Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. kryptering

PCI-efterlevnadsspecifikation

Postat avManimit Haldar 09 minuter
PCI DSS (Payment Card Industry Data Security Standards) tillhandahåller totalt 12 krav för att säkra kortinnehavardata som kan lagras, bearbetas och överföras av organisationer.
Innehållsförteckning

Betalkortsbranschens datasäkerhetsstandarder (PCI DSS) innehåller totalt 12 krav för att säkra kortinnehavardata, vilka kan lagras, bearbetas och överföras av organisationer. Standarden ger en stor mängd information om säkerhet, vilket kan vara komplicerat för organisationer att prioritera sina efterlevnadspunkter. 

I den här artikeln presenterar vi en prioriterad metod som rekommenderas av PCI-säkerhetsstandarder, vilket hjälper organisationer att förstå var de ska börja och hur de kan minska riskerna i efterlevnadsprocessen.

Vad är en prioriterad metod?

Den prioriterade metoden ger sex viktiga säkerhetsmilstolpar som hjälper organisationer att säkra högriskfaktorer och eskalerande hot samtidigt som de är PCI DSS-kompatibla.

Milstolpar för prioriterad strategi

Den prioriterade metoden anger sex milstolpar. Tabellen nedan sammanfattar de övergripande målen och avsikterna för varje milstolpe. 

MilestoneMål
1

Ta bort känsliga autentiseringsdata och begränsa datalagring.

Om en organisation inte behöver känsliga autentiseringsuppgifter och andra kortinnehavaruppgifter kan de helt enkelt ta bort dem, vilket avsevärt minskar risken för kompromettering.

2

Skydda system och nätverk, och vara beredd att reagera på ett systemintrång.

I detta mål bör organisationer fokusera på åtkomstpunkter och processer för att svara.

3

Säkra betalkortsansökningar.

I detta syfte bör organisationer fokusera på kontroll över applikationen, applikationsprocesserna och servrarna. Svagheter och sårbarheter inom dessa områden skulle ge ett enkelt sätt att få tillgång till kortinnehavardata och annan information.

4

Övervaka och åtkomstkontroll till system.

Organisationer bör fokusera på vem, vad, när och hur något eller någon får åtkomst till kortinnehavarens information, nätverk och datamiljöer.

5

Skyddar lagrade kortinnehavaruppgifter.

Organisationer måste skydda kortinnehavarens data ordentligt, vilket kan inkludera primära kontonummer, mål för Milestone Five och viktiga skyddsmekanismer för den lagrade informationen.

6

Slutför återstående efterlevnadsinsatser och säkerställer att alla kontroller är på plats.

Detta mål syftar till att slutföra PCI DSS-kraven och slutföra de återstående policyer, procedurer och processer som behövs för att skydda kortinnehavarmiljön på ett korrekt sätt.

Skräddarsydda krypteringstjänster

Vi utvärderar, strategiserar och implementerar krypteringsstrategier och lösningar.

Läs mer

Milestone

123456

PCI DSS-krav

Krav 1

Installera och underhåll en brandväggskonfiguration för att skydda kortinnehavarens data

  1. Upprätta och implementera standarder för brandvägg och routerkonfiguration som inkluderar följande:
    1. En formell process för att godkänna och testa alla nätverksanslutningar och ändringar av brandvägg och routerkonfigurationer
    2. Aktuellt nätverksdiagram som identifierar alla anslutningar mellan kortinnehavarens datamiljö och andra nätverk, inklusive eventuella trådlösa nätverk
    3. Aktuellt diagram som visar alla kortinnehavarens dataflöden över system och nätverk
    4. Krav på en brandvägg vid varje internetanslutning och mellan alla demilitariserade zoner (DMZ) och den interna nätverkszonen
    5. Beskrivning av grupper, roller och ansvarsområden för hantering av nätverkskomponenter
    6. Dokumentation av affärsmässig motivering och godkännande för användning av alla tillåtna tjänster, protokoll och portar, inklusive dokumentation av säkerhetsfunktioner som implementerats för de protokoll som anses vara osäkra.
    7. Krav på att granska brandväggs- och routerregeluppsättningar minst var sjätte månad
  2. Bygg brandväggs- och routerkonfigurationer som begränsar anslutningar mellan otillförlitliga nätverk och systemkomponenter i kortinnehavarens datamiljö.
    1. Begränsa inkommande och utgående trafik till det som är nödvändigt för kortinnehavarens datamiljö, och neka specifikt all annan trafik.
    2. Säkra och synkronisera routerkonfigurationsfiler.
    3. Installera perimeterbrandväggar mellan alla trådlösa nätverk och kortinnehavarens datamiljö och konfigurera dessa brandväggar för att neka eller, om trafik är nödvändig för affärsändamål, endast tillåta auktoriserad trafik mellan den trådlösa miljön och kortinnehavarens datamiljö.
  3. Förbjud direkt offentlig åtkomst mellan internet och någon systemkomponent i kortinnehavarens datamiljö.
    1. Implementera en DMZ för att begränsa inkommande trafik till endast systemkomponenter som tillhandahåller auktoriserade, offentligt tillgängliga tjänster, protokoll och portar.
    2. Begränsa inkommande internettrafik till IP-adresser inom DMZ.
    3. Implementera åtgärder mot förfalskning för att upptäcka och blockera förfalskade käll-IP-adresser från att komma in i nätverket.
    4. Tillåt inte obehörig utgående trafik från kortinnehavarens datamiljö till internet.
    5. Tillåt endast "etablerade" anslutningar till nätverket.
    6. Placera systemkomponenter som lagrar kortinnehavardata (t.ex. en databas) i en intern nätverkszon, separerad från DMZ och andra otillförlitliga nätverk.
    7. Lämna inte ut privata IP-adresser och routinginformation till obehöriga parter.
  4. Installera personlig brandvägg eller motsvarande funktion på alla bärbara datorenheter som ansluter till internet när de är utanför nätverket, och som också används för att komma åt CDE:n. Brandväggskonfigurationer (eller motsvarande) inkluderar:
    1. Specifika konfigurationsinställningar definieras.
    2. Den personliga brandväggen (eller motsvarande funktion) är aktivt igång.
    3. Personlig brandvägg (eller motsvarande funktionalitet) kan inte ändras av användare av de bärbara datorenheterna.
  5. Säkerställ att säkerhetspolicyer och operativa procedurer för hantering av brandväggar är dokumenterade, i bruk och kända för alla berörda parter.

Skräddarsydda krypteringstjänster

Vi utvärderar, strategiserar och implementerar krypteringsstrategier och lösningar.

Läs mer

Krav 2

Använd inte leverantörslevererade standardvärden för systemlösenord och andra säkerhetsparametrar.

  1. Ändra alltid leverantörslevererade standardinställningar och ta bort eller inaktivera onödiga standardkonton innan du installerar ett system i nätverket.
    1. För trådlösa miljöer som är anslutna till kortinnehavarens datamiljö eller som överför kortinnehavarens data, ändra ALLA leverantörers standardinställningar för trådlösa nätverk vid installationen, inklusive men inte begränsat till standardinställningar för trådlösa nätverk. kryptering nycklar, lösenord och SNMP-communitysträngar
  2. Utveckla konfigurationsstandarder för alla systemkomponenter. Säkerställ att dessa standarder åtgärdar alla kända säkerhetsbrister och är förenliga med branschgodkända systemhärdningsstandarder. Källor till branschgodkända systemhärdningsstandarder kan inkludera, men är inte begränsade till:
    1. Center for Internet Security (CIS)
    2. Internationella organisationen för standardisering (ISO)
    3. SysAdmin Audit Network Security (SANS) Institute
    4. Nationella institutet för standardiseringsteknik (NIST)
      1. Implementerar endast en primär funktion per server för att förhindra att funktioner som kräver olika säkerhetsnivåer samexisterar på samma server.
      2. Aktivera endast nödvändiga tjänster, protokoll, daemoner etc., som krävs för systemets funktion.
      3. Implementera ytterligare säkerhetsfunktioner för alla obligatoriska tjänster, protokoll eller daemoner som anses vara osäkra.
      4. Konfigurera systemsäkerhetsparametrar för att förhindra missbruk.
      5. Ta bort all onödig funktionalitet, såsom skript, drivrutiner, funktioner, delsystem, filsystem och onödiga webbservrar.
  3. Kryptera all administrativ åtkomst utanför konsolen med stark kryptografi.
  4. Håll en inventering av systemkomponenter som omfattas av PCI DSS.
  5. Säkerställ att säkerhetspolicyer och operativa procedurer för hantering av leverantörsstandarder och andra säkerhetsparametrar är dokumenterade, i bruk och kända för alla berörda parter.
  6. Leverantörer av delade webbhotell måste skydda varje enhets hostade miljö och kortinnehavarens data.

Krav 3

Skydda lagrade korthållardata

  1. Minimera lagring av kortinnehavardata genom att implementera policyer, procedurer och processer för datalagring och kassering som inkluderar åtminstone följande för all lagring av kortinnehavardata (CHD):
    • Begränsa datalagringsmängd och lagringstid till vad som krävs för juridiska, regulatoriska och/eller affärsmässiga krav.
    • Specifika lagringskrav för kortinnehavarens uppgifter.
    • Processer för säker radering av data när de inte längre behövs.
    • En kvartalsvis process för att identifiera och säkert radera lagrade kortinnehavardata som överskrider definierad lagringsgräns.
  2. Lagra inte känsliga autentiseringsdata efter auktorisering (även om de är krypterade). Om känsliga autentiseringsdata tas emot, gör alla data oåterkalleliga när auktoriseringsprocessen är slutförd.
    Det är tillåtet för utfärdare och företag som stöder utgivningstjänster att lagra känsliga autentiseringsuppgifter om:
    • Det finns en affärsmässig motivering och
    • Uppgifterna lagras säkert.
  3. Lagra inte hela innehållet i något spår (från magnetremsan på baksidan av ett kort, motsvarande data på ett chip eller någon annanstans) efter auktorisering. Dessa data kallas alternativt fullständigt spår, spår, spår 1, spår 2 och magnetremsdata.
  4. Spara inte kortverifieringskoden eller värdet (det tresiffriga eller fyrsiffriga numret som är tryckt på framsidan eller baksidan av ett betalkort som används för att verifiera transaktioner där kortet inte finns) efter auktorisering.
  5. Spara inte det personliga identifieringsnumret (PIN) eller det krypterade PIN-blocket efter auktorisering.
  6. Maskera PAN när det visas (de första sex och fyra sista siffrorna är det maximala antalet siffror som får visas), så att endast personal med ett legitimt affärsbehov kan se mer än de första sex/fyra sista siffrorna i PAN-numret.
  7. Gör PAN oläslig var den än lagras (inklusive på bärbara digitala medier, säkerhetskopieringsmedier och i loggar) genom att använda någon av följande metoder:
    • Envägshash baserade på stark kryptografi (hashen måste vara från hela PAN)
    • Trunkering (hasch kan inte användas för att ersätta det avkortade segmentet av PAN)
    • Indextokens och block (blocken måste förvaras säkert)
    • Starkt kryptografi med tillhörande nyckelhantering processer och rutiner.
    • Om diskkryptering används (snarare än databaskryptering på fil- eller kolumnnivå) måste logisk åtkomst hanteras separat och oberoende av operativsystemets autentiserings- och åtkomstkontrollmekanismer (till exempel genom att inte använda lokala användarkontodatabaser eller allmänna nätverksinloggningsuppgifter). dekryptering Nycklar får inte vara kopplade till användarkonton.
  8. Dokumentera och implementera rutiner för att skydda nycklar som används för att säkra lagrade kortinnehavaruppgifter mot avslöjande och missbruk:
    • Ytterligare krav endast för tjänsteleverantörer: Upprätthåll en dokumenterad beskrivning av den kryptografiska arkitekturen som inkluderar:
      1. Detaljer om alla algoritmer, protokoll och nycklar som används för att skydda kortinnehavarens data, inklusive nyckelstyrka och utgångsdatum
      2. Beskrivning av nyckelanvändningen för varje nyckel.
      3. Inventering av valfri HSM och andra SCD:er som används för nyckelhantering
    • Begränsa åtkomsten till kryptografiska nycklar till det minsta antal nödvändiga förvaltare
    • Lagra hemliga och privata nycklar som används för att kryptera/dekryptera kortinnehavarens data i en (eller flera) av följande former hela tiden:
      1. Krypterad med en nyckelkrypteringsnyckel som är minst lika stark som datakrypteringsnyckeln och som lagras separat från datakrypteringsnyckeln
      2. Inom en säker kryptografisk enhet (t.ex. en hårdvaru- (värd-) säkerhetsmodul (HSM) eller PTS-godkänd interaktionsenhet)
      3. Som minst två nyckelkomponenter eller nyckelaktier i full längd, i enlighet med en branschgodkänd metod
      4. Förvara kryptografiska nycklar på så få platser som möjligt.
      5. Säkerställ att säkerhetspolicyer och operativa rutiner för att skydda lagrade kortinnehavaruppgifter är dokumenterade, i bruk och kända för alla berörda parter.

Slutsats

Den här artikeln är del 1 av PCI-efterlevnadsspecifikationerna. Vi vägleder dig för att uppnå korrekt PCI-efterlevnad och prioriterar kraven samtidigt som vi fokuserar på varje uppgift baserat på en specifik milstolpe. Detta hjälper organisationer att säkra kortinnehavardata och miljön, och även uppnå PCI-efterlevnad.

För att lära dig mer, besök vår webbplats: www.krypteringskonsultering.com/

Upptäck vår

Relaterade bloggar

cra

Steg-för-steg-guide till efterlevnad av Cyber ​​Resilience Act (CRA)

Januari 17, 2026
Amerikas cybersköld bryts när CISA 2015 löper ut

Amerikas cybersköld bryts när CISA 2015 löper ut

October 27, 2025

API-säkerhet

API:er: Den nya attackytan 

October 23, 2025

Utforska

Fler ämnen