記錄一下PCI DSS標準

攜程在手，說走就走  這句話真好

我沒作過飛機，沒有住過賓館，攜程的漏洞與我無關

不過我從中學到了PCI DSS安全標準，在此記錄一下

全稱Payment Card Industry (PCI) Data Security Standard,第三方支付行業(支付卡行業PCI DSS)數據安全標準，是由PCI安全標準委員會的創始成員(visa、mastercard、American Express、Discover Financial Services、JCB等)制定，力在使國際上採用一致的數據安全措施，如下簡稱PCI DSS

PCI DSS對於支付網關的安全方面做出標準的要求，其中包括安全管理、策略、過程、網絡體系結構、軟件設計的要求的列表等，全面保障交易安全。PCI DSS適用於全部涉及支付卡處理的實體，包括商戶、處理機構、購買者、發行商和服務提供商及儲存、處理或傳輸持卡人資料的全部其餘實體。PCI DSS包括一組保護持卡人信息的基本要求，並可能增長額外的管控措施，以進一步下降風險

PCI DSS信息安全標準有6大項，12小項，整個PCI安全標準基本就圍繞這些項目進行的，正在或準備有意向要作PCI合規審查的組織能夠做爲參考

• 安全概要

創建並維護安全的網絡

一、安裝於維護防火牆設定以保護持卡人資料。

二、對於系統密碼及其餘安全參數，不能使用供應商提供的預設值（默認密碼）。

保護持卡人信息

三、保護存儲的持卡人資料。

四、加密經過開放的公用網絡傳輸的持卡人資料。

維護漏洞管理程序

五、使用並按期更新殺毒軟件或程序。

六、開發並維護安全系統和應用程序。

實施嚴格的存儲控制措施

七、限制爲只有業務須要的人才能存取持卡人資料。

八、爲具備電腦存取權的每一個人指定惟一的ID。

九、限制對持卡人資料的實際存儲。

按期監控並測試網絡

十、追蹤並監控對網絡資源及持卡人資料的全部存取。

十一、按期測試安全系統和程序。

維護信息安全政策

   十二、維護知足全部人員信息安全需求的政策。

注：源自百度百科