敏感金融数据保护——PCI DSS

一、基本概念

0、概述

PCI DSS（Payment Card Industry Data Security Standard） 是 2004 年启动的一套安全标准；这些标准适用于任何接受、处理、存储或传输信用卡数据的企业。PCI DSS 由 PCI SSC（支付卡行业安全标准委员会，全球安全标准）负责管理，组成该委员会的大型信用卡公司包括Mastercard、Visa、Discover、美国运通和 JCB。

1、术语

1.1 PCI安全标准协会

2006年由美国运通、发现金融（Discover）、JCB 国际信用卡公司、万事达卡（Mastercard）国际组织与 Visa公司共同创建的开放全球论坛。

1.2 持卡人数据 CHD（Cardholder Data）

• 主账号 (PAN，Primary Account Number)：一般为银行卡号，大多数信用卡账户由16位字符串组成；
• 持卡人姓名：主账户中登记的归属人的姓名或任何授权使用卡的人；
• 到期日期：卡片到期日
• 服务代码：3至4位数字的编码，用于定义服务属性、识别国际和国内的数据交换、
  识别使用限制等信息。

加密存储持卡人信息

1.3 敏感身份验证信息（SAD，Sensitive Authentication Data）

• 全磁道数据（磁条数据或芯片上的等效数据）：

信用卡背面磁条中存储的数据，每个磁条拥有三条磁道，分别记录了PAN、姓名、失效日、业务码、CVV、PVV等数据；

• 信用卡安全码：银行卡安全验证码，一般为3至4位，常见的安全码有CVV2（VISA）、CVC2（万事达卡）、CVN2（中国银联）、CID（美国运通卡）、CAV2（日本JCB）等；
  • CVV号（Card Verification Value）：CVV号是信用卡上的一种安全码，用于在不需要实体卡片的交易中验证卡片的真实性。通常是3位或者4位数字。
• PIN/PIN 数据块：信用卡交易密码

禁止存储：敏感验证信息在交易完成后禁止存储。

1.4 持卡人数据环境（CDE，Cardholder Data Environment）

存储、处理或传输持卡人数据或敏感验证数据的人员、流程或技术。

2、适用场景

PCI DSS 标准适用于接受、处理、存储或传输持卡人数据的任何企业，因此以下类型的企业必须满足该标准的要求：

• 各种规模的商家
• 金融机构
• 支付服务提供商，包括硬件和软件提供商
• 销售点 (POS) 供应商

除了金融机构和支付机构需要对系统本身加强保护，越来越多的行业都开始关注卡数据的安全。

尽管 PCI DSS 是作为支付卡数据安全标准，但目前也已经不再局限于支付卡行业，而是更广泛的被借鉴成为数据保护的信息安全标准。

二、内容框架

1、6大领域、12个安全控制项

PCI DSS包含 建立并维护安全的网络和系统、保护帐户数据、维护漏洞管理计划、实施强效访问控制措施、定期监控并测试网络、维护信息安全政策这6大领域内容，具体囊括12项 具体安全标准要求。

2、评估范围

• 业务流程
• 保护技术及其业务环境安全：持卡人数据、敏感验证身份信息、持卡人数据环境
• 人员（员工、供应商）