Day-159-PCI-DSS 支付卡行业数据安全标准

# Day 173: PCI DSS 支付卡行业数据安全标准

> 合规与治理系列第 7 天 | 预计阅读时间：50 分钟 | 难度：★★★★★

---

## 清单 目录

1. [PCI DSS 概述](#PCI-DSS 概述)
2. [适用范围](#适用范围)
3. [合规级别](#合规级别)
4. [十二项要求](#十二项要求)
5. [持卡人数据环境](#持卡人数据环境)
6. [合规评估流程](#合规评估流程)
7. [技术控制措施](#技术控制措施)
8. [管理控制措施](#管理控制措施)
9. [渗透测试要求](#渗透测试要求)
10. [违规响应](#违规响应)
11. [实施案例分析](#实施案例分析)
12. [总结与思考](#总结与思考)
13. [参考资料](#参考资料)

---

## PCI DSS 概述

### 标准简介

PCI DSS（Payment Card Industry Data Security Standard）是支付卡行业数据安全标准，由 PCI SSC（支付卡行业安全标准委员会）制定。该标准旨在保护持卡人数据，防止支付卡欺诈。

**制定组织**：

```
PCI SSC 成员组织：

┌─────────────────────────────────────────────────────┐
│              PCI 安全标准委员会                     │
├─────────────────────────────────────────────────────┤
│                                                     │
│  创始成员（支付卡品牌）：                           │
│  ├── Visa                                          │
│  ├── Mastercard                                    │
│  ├── American Express                              │
│  ├── Discover                                      │
│  └── JCB                                           │
│                                                     │
│  职责：                                             │
│  ✓ 制定和维护 PCI 标准                             │
│  ✓ 培训认证 QSA/ISA                                │
│  ✓ 管理合规项目                                    │
│  ✓ 提供合规资源                                    │
│                                                     │
└─────────────────────────────────────────────────────┘
```

**标准版本**：

```
PCI DSS 版本演进：

- v1.0 (2004): 首版发布
- v2.0 (2010): 更新要求
- v3.0 (2013): 增强验证
- v3.1 (2015): 加密要求
- v3.2 (2016): 认证要求
- v3.2.1 (2018): 小幅更新
- v4.0 (2022): 重大更新，2025 年 3 月强制

v4.0 主要变化：
✓ 更灵活的控制方法
✓ 强调持续合规
✓ 新增认证要求
✓ 强化测试要求
✓ 适应云环境
```

### 为什么需要 PCI DSS

```
PCI DSS 价值：

1. 保护持卡人数据
   ✓ 防止数据泄露
   ✓ 防止卡欺诈
   ✓ 保护消费者

2. 降低风险
   ✓ 系统化安全控制
   ✓ 降低违规风险
   ✓ 降低欺诈损失

3. 合规要求
   ✓ 支付卡品牌要求
   ✓ 收单机构要求
   ✓ 合同义务

4. 商业利益
   ✓ 客户信任
   ✓ 品牌保护
   ✓ 降低保险费用
   ✓ 避免罚款
```

**违规成本**：

```
数据泄露成本：

1. 直接成本
   ✓ 罚款：5,000-100,000 美元/月
   ✓ 调查费用：10 万 -100 万美元
   ✓ 补救费用：通知、监控
   ✓ 诉讼费用

2. 间接成本
   ✓ 品牌损害
   ✓ 客户流失
   ✓ 业务中断
   ✓ 保险费用上涨

3. 长期影响
   ✓ 高合规级别
   ✓ 更严格审计
   ✓ 可能失去收单资格

著名案例：
- Target (2013): 4000 万卡泄露，损失 2 亿美元
- Home Depot (2014): 5600 万卡泄露，损失 1.5 亿美元
- Marriott (2018): 5 亿客户数据，罚款 1.23 亿英镑
```

---

## 适用范围

### 适用对象

```
PCI DSS 适用于：

任何存储、处理或传输持卡人数据的组织

包括：
✓ 商户（接受支付卡的商家）
✓ 服务提供商（处理持卡人数据的第三方）
✓ 金融机构（发卡行、收单行）
✓ 支付处理商
✓ 任何涉及支付卡数据的组织
```

### 持卡人数据

```
持卡人数据（CHD）组成：

┌─────────────────────────────────────────────────────┐
│              持卡人数据（CHD）                       │
├─────────────────────────────────────────────────────┤
│                                                     │
│  主账号（PAN）- 卡号                               │
│  ├── 敏感认证数据（SAD）                           │
│  │   ├── 磁条数据                                  │
│  │   ├── CVV/CVC（安全码）                         │
│  │   ├── PIN/PIN Block                             │
│  │   └── 完整磁道数据                              │
│  │                                                 │
│  └── 其他持卡人数据                                │
│      ├── 持卡人姓名                                │
│      ├── 服务代码                                  │
│      └── 有效期                                    │
│                                                     │
└─────────────────────────────────────────────────────┘

存储限制：
✗ 禁止存储敏感认证数据（SAD）
✓ 可存储 PAN（需加密或截断）
✓ 可存储其他持卡人数据
```

### 数据保护要求

```
敏感认证数据（SAD）- 禁止存储：

即使加密也不得存储：
✗ 完整磁道数据
✗ CVV/CVC 安全码
✗ PIN 和 PIN 块

主账号（PAN）- 保护要求：

存储时必须保护：
✓ 加密（强加密）
✓ 截断（只显示前 6 后 4）
✓ 哈希（单向哈希）

显示时：
✓ 最多显示前 6 位和后 4 位
✓ 其他位置必须截断
```

---

## 合规级别

### 商户级别

```
商户合规级别（按年交易量）：

级别 1：
- 年交易量 > 600 万笔
- 或已发生数据泄露
- 要求：年度 ROC + 季度 ASV 扫描

级别 2：
- 年交易量 100 万 -600 万笔
- 要求：年度 SAQ + 季度 ASV 扫描

级别 3：
- 年交易量 2 万 -100 万笔（电商）
- 要求：年度 SAQ

级别 4：
- 年交易量 < 2 万笔（电商）
- 或 < 100 万笔（其他）
- 要求：年度 SAQ

注意：
- 各支付卡品牌可能有不同标准
- 收单机构可能有更高要求
- 发生泄露后级别可能提升
```

### 服务提供商级别

```
服务提供商级别：

级别 1：
- 年交易量 > 30 万笔
- 要求：年度 ROC + 季度 ASV 扫描

级别 2：
- 年交易量 < 30 万笔
- 要求：年度 SAQ + 季度 ASV 扫描

评估类型：

ROC（Report on Compliance）：
- 由 QSA（合格安全评估师）执行
- 现场审计
- 详细测试
- 正式报告

SAQ（Self-Assessment Questionnaire）：
- 自我评估问卷
- 多种类型（A、B、C、D 等）
- 根据业务场景选择
```

---

## 十二项要求

### 要求概览

```
PCI DSS v4.0 十二项要求：

┌─────────────────────────────────────────────────────┐
│            PCI DSS 十二项要求                        │
├─────────────────────────────────────────────────────┤
│                                                     │
│  目标 1：建立和维护安全网络和系统                   │
│  ├── 要求 1：安装和维护防火墙配置                  │
│  └── 要求 2：不使用供应商默认口令和安全参数        │
│                                                     │
│  目标 2：保护持卡人数据                             │
│  ├── 要求 3：保护存储的持卡人数据                  │
│  └── 要求 4：加密传输持卡人数据                    │
│                                                     │
│  目标 3：维护漏洞管理程序                           │
│  ├── 要求 5：使用并定期更新防病毒软件              │
│  └── 要求 6：开发和维护安全系统和应用              │
│                                                     │
│  目标 4：实施强访问控制措施                         │
│  ├── 要求 7：按需限制持卡人数据访问                │
│  ├── 要求 8：识别和认证系统访问                    │
│  └── 要求 9：限制物理访问持卡人数据                │
│                                                     │
│  目标 5：定期监控和测试网络                         │
│  ├── 要求 10：跟踪监控所有网络和资源访问           │
│  └── 要求 11：定期测试安全系统和流程               │
│                                                     │
│  目标 6：维护信息安全政策                           │
│  └── 要求 12：维护信息安全政策                     │
│                                                     │
└─────────────────────────────────────────────────────┘
```

### 要求 1：防火墙配置

```
要求 1：安装和维护防火墙配置

控制措施：

1.1 防火墙配置标准
✓ 建立防火墙配置标准
✓ 配置变更管理
✓ 配置文档维护

1.2 网络图
✓ 绘制网络图
✓ 标识持卡人数据流
✓ 标识安全区域
✓ 定期更新

1.3 防火墙规则
✓ 限制入站出站流量
✓ 默认拒绝策略
✓ 仅允许必要流量
✓ 定期审查规则

1.4 DMZ 配置
✓ 公网服务器置于 DMZ
✓ 隔离 CDE 环境
✓ 限制 DMZ 到内网

1.5 个人防火墙
✓ 移动设备安装防火墙
✓ 远程设备配置
✓ 集中管理
```

### 要求 2：默认口令

```
要求 2：不使用供应商默认口令和安全参数

控制措施：

2.1 默认口令更改
✓ 安装后立即更改默认口令
✓ 使用强口令
✓ 记录新口令

2.2 配置加固
✓ 移除不必要功能
✓ 禁用不必要服务
✓ 安全配置基线

2.3 开发测试环境
✓ 与生产环境隔离
✓ 使用测试数据
✓ 不同凭据

2.4 单一功能服务器
✓ 限制服务器功能
✓ 避免多角色
✓ 减少攻击面
```

### 要求 3：存储数据保护

```
要求 3：保护存储的持卡人数据

控制措施：

3.1 数据保留
✓ 最小化数据存储
✓ 定义保留期限
✓ 安全删除过期数据

3.2 PAN 保护
✓ 加密存储 PAN
✓ 或截断显示
✓ 或哈希处理

3.3 密钥管理
✓ 安全密钥生成
✓ 安全密钥存储
✓ 密钥轮换
✓ 密钥销毁

3.4 敏感数据
✓ 不存储 CVV/CVC
✓ 不存储磁条数据
✓ 不存储 PIN

3.5 加密要求
✓ 强加密算法（AES-256）
✓ 安全密钥管理
✓ 加密密钥分离
```

### 要求 4：数据传输加密

```
要求 4：加密传输持卡人数据

控制措施：

4.1 公网传输
✓ 使用强加密（TLS 1.2+）
✓ 验证证书
✓ 禁用弱协议

4.2 无线传输
✓ 加密无线通信
✓ WPA3 或更强
✓ 隔离无线网络

4.3 邮件传输
✓ 不通过邮件发送 PAN
✓ 如必须则加密
✓ 安全密钥传递

4.4 内部传输
✓ CDE 内加密
✓ 安全协议
✓ 认证机制
```

### 要求 5：防病毒

```
要求 5：使用并定期更新防病毒软件

控制措施：

5.1 防病毒部署
✓ 所有易感系统部署
✓ 服务器和工作站
✓ 持续运行

5.2 病毒定义更新
✓ 自动更新
✓ 定期验证
✓ 日志记录

5.3 恶意软件防护
✓ 防恶意软件
✓ 定期扫描
✓ 异常检测

5.4 新威胁防护
✓ 威胁情报
✓ 及时更新
✓ 漏洞防护
```

### 要求 6：安全开发

```
要求 6：开发和维护安全系统和应用

控制措施：

6.1 漏洞管理
✓ 识别新漏洞
✓ 风险评估
✓ 及时修补

6.2 补丁管理
✓ 关键补丁 1 个月内
✓ 补丁测试
✓ 补丁部署

6.3 安全开发
✓ 安全开发培训
✓ 安全编码规范
✓ 代码审查

6.4 应用安全
✓ 上线前测试
✓ 渗透测试
✓ 变更管理

6.5 漏洞防护
✓ OWASP Top 10 防护
✓ 输入验证
✓ 输出编码
```

### 要求 7：访问控制

```
要求 7：按需限制持卡人数据访问

控制措施：

7.1 访问授权
✓ 基于业务需要
✓ 最小权限
✓ 书面批准

7.2 访问控制
✓ 限制系统访问
✓ 限制数据访问
✓ 职责分离

7.3 权限管理
✓ 角色定义
✓ 权限矩阵
✓ 定期审查
```

### 要求 8：身份认证

```
要求 8：识别和认证系统访问

控制措施：

8.1 唯一 ID
✓ 唯一用户 ID
✓ 不共享账户
✓ 禁用不必要账户

8.2 强认证
✓ 多因素认证（MFA）
✓ 所有远程访问
✓ 所有管理访问

8.3 口令管理
✓ 最小长度 12 位
✓ 复杂度要求
✓ 90 天更换
✓ 历史检查

8.4 账户管理
✓ 及时禁用离职账户
✓ 锁定失败账户
✓ 定期审查账户

8.5 会话管理
✓ 超时登出
✓ 会话限制
✓ 安全注销
```

### 要求 9：物理安全

```
要求 9：限制物理访问持卡人数据

控制措施：

9.1 物理访问控制
✓ 限制 CDE 物理访问
✓ 访问授权
✓ 访问日志

9.2 访客管理
✓ 访客登记
✓ 访客陪同
✓ 访客 badge

9.3 介质安全
✓ 介质存储安全
✓ 介质传输保护
✓ 介质销毁

9.4 设备安全
✓ 设备清单
✓ 设备保护
✓ 设备销毁

9.5 摄像头监控
✓ CDE 区域监控
✓ 录像保存
✓ 监控审查
```

### 要求 10：日志监控

```
要求 10：跟踪监控所有网络和资源访问

控制措施：

10.1 审计日志
✓ 记录所有访问
✓ 记录安全事件
✓ 记录特权操作

10.2 日志内容
✓ 用户 ID
✓ 时间戳
✓ 操作类型
✓ 结果状态

10.3 日志保护
✓ 防止篡改
✓ 时间同步
✓ 备份日志

10.4 日志审查
✓ 每日审查
✓ 异常调查
✓ 审计跟踪

10.5 日志保留
✓ 至少保留 1 年
✓ 在线 3 个月
✓ 可检索
```

### 要求 11：安全测试

```
要求 11：定期测试安全系统和流程

控制措施：

11.1 漏洞扫描
✓ 季度外部扫描
✓ 季度内部扫描
✓ 变更后扫描

11.2 渗透测试
✓ 年度渗透测试
✓ 网络层测试
✓ 应用层测试

11.3 入侵检测
✓ IDS/IPS 部署
✓ 文件完整性监控
✓ 异常告警

11.4 无线测试
✓ 无线扫描
✓ 未授权 AP 检测
✓ 无线渗透测试

11.5 分段测试
✓ 网络分段验证
✓ 隔离有效性
✓ 定期测试
```

### 要求 12：安全政策

```
要求 12：维护信息安全政策

控制措施：

12.1 安全政策
✓ 制定安全政策
✓ 年度审查
✓ 全员传达

12.2 风险评估
✓ 年度风险评估
✓ 正式方法论
✓ 风险处置

12.3 供应商管理
✓ 供应商安全评估
✓ 合同安全条款
✓ 供应商监控

12.4 事件响应
✓ 事件响应计划
✓ 定期演练
✓ 经验总结

12.5 员工培训
✓ 安全意识培训
✓ 入职培训
✓ 定期培训

12.6 背景调查
✓ 员工背景调查
✓ 敏感岗位审查
✓ 保密协议
```

---

## 持卡人数据环境

### CDE 定义

```
持卡人数据环境（CDE）：

定义：
处理、存储或传输持卡人数据或敏感认证数据的
人员、流程和技术的组合。

CDE 组成：
├── 系统组件
│   ├── 服务器
│   ├── 网络设备
│   ├── 应用系统
│   └── 安全设备
│
├── 人员
│   ├── 管理员
│   ├── 操作人员
│   └── 支持人员
│
└── 流程
    ├── 处理流程
    ├── 管理流程
    └── 支持流程
```

### 网络分段

```
网络分段最佳实践：

┌─────────────────────────────────────────────────────┐
│              网络分段示例                           │
├─────────────────────────────────────────────────────┤
│                                                     │
│  互联网                                             │
│    │                                                │
│    ↓                                                │
│  ┌─────────────┐                                   │
│  │   防火墙    │                                   │
│  └─────────────┘                                   │
│    │                                                │
│    ↓                                                │
│  ┌─────────────┐                                   │
│  │    DMZ      │  ← 公网服务器                     │
│  │  Web Server │                                   │
│  └─────────────┘                                   │
│    │                                                │
│    ↓                                                │
│  ┌─────────────┐                                   │
│  │   防火墙    │  ← 内部边界                       │
│  └─────────────┘                                   │
│    │                                                │
│    ↓                                                │
│  ┌─────────────┐                                   │
│  │    CDE      │  ← 持卡人数据环境                 │
│  │  支付系统   │                                   │
│  │  数据库     │                                   │
│  └─────────────┘                                   │
│                                                     │
│  分段要求：                                         │
│  ✓ CDE 与其他网络隔离                              │
│  ✓ 严格控制跨段流量                                │
│  ✓ 定期测试分段有效性                              │
│                                                     │
└─────────────────────────────────────────────────────┘
```

---

## 合规评估流程

### 评估步骤

```
PCI DSS 合规评估流程：

步骤 1：确定范围
├── 识别 CDE
├── 绘制网络图
├── 识别系统组件
└── 确定数据流

步骤 2：差距分析
├── 对照 12 项要求
├── 识别合规差距
├── 评估风险
└── 制定整改计划

步骤 3：整改实施
├── 技术控制实施
├── 管理控制实施
├── 文档编制
└── 证据收集

步骤 4：自我评估（如适用）
├── 填写 SAQ
├── 收集证据
├── 内部审查
└── 提交 SAQ

步骤 5：外部评估（如适用）
├── 选择 QSA
├── 现场审计
├── 问题整改
└── 获得 ROC

步骤 6：ASV 扫描
├── 选择 ASV
├── 季度扫描
├── 问题整改
└── 获得合规

步骤 7：提交合规
├── 提交 ROC/SAQ
├── 提交 ASV 报告
├── 提交合规证明
└── 保持合规
```

---

## 技术控制措施

### 加密实施

```
加密要求：

1. 传输加密
   ✓ TLS 1.2 或更高
   ✓ 强加密套件
   ✓ 证书验证
   ✓ 禁用 SSL/早期 TLS

2. 存储加密
   ✓ AES-256 或更强
   ✓ 安全密钥管理
   ✓ 密钥与数据分离
   ✓ 密钥轮换

3. 密钥管理
   ✓ 安全密钥生成
   ✓ 安全密钥存储（HSM）
   ✓ 密钥访问控制
   ✓ 密钥轮换（至少每年）
   ✓ 密钥销毁
```

### 访问控制

```
访问控制实施：

1. 网络访问控制
   ✓ 防火墙规则
   ✓ 网络分段
   ✓ ACL 配置
   ✓ NAC 实施

2. 系统访问控制
   ✓ 身份认证
   ✓ 权限管理
   ✓ 会话管理
   ✓ 审计日志

3. 应用访问控制
   ✓ 角色权限
   ✓ 功能权限
   ✓ 数据权限
   ✓ 审批流程
```

---

## 管理控制措施

### 政策制度

```
必需政策文档：

1. 信息安全政策
   ✓ 总体安全方针
   ✓ 安全目标
   ✓ 组织职责

2. 访问控制政策
   ✓ 账户管理
   ✓ 权限管理
   ✓ 认证要求

3. 数据保护政策
   ✓ 数据分类
   ✓ 数据加密
   ✓ 数据保留

4. 事件响应政策
   ✓ 响应流程
   ✓ 职责分工
   ✓ 沟通计划

5. 变更管理政策
   ✓ 变更流程
   ✓ 审批要求
   ✓ 测试要求
```

### 培训要求

```
安全意识培训：

1. 新员工培训
   ✓ 入职安全培训
   ✓ PCI DSS 意识
   ✓ 保密要求

2. 定期培训
   ✓ 年度安全培训
   ✓ 政策更新培训
   ✓ 案例学习

3. 角色培训
   ✓ 管理员培训
   ✓ 开发人员培训
   ✓ 客服人员培训

4. 培训记录
   ✓ 培训签到
   ✓ 培训测试
   ✓ 培训档案
```

---

## 渗透测试要求

### 测试要求

```
渗透测试要求（要求 11.3）：

1. 测试频率
   ✓ 至少每年一次
   ✓ 重大变更后
   ✓ 新系统上线前

2. 测试范围
   ✓ 网络层测试
   ✓ 应用层测试
   ✓ 社会工程测试（可选）

3. 测试方法
   ✓ 黑盒测试
   ✓ 白盒测试
   ✓ 灰盒测试

4. 测试人员
   ✓ 内部团队
   ✓ 外部专业机构
   ✓ 独立于被测试系统

5. 测试输出
   ✓ 测试报告
   ✓ 漏洞清单
   ✓ 修复建议
   ✓ 复测验证
```

---

## 违规响应

### 响应流程

```
数据泄露响应流程：

1. 发现与确认
   ✓ 发现异常
   ✓ 初步调查
   ✓ 确认泄露

2. 遏制与隔离
   ✓ 隔离受影响系统
   ✓ 阻止进一步泄露
   ✓ 保存证据

3. 通知与报告
   ✓ 通知收单机构
   ✓ 通知支付卡品牌
   ✓ 通知监管机构
   ✓ 通知受影响客户

4. 调查与分析
   ✓ 深入调查
   ✓ 根因分析
   ✓ 影响评估

5. 修复与恢复
   ✓ 修复漏洞
   ✓ 恢复系统
   ✓ 加强防护

6. 总结与改进
   ✓ 经验总结
   ✓ 流程改进
   ✓ 持续监控
```

---

## 实施案例分析

### 案例：某电商平台 PCI DSS 合规

**背景**：
- 业务类型：在线零售
- 年交易量：500 万笔
- 合规级别：Level 1
- 驱动因素：业务增长、客户要求

**实施过程**：

```
阶段一：范围确定（1 个月）
├── 识别 CDE
├── 绘制网络图
├── 数据流分析
└── 系统清单

阶段二：差距分析（2 个月）
├── 对照 12 项要求
├── 识别差距
├── 风险评估
└── 整改计划

阶段三：整改实施（6 个月）
├── 网络分段改造
├── 加密系统部署
├── 日志系统建设
├── 政策制度编制
└── 员工培训

阶段四：评估认证（2 个月）
├── 选择 QSA
├── 现场审计
├── 问题整改
├── ASV 扫描
└── 获得 ROC

阶段五：持续合规（持续）
├── 季度扫描
├── 年度评估
├── 持续监控
└── 持续改进
```

**成果**：

```
量化成果：
- 安全事件减少：80%
- 合规审计通过：100%
- 客户信任提升：显著
- 业务增长：30%

投入产出：
- 总投入：约 100 万美元
- 技术投入：60 万美元
- 审计费用：20 万美元
- 人力投入：20 万美元
- 收益：业务增长、客户信任
```

---

## 总结与思考

### 关键要点

**PCI DSS 合规核心**：
- 保护持卡人数据
- 十二项要求
- 持续合规
- 年度评估

**实施建议**：
- 高层支持
- 专业协助
- 结合实际
- 持续改进

### 个人思考

> ▎我给你指了路，走不走是你的事。机会给了，抓不抓得住看你。

PCI DSS 不是负担，而是保护。它保护消费者的支付卡数据，保护商家的声誉，保护整个支付生态系统的信任。

很多商家把 PCI DSS 当成应付检查的任务，这是错误的。真正的合规是将安全控制融入日常运营，持续保护持卡人数据。

记住：合规不是一次性的，而是持续的。支付环境在变化，威胁在演进，你的安全措施也必须不断适应。

---

## 参考资料

### 标准文档

1. PCI DSS v4.0 Standard
2. PCI DSS Quick Reference Guide
3. SAQ Instructions and Guidelines

### 实施资源

1. PCI SSC 官方网站 - https://www.pcisecuritystandards.org/
2. 各大支付卡品牌合规资源
3. QSA 公司实施指南

### 认证机构

1. PCI SSC 认证 QSA 公司
2. ASV 扫描供应商
3. 支付卡品牌合规部门

---

*Day 173 完成 | PCI DSS 支付卡行业数据安全标准 | 字数：约 17,000*