满足PCI DSS第三方风险要求

组织必须制定有效的第三方风险管理 (TPRM) 计划,以确保其供应商满足网络安全要求。否则,他们将承担因客户数据泄露而造成的财务和声誉损害的风险。PCI DSS 标准涵盖了第三方风险管理的各个方面,因为它适用于所有处理信用卡数据的组织,尤其是受到严格监管的金融行业。避免巨额罚款和负面新闻头条足以鼓励 PCI 合规性。这些担忧往往掩盖了标准实施的实际好处,例如安全态势成熟度和更有效的 TPRM 实践。

满足PCI DSS第三方风险要求-南华中天

什么是 PCI DSS?

支付卡行业数据安全标准 (PCI DSS)是一项国际信息安全标准,旨在保护信用卡数据和敏感的身份验证数据并减少信用卡欺诈。该标准于 2004 年首次发布,调整了五个主要支付品牌——Visa、MasterCard、Discover、American Express 和 JCB 的数据安全控制。自 2006 年五个卡品牌成立其管理机构——支付卡行业安全标准委员会 (PCI SSC) 以来,PCI DSS 经历了多次修订。

PCI DSS 的最新版本是 v3.2.1,于 2018 年 5 月发布。自 2013 年以来最重大的变化将伴随着PCI DSS 4.0 的预期发布,即 2022 年第一季度,这将解决数字化转型和不断扩大的攻击面。

任何处理信用卡或借记卡数据的组织都必须符合 PCI 标准。此类组织包括:

  • 收购方
  • 处理器
  • 商家
  • 银行
  • 第三方服务提供商

PCI DSS 合规性要求是什么?

最新版本的 PCI DSS包含 12 项主要要求,分为六个更广泛的目标。

目标 1:建立和维护安全的网络和系统

要求 1.安装并维护防火墙配置以保护持卡人数据。

要求 2.不要将供应商提供的默认值用于系统密码和其他安全参数。

目标 2:保护持卡人数据

要求 3.保护存储的持卡人数据。

要求 4.加密跨开放公共网络的持卡人数据传输。

目标 3:维护漏洞管理计划

要求 5.保护所有系统免受恶意软件的侵害,并定期更新防病毒软件或程序。

要求 6.开发和维护安全的系统和应用程序。

目标 4:实施强大的访问控制措施

要求 7.限制业务需要知道的对持卡人数据的访问。

要求 8.识别和验证对系统组件的访问。

要求 9.限制对持卡人数据的物理访问。

目标 5:定期监控和测试网络

要求 10.跟踪和监控对网络资源和持卡人数据的所有访问。

要求 11.定期测试安全系统和流程。

目标 6:维护信息安全策略

要求 12.维护针对所有人员的信息安全问题的政策。

PCI 安全标准委员会要求每年对合规性进行验证。商户必须完成自我评估问卷 (SAQ),如果他们处理大量交易,他们将接受合格安全评估员的现场审核。不遵守 PCI DSS 的组织将面临每月 5,000 至 100,000 美元不等的罚款。

满足PCI DSS第三方风险要求-南华中天

PCI DSS 合规级别

有四种不同级别的 PCI DSS 合规性要求,具体取决于:

  • 商家处理的信用卡交易数量,
  • 商家使用的支付处理媒介,以及
  • 商户的数据泄露状态。

1级

涵盖每年处理超过 600 万笔信用卡交易(包括现实世界和电子商务交易)的商家,或任何最近经历过数据泄露的商家。

合规 要求: 

  • 由合格的安全评估员 (QSA) 进行的年度审计
  • 由经批准的扫描供应商 (ASV) 执行的季度网络扫描
  • 每年收到合规证明 (AoC) 和合规报告 (RoC)

2级

涵盖每年处理 1 到 600 万次信用卡交易的商家,包括现实世界和电子商务交易。

合规要求:

  • 每年完成一份自我评估问卷 (SAQ)
  • 由经批准的扫描供应商 (ASV) 执行的季度网络扫描

3级

涵盖每年处理 20,000 至 100 万笔电子商务交易的商家。

合规要求:

  • 每年完成一份自我评估问卷 (SAQ)
  • 由经批准的扫描供应商 (ASV) 执行的季度网络扫描

4级

涵盖每年处理少于 20,000 和 100 万笔电子商务交易或每年处理多达 100 万笔实际交易的商家。

合规要求:

  • 每年完成一份自我评估问卷 (SAQ)
  • 由经批准的扫描供应商 (ASV) 执行的季度网络扫描

第三方的 PCI DSS 要求是什么?

PCI 安全标准委员会的信息补充:第三方安全保证文件指出,实体可以将其信用卡业务外包给第三方服务提供商 (TPSP),例如“代表实体存储、处理或传输持卡人数据,或管理实体持卡人数据环境 (CDE) 的组件。”

常见的 TPSP 包括:

  • 应用程序托管
  • 数据中心
  • 支付网关提供商
  • 云基础设施
  • 加密或令牌化服务
  • 托管安全服务
  • 支付处理器

CDE 组件包括:

  • 路由器
  • 防火墙
  • 数据库
  • 物理安全
  • 和/或服务器

虽然理事会承认此类 TPSP“……可以成为实体持卡人数据环境的组成部分……影响实体的 PCI DSS 合规性……[和]持卡人数据环境的安全性”,但它强调实体“最终 [ly] ] 负责[le] 自己的 PCI DSS 合规性,[而不是] 免除……确保其持卡人数据 (CHD) 和 CDE 安全的责任和义务。”

满足PCI DSS第三方风险要求-南华中天

PCI SSC 在四个主要领域提供指导,以帮助实体实施符合 PCI DSS 标准安全要求的 TPRM 计划。

1. 第三方服务商尽职调查

进行供应商尽职调查,以确保根据其安全实践审查和选择潜在供应商 。

2. 与 PCI DSS 要求的服务相关性

就 TPSP 将满足哪些 PCI DSS 要求以及实体将满足哪些要求达成相互协议,并了解实体最终对合规性负责。

3. 书面协议和政策和程序

创建书面协议,明确说明 TPSP 和实体就 PCI DSS 合规性要求达成的共同协议。

4. 监控第三方服务提供商合规状态

了解每个相关 TPSP 的 PCI DSS 合规状态,以确保实体本身保持合规。

PCI DSS 第三方风险要求

PCI 数据安全标准包括一个简明的供应商风险管理计划,根据要求 12.8 进行细分,其中包含五个子要求和一个专门针对第三方服务提供商的附加要求。

要求 12.8

“制定并实施政策和程序,以管理共享持卡人数据或可能影响持卡人数据安全的服务提供商。”

政策和程序应涵盖以下子要求。

子要求 12.8.1

“维护服务提供商列表,包括对所提供服务的描述。”