77869288
PCI DSS第三方支付行業數據安全標準培訓
課程大綱
認證須知
開課計劃
學習QQ群
常見問題
課程簡介
本培訓課程將探討開展支付卡產業數據安全標準(PCI DSS:Payment Card Industry Data Security Standards)符合性建設的目的、標準結構、歷史和現狀分析、典型參與角色和他們的職責、支付卡品牌定級和驗證要求、以及具體的技術要求。與學員分享近期項目實踐,包括實現合規的難點和重點,以及業界最佳實踐的積累,并共同探討產業內新興的技術和熱門話題,如移動支付、EMV技術、令牌化(Tokenization)、加解密和密鑰管理等、PCI合規產業的大數據分析,以及合規技術架構和趨勢分享;PIN Security和P2PE安全標準和評估體系介紹,以及最新即將發布的3D Security 2.0標準前瞻性介紹。
PCI DSS是什么?
PCI DSS是Payment Card Industry (PCI) Data Security Standard的英文縮寫,是第三方支付行業數據安全標準,由由PCI安全標準委員會的創始成員(visa、mastercard、American Express、Discover Financial Services、JCB等)制定,力求使國際上采用一致的數據安全措施,規范支付交易相關的服務提供商和與其簽約的大型商戶,使他們遵循此標準以促進信息安全建設。PCI DSS信息安全標準有6大項目,12個小項的要求,是目前全球最嚴格、級別最高的金融機構安全認證標準。PCI DSS對于所有涉及信用卡信息機構的安全方面作出標準的要求,其中包括安全管理、策略、過程、網絡體系結構、軟件設計的要求的列表等,全面保障交易安全。PCI DSS適用于所有涉及支付卡處理的實體,包括商戶、處理機構、購買者、發行商和服務提供商及儲存、處理或傳輸持卡人資料的所有其他實體。PCI DSS包括一組保護持卡人信息的基本要求,并可能增加額外的管控措施,以進一步降低風險。確保PCI合規且長期持續的合規是支付相關機構的業務健康穩定發展的基礎,也是保護廣大持卡人數據安全的最佳實踐。
PCI DSS六個部分
第一部分,建立并維護安全的網絡和系統。首先根據網絡圖和數據流圖,對服務、協議、端口進行記錄,參考防火墻配置要求構建防火墻和路由器,限制數據環境與網絡的連接,禁止互聯網與系統組件之間的直接公共訪問,即使是在外網中使用的個人設備也應該有統一安裝個人防火墻軟件。其次,始終更改供應商提供的默認值并禁用/刪除默認賬戶,對所有系統組件制定配置標準,同時利用SSH,VPN或SSL/TLS等技術對所有非控制臺訪問進行加密。
第二部分,保護持卡人數據。分別在數據存儲和數據傳輸兩方面實現數據保密。首先實施數據保留和處理政策,盡量減少數據的存儲量同時使敏感數據加密不可讀,同時進行密鑰管理。在數據傳輸過程中,使用強效加密法和安全協議來保護數據。
第三部分,維護漏洞管理計劃。部署殺毒軟件并維護殺毒機制。不斷更新安全漏洞信息,不斷更新安全補丁,并在軟件編寫過程中注意不出現軟件漏洞,開發、測試和生產環境相互分離。
第四部分,實施強效訪問控制措施。分為限制對數據的訪問,對數據訪問過程中操作追蹤到用戶個人,監控物理訪問。首先只授權訪問執行工作所需的最低限度的數據量和權限,為有訪問權限的每個人分配唯一標示符并有合理的用戶驗證管理。利用攝像頭和訪問控制機制監控對敏感區域的物理訪問,保護所有媒介的物理安全。
第五部分,定期監控并測試網絡。系統組件實施自動檢查記錄,定期審核日志和安全事件。定期進行漏洞掃描,定期實施穿透測試,實施入侵檢測/入侵防御。
第六部分,維護信息安全政策。工作人員應了解數據敏感性以及保護這些數據的責任。
目標學員
主要面向關注支付數據安全(以及諸如移動支付等新興技術)支付產業鏈的相關機構和企業,包括:
銀行、保險理財等金融機構
互聯網金融、第三方支付
分支機構眾多有互聯網收單系統的大型商戶
業務系統中涉及持卡人數據存儲傳輸處理的大型企業
培訓大綱
PCI產業動態分享,最新PCI產業特別工作組研究方向簡介。
PCI合規產業的數據分析,以及合規技術架構及趨勢分享。
PCI DSS v3.2簡介,特別是針對SSL和早期版本TLS漏洞整改最新要求。
PIN Security、P2PE和3DS v2.0安全標準和評估體系介紹。
分享近期國內外數據泄露等信息安全事件以及技術角度PCI標準關聯分析。
PCI產業滲透測試最佳實踐,包括執行范圍確定、方法、報告以及案例分析等。
PCI DSS DESV要求的介紹和重要性。
支付卡產業(PCI:Payment Card Industry)數據安全標準(DSS:Data Security Standard)介紹,涉及安全管理、策略、流程、網絡架構、軟件設計以及其他重要的保護措施等層面的需求;幫助機構從根本上理解為什么需要進行PCI DSS的評估和驗證。
PCI產業事后取證調研PFI(PCI Forensic Investigation)流程和技術方法簡介。
支付應用數據安全標準(PA DSS:Payment Application Data Security Standard)介紹,及其和PCI DSS的關系和對應性,以及為什么需要執行PA DSS評估。
評估流程 — 從QSA的角度進行評估的技術探討和案例分析。
各支付品牌驗證體系—詳細介紹五大支付品牌的不同驗證要求和報告要求。
典型案例展開實戰層面分析,使學員深入理解PCI DSS標準。
技術解決方案和方法論分享,以及合規性設計和開發的深入技術探討,包括但不限于如下層面:
支付應用安全開發
加解密技術和密鑰管理
日志管理和審核
文件完整性監控、入侵檢測和入侵防護系統
Web應用防火墻、防病毒系統等防護機制的部署
物理安全機制
脆弱性掃描(包括ASV掃描)和滲透測試技術講解和分享
分享實踐經驗及合規中常見問題的解決方案(合規過程中的重點和難點等)。
支付產業的國內外現狀簡介和未來展望,特別是移動支付領域,以及相關政策和未來趨勢分析。
PCI最新動態分享,如何持續有效的維護PCI的合規狀態最佳實踐,以及相關新興技術和熱門技術的探討,如云計算、移動支付、EMV、令牌化方案、電子商務安全、風險評估、第三方安全保障等。
就來自卡組織要求(如VISA和MasterCard)的PCI合規驗證和狀態維護經驗進行分享。
金融行業信息安全管理體系實踐分享。
