本文档介绍阿里云PCI DSS合规咨询服务。

背景信息

  • 什么是PCI DSS认证

    Payment Card Industry (PCI) Data Security Standard,第三方支付行业(支付卡行业)数据安全标准,是由PCI安全标准委员会的创始成员制定,目的在于使国际上采用一致的数据安全措施。

  • PCI DSS主要内容
    • PCI DSS包括6个控制域,12个控制目标,对支付卡行业中持卡人数据的存储、处理、传输等过程进行严格控制,以保护持卡人数据不被泄露。
    • PCI DSS安全要求适用于所有系统组件。“系统组件”定义为包含于持卡人数据环境或与之相关的任何网络组件、服务器或应用程序。
    • 对于要接受年度站点评估的服务提供商,必须对持卡人数据环境范围内存储、处理或传输持卡人数据的所有系统组件执行合规性验证。
  • PCI DSS标准要求
    • 安装并维护防火墙配置,以保护持卡人数据。
    • 不要使用供应商提供的默认系统密码和其他安全参数。
    • 保护持卡人数据。
    • 加密持卡人数据在开放式公共网络中的传输。
    • 为所有系统提供恶意软件防护并定期更新杀毒软件或程序。
    • 开发和维护安全的系统和应用程序。
    • 按行业知情需求限制对持卡人数据的访问。
    • 识别并验证对系统组件的访问。
    • 限制对持卡人数据的物理访问。
    • 跟踪并监控对网络资源和持卡人数据的所有访问。
    • 定期测试安全系统和流程。
    • 维护针对所有工作人员的信息安全政策。

服务内容

  1. 服务介绍

    为了便于阿里云云上系统能够快速满足PCI DSS的要求,阿里云通过建立“PCI DSS合规生态”,联合阿里云合作伙伴PCI DSS授权的合格安全评估机构QSA、授权扫描服务商ASV,向运营单位(阿里云客户)提供一站式、全流程PCI DSS解决方案。

  2. 服务流程pci流程
  3. 输出结果
    • PCI DSS合规报告与合规证明