没有合适的资源?快使用搜索试试~ 我知道了~
支付卡行业 (PCI) 支付应用程序数据安全标准2
需积分: 0 0 下载量 163 浏览量
2022-08-03
16:54:08
上传
评论
收藏 725KB PDF 举报
温馨提示
试读
77页
简介文件目的集成商与经销商PA-DSS 对终端硬件上的支付应用程序的适用性 9支付应用程序合格安全性评估商 (PA-QSA) 要求 12测试实验室认证报告的说明
资源详情
资源评论
资源推荐
支付卡行业
(PCI)
支付应用程序数据安全标准
要求和安全评估程序
3.2
版
2016 年 5 月
支付卡行业
(PCI)
支付应用程序数据安全标准,
3.2
版
第
2 页
© 2006-2016 PCI
安全标准委员会版权所有。保留所有权利。
2016
年
5
月
文档变更记录
日期
版本
描述
页码
2008 年 10 月 1
日
1.2
根据新的 PCI DSS 1.2 版调整内容并实施原始 1.1 版中标出的微小变更。
2009 年 7 月
1.2.1
在“PA-DSS 的范围”中,根据《PA-DSS 计划指南》(1.2.1 版)对内容进行调整,以明确 PA-
DSS 所适用的应用程序。
v、vi
在“实验室要求 6”中,更正了“OWASP”的拼写。
30
在“认证证明第 2a 部分”中,对“支付应用程序功能”进行了更新,以便与《PA-DSS 计划指南》中
列出的应用程序类型保持一致,并在第 3b 部分中明确了年度重新认证程序。
32、33
2010 年 10 月
2.0
更新和实施针对 1.2.1 版的微小变更,并根据新的 PCI DSS 2.0 版进行调整。有关详细信息,请
参阅 PA-DSS – PA-DSS 1.2.1
版到
2.0
版的变更汇总。
2013 年 11 月
3.0
从 PA-DSS 2.0 版更新。有关变更详情,请参阅 PA-DSS – PA-DSS 2.0
版到
3.0
版的变更汇
总。
2015 年 5 月
3.1
从 PA-DSS 3.0 版更新。有关变更详情,请参阅 PA-DSS – PA-DSS 3.0
版到
3.1
版的变更汇
总
。
2016 年 5 月
3.2
从 PA-DSS 3.1 版更新。有关变更详情,请参阅 PA-DSS – PA-DSS 3.1
版到
3.2
版的变更汇
总
。
支付卡行业
(PCI)
支付应用程序数据安全标准,
3.2
版
第
3 页
© 2006-2016 PCI
安全标准委员会版权所有。保留所有权利。
2016
年
5
月
目录
文档变更记录 .................................................................................................................................................................................................................. 2
简介 ....................................................................................................................................................................................................................... 5
文件目的 ....................................................................................................................................................................................................... 5
PCI DSS 与 PA-DSS 的关系 ........................................................................................................................................................................................ 5
集成商与经销商 ....................................................................................................................................................................................................... 6
PCI DSS 适用性信息 ...................................................................................................................................................................................................... 6
PA-DSS 的范围 .............................................................................................................................................................................................................. 8
PA-DSS 对终端硬件上的支付应用程序的适用性 ........................................................................................................................................................... 9
《PA-DSS 实施指南》 ................................................................................................................................................................................................. 11
支付应用程序合格安全性评估商 (PA-QSA) 要求 ......................................................................................................................................................... 12
测试实验室 ..................................................................................................................................................................................................... 12
认证报告的说明与内容 ................................................................................................................................................................................................ 12
PA-DSS 实施步骤 ........................................................................................................................................................................................................ 13
《PA-DSS 计划指南》 ................................................................................................................................................................................................. 13
PA-DSS 要求和安全评估程序 ...................................................................................................................................................................................... 14
要求
1
:
不要保留全磁道数据、卡验证代码或值(
CAV2
、
CID
、
CVC2
、
CVV2
)或
PIN
数据块
....................................................................... 15
要求
2
:
保护存储的持卡人数据
............................................................................................................................................................................ 20
要求
3
:
提供安全的验证功能
................................................................................................................................................................................ 26
要求
4
:
记录支付应用程序活动
............................................................................................................................................................................ 33
要求
5
:
开发安全支付应用程序
............................................................................................................................................................................ 36
要求
6
:
保护无线传输
.......................................................................................................................................................................................... 49
要求
7
:
针对漏洞测试支付应用程序并实时更新支付应用程序
............................................................................................................................. 51
要求
8
:
便于安全的网络实施
................................................................................................................................................................................ 54
要求
9
:
绝不能在连接到互联网的服务器上存储持卡人数据
................................................................................................................................ 55
要求
10
:
便于对支付应用程序进行安全的远程访问
............................................................................................................................................... 56
要求
11
:
对经由公共网络传输的敏感信息进行加密
............................................................................................................................................... 58
支付卡行业
(PCI)
支付应用程序数据安全标准,
3.2
版
第
4 页
© 2006-2016 PCI
安全标准委员会版权所有。保留所有权利。
2016
年
5
月
要求
12
:
保护所有非控制台管理访问
..................................................................................................................................................................... 60
要求
13
:
为客户、经销商和集成商维护《
PA-DSS
实施指南》
............................................................................................................................. 61
要求
14
:
为工作人员分配
PA-DSS
职责,并为工作人员、客户、经销商和集成商维护培训计划
......................................................................... 62
附录 A:
《
PA-DSS
实施指南》
的内容概要 ................................................................................................................................................................. 64
附录 B:针对 PA-DSS 评估的测试实验室配置 ............................................................................................................................................................ 75
支付卡行业
(PCI)
支付应用程序数据安全标准,
3.2
版
第
5 页
© 2006-2016 PCI
安全标准委员会版权所有。保留所有权利。
2016
年
5
月
简介
文件目的
PCI 支付应用程序数据安全标准 (PA-DSS) 要求和安全评估程序定义了适用于支付应用程序软件供应商的安全要求和评估程序。本文件供支付应用
程序合格安全性评估商 (PA-QSA) 执行支付应用程序评估,以验证支付应用程序符合 PA-DSS 要求。有关如何记录 PA-DSS 评估并创建认证报告
(ROV) 的详细信息,PA-QSA 应该参阅位于 PCI 安全标准委员会 (PCI SSC) 网站 (www.pcisecuritystandards.org)
上的
PA-DSS ROV
报告模板
。
PCI 安全标准委员会 (PCI SSC) 网站 (www.pcisecuritystandards.org) 还提供了其他资源,包括认证证明、常见问题 (FAQ) 和
《
PCI DSS
和
PA-
DSS
术语、缩略词和首字母缩略词词汇表》
。
PCI DSS
与
PA-DSS
的关系
使用符合 PA-DSS 要求的应用程序并不意味着实体也符合 PCI DSS 要求,因为必须将应用程序实施到符合 PCI DSS 要求的环境中,并且需要按照
支付应用程序供应商提供的
《
PA-DSS
实施指南》
(按照 PA-DSS 要求 13)进行应用。PA-DSS 要求基于
支付卡行业数据安全标准
(PCI DSS)
要
求和安全评估程序
而制定,其中规定了哪些方面需要符合 PCI DSS 的要求(以及支付应用程序必须支持哪些功能以实现客户的 PCI DSS 遵从性)。
PCI DSS 可在 www.pcisecuritystandards.org 找到。
凡存储、处理或传输持卡人数据的应用程序均在实体的 PCI DSS 评估范围内,包括已按照 PA-DSS 验证的应用程序。PCI DSS 评估应该确认 PA-
DSS 支付应用程序已按照 PCI DSS 要求正确配置并安全实施。如果支付应用程序已经过任何定制,在 PCI DSS 评估期间则需开展更深入的审核,
因为该应用程序可能已经不再能代表经 PA-DSS 认证的版本
除非支付应用程序供应商可以存储、处理或传输持卡人数据或有权访问其客户的持卡人数据,否则不能将 PCI DSS 直接应用到该供应商。然而,由
于应用程序供应商的客户使用此类支付应用程序来存储、处理和传输持卡人数据,并且也要求其遵守 PCI DSS 要求,因此这些支付应用程序应该可
以促进而非妨碍客户实现 PCI DSS 遵从性。非安全支付应用程序只能通过以下几种方式妨碍实现遵从性:
1. 授权之后,将磁条数据和/或芯片上的等效数据存储在客户网络中;
2. 应用程序要求客户禁用“PCI 数据安全标准”所要求的其他功能(例如杀毒软件或防火墙),以便使支付应用程序正常运行;以及
3. 供应商使用不可靠的方式连接至应用程序,以便为客户提供支持。
在符合 PCI DSS 的环境中使用安全支付应用程序,可最大限度减少潜在的安全漏洞,从而防止主帐户 (PAN)、全磁道数据、卡验证码与验证值
(CAV2、CID、CVC2、CVV2)、PIN 和 PIN 数据块遭受威胁并避免因安全漏洞所造成的严重欺诈行为。
剩余76页未读,继续阅读
BJWcn
- 粉丝: 28
- 资源: 295
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0