組織必須制定有效的第三方風險管理 (TPRM) 計劃，以確保其供應商滿足網絡安全要求。否則，他們將承擔因客戶數據泄露而造成的財務和聲譽損害的風險。PCI DSS 標準涵蓋了第三方風險管理的各個方面，因為它適用于所有處理信用卡數據的組織，尤其是受到嚴格監管的金融行業。避免巨額罰款和負面新聞頭條足以鼓勵 PCI 合規性。這些擔憂往往掩蓋了標準實施的實際好處，例如安全態勢成熟度和更有效的 TPRM 實踐。

什么是 PCI DSS？

支付卡行業數據安全標準 (PCI DSS)是一項國際信息安全標準，旨在保護信用卡數據和敏感的身份驗證數據并減少信用卡欺詐。該標準于 2004 年首次發布，調整了五個主要支付品牌——Visa、MasterCard、Discover、American Express 和 JCB 的數據安全控制。自 2006 年五個卡品牌成立其管理機構——支付卡行業安全標準委員會 (PCI SSC) 以來，PCI DSS 經歷了多次修訂。

PCI DSS 的最新版本是 v3.2.1，于 2018 年 5 月發布。自 2013 年以來最重大的變化將伴隨著PCI DSS 4.0 的預期發布，即 2022 年第一季度，這將解決數字化轉型和不斷擴大的攻擊面。

任何處理信用卡或借記卡數據的組織都必須符合 PCI 標準。此類組織包括：

• 收購方
• 處理器
• 商家
• 銀行
• 第三方服務提供商

PCI DSS 合規性要求是什么？

最新版本的 PCI DSS包含 12 項主要要求，分為六個更廣泛的目標。

目標 1：建立和維護安全的網絡和系統

要求 1.安裝并維護防火墻配置以保護持卡人數據。

要求 2.不要將供應商提供的默認值用于系統密碼和其他安全參數。

目標 2：保護持卡人數據

要求 3.保護存儲的持卡人數據。

要求 4.加密跨開放公共網絡的持卡人數據傳輸。

目標 3：維護漏洞管理計劃

要求 5.保護所有系統免受惡意軟件的侵害，并定期更新防病毒軟件或程序。

要求 6.開發和維護安全的系統和應用程序。

目標 4：實施強大的訪問控制措施

要求 7.限制業務需要知道的對持卡人數據的訪問。

要求 8.識別和驗證對系統組件的訪問。

要求 9.限制對持卡人數據的物理訪問。

目標 5：定期監控和測試網絡

要求 10.跟蹤和監控對網絡資源和持卡人數據的所有訪問。

要求 11.定期測試安全系統和流程。

目標 6：維護信息安全策略

要求 12.維護針對所有人員的信息安全問題的政策。

PCI 安全標準委員會要求每年對合規性進行驗證。商戶必須完成自我評估問卷 (SAQ)，如果他們處理大量交易，他們將接受合格安全評估員的現場審核。不遵守 PCI DSS 的組織將面臨每月 5,000 至 100,000 美元不等的罰款。

PCI DSS 合規級別

有四種不同級別的 PCI DSS 合規性要求，具體取決于：

• 商家處理的信用卡交易數量，
• 商家使用的支付處理媒介，以及
• 商戶的數據泄露狀態。

1級

涵蓋每年處理超過 600 萬筆信用卡交易（包括現實世界和電子商務交易）的商家，或任何最近經歷過數據泄露的商家。

合規?要求：?

• 由合格的安全評估員 (QSA) 進行的年度審計
• 由經批準的掃描供應商 (ASV) 執行的季度網絡掃描
• 每年收到合規證明 (AoC) 和合規報告 (RoC)

2級

涵蓋每年處理 1 到 600 萬次信用卡交易的商家，包括現實世界和電子商務交易。

合規要求：

• 每年完成一份自我評估問卷 (SAQ)

• 由經批準的掃描供應商 (ASV) 執行的季度網絡掃描

3級

涵蓋每年處理 20,000 至 100 萬筆電子商務交易的商家。

合規要求：

• 每年完成一份自我評估問卷 (SAQ)

• 由經批準的掃描供應商 (ASV) 執行的季度網絡掃描

4級

涵蓋每年處理少于 20,000 和 100 萬筆電子商務交易或每年處理多達 100 萬筆實際交易的商家。

合規要求：

• 每年完成一份自我評估問卷 (SAQ)

• 由經批準的掃描供應商 (ASV) 執行的季度網絡掃描

第三方的 PCI DSS 要求是什么？

PCI 安全標準委員會的信息補充：第三方安全保證文件指出，實體可以將其信用卡業務外包給第三方服務提供商 (TPSP)，例如“代表實體存儲、處理或傳輸持卡人數據，或管理實體持卡人數據環境 (CDE) 的組件。”

常見的 TPSP 包括：

• 應用程序托管
• 數據中心
• 支付網關提供商
• 云基礎設施
• 加密或令牌化服務
• 托管安全服務
• 支付處理器

CDE 組件包括：

• 路由器
• 防火墻
• 數據庫
• 物理安全
• 和/或服務器

雖然理事會承認此類 TPSP“……可以成為實體持卡人數據環境的組成部分……影響實體的 PCI DSS 合規性……[和]持卡人數據環境的安全性”，但它強調實體“最終 [ly] ] 負責[le] 自己的 PCI DSS 合規性，[而不是] 免除……確保其持卡人數據 (CHD) 和 CDE 安全的責任和義務。”

PCI SSC 在四個主要領域提供指導，以幫助實體實施符合 PCI DSS 標準安全要求的 TPRM 計劃。

1. 第三方服務商盡職調查

進行供應商盡職調查，以確保根據其安全實踐審查和選擇潛在供應商?。

2. 與 PCI DSS 要求的服務相關性

就 TPSP 將滿足哪些 PCI DSS 要求以及實體將滿足哪些要求達成相互協議，并了解實體最終對合規性負責。

3. 書面協議和政策和程序

創建書面協議，明確說明 TPSP 和實體就 PCI DSS 合規性要求達成的共同協議。

4. 監控第三方服務提供商合規狀態

了解每個相關 TPSP 的 PCI DSS 合規狀態，以確保實體本身保持合規。

PCI DSS 第三方風險要求

PCI 數據安全標準包括一個簡明的供應商風險管理計劃，根據要求 12.8 進行細分，其中包含五個子要求和一個專門針對第三方服務提供商的附加要求。

要求 12.8

“制定并實施政策和程序，以管理共享持卡人數據或可能影響持卡人數據安全的服務提供商。”

政策和程序應涵蓋以下子要求。

子要求 12.8.1

“維護服務提供商列表，包括對所提供服務的描述。”