全球要求
支付卡行业数据安全标准 (PCI DSS)
Entrust 可以帮助简化支付卡行业数据安全标准合规性和审计工作
支付卡行业数据安全标准要求
参与处理信用卡和借记卡支付的任何组织,在处理、存储和传输账户数据时,都必须遵守严格的 PCI DSS 合规性要求,确保账户安全。
Entrust nShield™ HSM 可以帮助处理持卡人数据的组织遵守支付卡行业数据安全标准规性和审计的多个方面,包括:
要求 3
保护存储的持卡人数据。
要求 7
根据“业务需要知道”的原则限制对持卡人数据的访问。
要求 8
识别并验证对系统组件的访问
法规
针对六项核心原则的超过 200 项测试
支付卡行业数据安全标准涉及对 200 多项测试进行评估,可分为 12 个一般安全区域,代表着六项核心原则。 这些支付卡行业数据安全标准测试涵盖了各种常见的安全实践,以及加密、密钥管理和其他数据保护技术。
与支付卡行业数据安全标准审计和合规性相关的风险
- 未能遵守支付卡行业数据安全标准合规性要求可能导致罚款、费用增加,甚至终止您处理支付卡交易的能力。
- 支付卡行业数据安全标准合规性不能孤立考虑;组织受到多种安全要求和数据违规披露法律或法规的约束。 另一方面,PCI 合规性项目很容易因更广泛的企业安全计划而走上歧路。
- 与支付卡行业数据安全标准要求相关的指导和建议可能包括已实施的常见实践。 但是,有些方面,特别是与加密相关的方面,对组织来说可能是全新的领域,如果设计不正确,实施起来可能会造成业务中断,对运营效率产生负面影响。
- 缩小支付卡行业数据安全标准合规义务范围的机会仍然存在,从而可以降低成本和影响;但是,如果组织未能谨慎确保新系统和流程能够实质上被接受为符合支付卡行业数据安全标准,则反而可能会浪费时间和金钱。
合规性
满足支付卡行业数据安全标准的关键要求
凭借数十年来帮助银行和金融机构遵守行业要求所积累的经验,Entrust 及其合作伙伴提供的产品和服务使您能够保护所存储的持卡人数据,对其加密以进行传输,并根据“需要知道”的原则限制访问。
- 保护持卡人数据。 Entrust 与业界领先的移动设备支付受理 (mPOS) 解决方案以及业界领先的支付数据保护解决方案合作,保护持卡人数据并帮助确保支付卡行业数据安全标准合规性。 商家组织还需要部署网络加密和 SSL/TLS 加密来保护传输中的数据。
- 实施强访问控制措施。 所有数据保护技术都与访问控制密切相关。 PKI 和数字证书等加密技术已广泛应用于密码级安全以外的领域,对用户和系统进行身份验证。 此外,使用 Entrust nShield HSM 控制数据解密密钥访问,意味着只能根据“需要知道”原则解密数据。
- 构建和维护安全网络。 除了网络级加密外,网络安全的另一大重要组成部分在于对网络设备进行强身份验证;数字凭证已越来越多地用于在设备层面控制网络访问,成为了企业 PKI 的重要安全考虑因素。
- 维护漏洞管理计划。 随着试图通过注入恶意软件来破坏业务应用程序的高级持续攻击的兴起,使得数字签名和代码签名的使用成为了人们关注的焦点,以此证明业务系统和应用程序软件的完整性和真实性。
- 维护信息安全策略。 支付卡行业数据安全标准非常重视在员工之间建立明确的职责分离,以最大限度降低内部人员攻击的风险。 加密技术的使用为强制实施这种分离提供了强有力的机制保障,并能够创建可信的事件记录来证明合规性。
资源中心
手册: Entrust nShield HSM 系列手册
Entrust nShield HSM 解决方案为密码处理、密钥生成和保护、加密等的安全性创造了更加稳固、防篡改的环境。 Entrust nShield HSM 解决方案具有三种经过 FIPS 140-2 认证的外形规格,支持各种部署方案。