策之后,公布了支付卡行业持卡人数据安全标准 (PCI DSS)。
背景
支付卡行业数据安全标准 (PCI DSS) 是一组专有信息安全标准,由 PCI 安全标准委员会管理,该委员会由 American Express、Discover Financial Services、JCB International、MasterCard Worldwide 和 Visa Inc. 创建。
PCI DSS 适用于存储、处理或传输持卡者数据 (CHD) 或敏感身份验证数据 (SAD) 的实体,包括商家、处理机构、购买方、发行机构和服务提供商。PCI DSS 由多家支付卡品牌联合制定,由支付卡行业安全标准委员会管理。
支付卡行业数据安全标准(PCI DSS)详细讲述了对存储、处理或传输持 卡人数据的商家和服务提供商的安全要求。为证实其符合PCIDSS标准,商家 和服务提供商可能会应每一个支付卡公司所确定的要求而定期进行PCI安全扫描。
PCI DSS 云计算指南
PCI 安全标准委员会面向云计算服务客户、服务提供商和评估机构发布了 PCI DSS 云计算指南。它还介绍了各种服务模式以及如何在提供商与客户之间分配合规性管理角色和职责。
企业如何确保 PCI DSS 合规
公司主要使用两种方法来执行每年的 PCI DSS 合规性评估。
- 第一种方法是聘请外部的合格安全评估机构 (QSA) 对您的适用环境进行评估,然后出具合规性报告 (ROC) 与合规性证明 (AOC);需要处理大量事务的实体通常会采用这种方法。
- 第二种方法是执行自我评估问卷 (SAQ);只需处理少量事务的实体通常采用这种方法。
请注意,应履行合规性要求的是支付卡品牌和购买方,而非 PCI 委员会。
PCI DSS 合规对于技术要求?
PCI DSS 通用要求概述
|建立和维护一个安全的网络和系统 | 1. 安装并维护防火墙配置,以保护持卡者数据
| 2. 请勿使用供应商提供的系统密码和其他安全参数的默认设置 | |
|---|---|
| 保护持卡者数据 | |
| 3. 保护存储的持卡者数据 | |
| 4. 在开放公用网络上传输持卡者数据时进行加密 | |
| 维护漏洞管理程序 | |
| 5. 保护所有系统免受恶意软件攻击,定期更新杀毒软件或程序 | |
| 6. 开发并维护安全的系统和应用程序 | |
| 部署严格的访问控制措施 | |
| 7. 根据企业需要限制对持卡者数据的访问 | |
| 8. 对系统组件的访问进行识别和身份验证 | |
| 9. 限制对持卡者数据的物理访问 | |
| 定期监控和测试网络 | |
| 10. 跟踪并监控对网络资源和持卡者数据的所有访问 | |
| 11. 定期测试安全系统和流程 | |
| 维护信息安全策略 | |
| 12. 维护一套旨在为所有人员解决信息安全问题的策略 |
数据传输加密对于 PCI DSS 合规至关重要。由于某些客户(例如非 PCI 客户)需要选择此协议,因此 AWS 没有在所有服务中弃用 TLS 1.0,但 AWS 服务会单独评估针对客户服务禁用 TLS 1.0 为客户带来的影响,并且可能会选择弃用它。客户还可使用 FIPS 终端节点来确保其强加密的使用。AWS 会将所有 FIPS 终端节点更新到至少 TLS 1.2 版本。
如何确保基于 AWS 服务的应用架构满足TLS?
AWS 为 PCI 提供的所有范围内服务均支持 TLS 1.1 或更高版本;对于需要 TLS 1.0 的客户(非 PCI 客户),其中一些服务还会支持 TLS 1.0。客户有责任升级他们的系统以启动与 AWS 的握手,该握手使用安全 TLS,即 TLS 1.1 或更高版本。客户应使用和配置 AWS 负载均衡器(Application Load Balancer 或 Classic Load Balancer),以便使用 TLS 1.1 或更高版本进行安全通信,方法是选择预定义的 AWS 安全策略,该策略可确保客户端与负载均衡器之间的加密协议协商使用 TLS 1.2 等。例如,AWS Load Balancer 安全策略 ELBSecurityPolicy-TLS-1-2-2018-06 仅支持 TLS 1.2。
PCI DSS 安全参考架构
请参考 https://d1.awsstatic.com/whitepapers/compliance/pci-dss-compliance-on-aws.pdf
PCI DSS Compliance on AWS 指南
Amazon Network Border
- VPC
- NACL
- IAM
- VPC Endpoints
- WAF
- TLS
Change Vendor Defatuls
- IAM
- AWS Cognito
- AWS Directory Service
Configuration Standards
- Center for Internet Security (CIS) Benchmark for AWS
- CIS Benchmarks for EC2 instance types
- AWS Trusted Advisor
- AWS Security Best Practices
- AWS Security Checklist
- AWS Well-Architected Framework
Secure Key Management
- KMS
- CloudHSM
PCI DSS 检查项
基于 Continuous compliance 解决方案,可以设置如下的检查项
PCI DSS 检查项统计
