要求和安全评估程序
3.2.1版2018年5月
文档变更记录
日期 版本 描述 页码2008年 10月 1.2 版做了综合和具体变更.如需完整信息,请参阅PCIDSS1.1版到1.2版的PCI数据安全标准变更汇总. 将PCIDSS1.2版改称“PCIDSS要求和安全评估程序”,以避免文档之间的重复,并对PCIDSS安全审核程序1.1增补PCIDSS1.1版和1.2版之间被误删的句子. 5,, 322009年 7月 1.2.1 33的任何要求定义补偿性控制”. 92010年 10月 2.0 更新并实施1.2.1版的变更.请参阅PCIDSS-PCIDSS1.2.1版到2.0版的变更汇总.2013年11月 3.0 从2.0版更新.请参阅PCIDSS-PCIDSS2.0版到3.0版的变更汇总.2015年 3.1 从PCIDSS3.0版更新.有关变更详情,请参阅PCIDSS-PCIDSS3.0版到3.1版的变更汇总.4月2016年 4月 3.2 从PCIDSS3.1版更新.有关变更详情,请参阅PCIDSS-PCIDSS3.1版到3.2版的变更汇总.2018年 从PCIDSS3.2版更新.有关变更详情,请参阅PCIDSS-PCIDSS3.2版到3.2.1版的变更汇总.5月 3.2.1
确认通知:
在使用目的和情况下,PCISSC网站上的英文文本应作为此文件的官方版本.当翻译文本和英文文本之间出现任何歧义和不一致之处时,正确的内容应以该位置的英文文本为准.
目录
网络分段 11无线12
要求1: 安装并维护防火增配置以保护持卡人数据 21要求2: 不要使用供应商提供的默认系统密码和其他安全家数 27
保护持卡人数据
要求3: 保护存储的持卡人数据.. 33
维护漏洞管理计划44
要求5: 为系统提供恶意软件防护并定期更新杀毒软件或程序, ..44要求6: 开发并维护安全的系统和应用程序. ..47
要求7: 按业务知情需要限制对持卡人数据的访问. ...57要求8: 识别并验证对系统组件的访问 ..59要求9: 限制对持卡人数据的物理访问.. 68
定期监控并测试网络 ..75
要求10: 跟踪并监控对网络资源和持卡人数据的访问 .75要求11: 定期测试安全系统和流程. 82
维护信息安全政策89
要求12:维护针对工作人员的信息安全政策. ..89
附录AI:针对共享托管服务提供商的PCIDSS附加要求, ...8附录A2:针对使用SSL/早期TLS进行实卡POSPOI终端连接的实体的PCIDSS附加要求. 100附录A3:指定实体补充认证(DESV) 103
Secartyt
支付卡行业(PC1)数据安全标准,3.2.1版第5页 2006-2018PCI安全标准委员会.
保留权利.
2018年5月
