Title

信用卡保安政策

PDF下载

管家
乘务员:
机构效率和技术解决方案副总裁
类别:
技术
有效日期:
二零一三年四月十七日
上次内容更新:
二零一三年四月十七日

目的

本政策解释了明尼苏达州社区和技术学院的信用卡安全要求,这是支付卡行业数据安全标准(PCI DSS)计划所要求的. 学院管理层致力于这些安全政策,以保护学院为实现其业务目标而使用的信息. 所有员工都必须遵守本文档中描述的政策.

合规范围

PCI要求适用于存储、处理或传输持卡人数据的所有系统. 目前, 学院的持卡人环境仅包括连接到互联网的有限支付应用程序(通常是销售点系统), 但不包括在任何计算机系统上存储持卡人数据.

由于范围内环境的有限性, 该政策旨在满足自我评估问卷C中定义的PCI要求, 版本. 2.2010年10月1日. 学院是否应该增加录取渠道, 开始存储, 以电子格式处理或传送持卡人资料, 否则就没有资格验证SAQ C的合规性, 学院有责任确定适当的合规标准,并根据需要实施额外的政策和控制措施.

政策

需求一:建立和维护一个安全的网络

防火墙配置

防火墙必须限制不受信任的网络与持卡人数据环境中的任何系统之间的连接. “不受信任的网络”是指在被审查实体所属网络之外的任何网络, 和/或超出实体控制或管理的能力. PCI要求1.2)

入站和出站流量必须限制为持卡人数据环境所必需的流量. 必须明确拒绝所有其他入站和出站流量. PCI要求1.2.1)

所有开放的端口和服务必须记录在案. 文档应该包括端口或服务, 源和目的, 以及开放该港口或服务的商业理由. PCI要求1.2.1)

必须在任何无线网络和持卡人数据环境之间安装外围防火墙. 必须将这些防火墙配置为拒绝或控制(如果出于业务目的需要这种流量)从无线环境进入持卡人数据环境的任何流量. PCI要求1.2.3)

防火墙配置必须禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问,具体如下:

  • 禁止互联网和持卡人数据环境之间的入站和出站流量直接连接(PCI要求1).3.3)
  • 从持卡人数据环境到互联网的出站流量必须得到明确授权(PCI需求1).3.5)
  • 防火墙必须实现状态检查, 也称为动态包过滤(PCI需求1).3.6)
要求2:不要使用供应商提供的默认系统密码和其他安全参数

供应商违约

在网络上安装系统之前,必须始终更改供应商提供的默认值. 供应商默认值的示例包括密码, SNMP团体字串, 消除不必要的账户. PCI要求2.1)

在实现之前,必须更改无线系统的默认设置. 无线环境默认值包括但不限于:

  • 默认加密密钥
  • 密码
  • SNMP团体字串
  • 接入点上的默认密码/口令
  • 其他与安全相关的无线供应商默认值(如适用)

无线设备上的固件必须更新,以支持通过无线网络进行身份验证和数据传输的强加密. PCI要求2.1.1)

不需要的服务和协议

只有必要的服务、协议、守护进程等.,可根据需要启用系统的功能. 必须禁用所有不直接用于设备指定功能的服务和协议. PCI要求2.2.2)

非控制台管理访问

非控制台管理访问的凭据必须使用SSH等技术进行加密, VPN, 或SSL / TLS. 加密技术必须包括以下内容:(PCI要求.3)

  • 强大的加密, 并且在请求管理员密码之前必须调用加密方法
  • 必须配置系统服务和参数文件,以防止使用telnet等不安全的远程登录命令
  • 管理员访问基于web的管理界面
要求3:保护存储的持卡人数据

禁止数据

必须有适当的流程来安全地删除授权后的敏感身份验证数据,以使数据不可恢复. PCI要求3.2)

支付系统必须遵守以下关于授权后不存储敏感认证数据(即使加密)的要求:

  • 磁条(位于卡的背面)中任何磁道数据的全部内容, 芯片上包含的等效数据, 或其他地方)不存储在任何情况下(PCI要求3).2.1)
  • 卡的验证码或值(印在支付卡正面或背面的三位数或四位数数字)在任何情况下都不存储(PCI要求3).2.2)
  • 个人识别号码(PIN)或加密的PIN块在任何情况下都不存储(PCI要求3).2.3)

显示锅

学院将屏蔽pan(主帐号)的显示。, 并限制只有那些有合法需要的员工和其他各方才能查看工作计划. 一个适当的掩码将只显示PAN的前六位和后四位数字. (PCI要求3.3)

要求4:通过开放的公共网络对持卡人数据进行加密传输

持卡人资料的传送

持卡人数据发送跨开, 公共网络必须通过使用强大的加密技术或安全协议来保护.g., ipsec, ssltls). 只能接受受信任的密钥和/或证书. 用于SSL/TLS实现, HTTPS必须作为URL的一部分出现, 只有当URL中出现HTTPS时,才能输入持卡人数据. PCI要求4.1)

行业最佳实践(例如,IEEE 802.11i)必须用于传输持卡人数据或连接到持卡人数据环境的无线网络的认证和传输实现强加密. PCI要求4.1.1)

禁止通过终端用户消息传递技术发送未加密的pan. 终端用户技术的例子包括电子邮件、即时消息和聊天. (PCI要求4.2)

要求五:使用并定期更新防病毒软件或程序

反病毒

所有系统, 特别是个人电脑和服务器,经常受到病毒的影响, 必须安装有检测能力的杀毒程序吗, 删除, 并防止所有已知类型的恶意软件. PCI要求5.1, 5.1.1)

所有防病毒程序必须通过自动更新保持最新状态, 积极跑步, 配置为运行定期扫描, 并且能够生成审计日志. 防病毒日志必须按照PCI要求保留10.7. PCI要求5.2)

要求6:开发和维护安全的系统和应用程序

安全补丁

所有重要的高风险安全补丁必须在发布后14天内应用. 这包括操作系统和所有已安装的应用程序的相关补丁. PCI要求6.1)

要求七:根据业务需要限制对持卡人资料的访问

限制存取持卡人资料

访问学院的持卡人系统组件和数据仅限于那些工作需要这样访问的个人. PCI要求7.1)

访问限制必须包括以下内容:

  • 特权用户id的访问权限必须限制为执行工作职责所需的最小权限(PCI requirements 7).1.1)
  • 特权必须根据工作分类和功能(也称为“基于角色的访问控制”)分配给个人(PCI要求7).1.2)
需求8:为每个有计算机访问权限的人分配一个唯一的ID

远程访问

员工对网络的远程访问(来自网络外部的网络级访问)必须采用双因素认证, 管理员, 还有第三方. PCI要求8.3)

供应商账户

供应商用于远程维护的所有帐户应仅在所需的时间段内启用. 供应商远程访问帐户在使用时必须进行监控. PCI要求8.5.6)

要求9:限制对持卡人数据的物理访问

物理保护包含持卡人数据的所有媒体

包含机密或敏感资料的硬拷贝材料(例如.g.、纸质收据、纸质报告、传真等.)须遵守以下贮存指引:

  • 所有媒体必须得到物理保护. (PCI要求9.6)

必须严格控制包含持卡人数据的任何类型媒体的内部或外部分发. 这些控制应包括:

  • 必须对介质进行分类,以便确定数据的敏感性(PCI要求9).7.1)
  • 媒体必须通过安全的载体或其他可以精确跟踪的交付方法发送(PCI要求9).7.2)

必须维护日志,以跟踪从安全区域移动的所有媒体, 在移动媒体之前,必须获得管理层的批准. PCI要求9.8)

必须严格控制包含持卡人数据的媒体的存储和可访问性. PCI要求9.9)

数据销毁

当因业务或法律原因不再需要时,必须销毁包含持卡人数据的所有媒体. (PCI要求9.10)
硬拷贝媒体必须用碎纸机销毁, 焚化或制浆,使持卡人资料无法重建. 存储等待销毁的信息的容器必须加以保护,以防止对内容物的访问. (PCI要求9.10.1)

要求11:定期测试安全系统和过程

测试未经授权的无线接入点

至少每季度一次, 学院将进行测试,以确保持卡人环境中没有未经授权的无线接入点. PCI要求11.1)该测试必须检测和识别任何未经授权的无线接入点, 至少包括以下内容:

  • WLAN卡插入系统组件
  • 连接到系统组件的便携式无线设备(例如,通过USB等).)
  • 连接到网络端口或网络设备的无线设备

如果使用自动化监控(例如,无线IDS/IPS、NAC等).),必须将其配置为生成警报.

对未授权无线设备的检测必须包含在事件响应计划中. PCI要求12.9)

漏洞扫描

至少每季度一次, 以及在网络发生任何重大变化(如安装新的系统组件)之后, 网络拓扑的变化, 防火墙规则修改, 产品升级), 学院将对所有范围内的系统进行漏洞扫描. PCI要求11.2)

必须重复内部漏洞扫描,直到获得通过的结果为止, 或者直到PCI需求6中定义的所有“高”漏洞.2已解决. PCI要求11.2.1, 11.2.3)

季度漏洞扫描结果必须满足ASV程序指南的要求(例如, 没有评级高于4的漏洞.0由CVSS和无自动故障). 外部漏洞扫描必须由支付卡行业安全标准委员会(PCI SSC)批准的认可扫描供应商(ASV)执行。. PCI要求11.2.2, 11.2.3)

要求12:维护员工和承包商的信息安全政策

安全策略

学院设立, 发布, 维护, 并发布一项安全政策,说明公司将如何保护持卡人的数据. PCI要求12.1)

该策略必须至少每年审查一次,并且必须根据需要进行更新,以反映业务目标或风险环境的变化. (PCI要求12.1.3)

关键技术

学院应制定关键技术的使用政策(例如, 远程接入技术, 无线技术, 可移动电子介质, 笔记本电脑, 平板电脑, 个人资料/数码助理(pda), 电子邮件, 互联网的使用. (PCI要求12.3)

这些政策必须包括以下内容:

  • 授权方明确批准使用该技术(PCI要求12).3.1)
  • 技术使用的身份验证(PCI要求12).3.2)
  • 所有此类设备和人员的访问列表(PCI要求12).3.3)
  • 可接受的技术使用(PCI要求12).3.5)
  • 技术可接受的网络位置(PCI要求12).3.6)
  • 在一段特定的不活动时间后,远程访问技术的会话自动断开(PCI要求12).3.8)
  • 仅在供应商和业务合作伙伴需要时为供应商和业务合作伙伴激活远程访问技术, 使用后立即停用(PCI要求12).3.9)

安全责任

学院的政策和程序必须明确规定所有人员的信息安全责任. PCI要求12.4)

事件响应策略

系统安全管理员应建立, 文档, 分发安全事件响应和升级程序,以确保及时有效地处理所有情况. (PCI要求12.5.3)

事件识别

员工必须意识到他们在检测安全事件方面的责任,以促进事件响应计划和程序. 所有员工都有责任在其特定职责范围内协助事件响应程序. 员工可能在日常活动中认识到的安全事件的一些示例包括, 但不限于:

  • 盗窃、损坏或未经授权的访问(例如.g., 他们桌上的文件不见了, 破碎的锁, 日志文件丢失, 保安发出警报, 非法闯入或非法进入的视频证据)
  • 欺诈-数据库、日志、文件或纸质记录中的信息不准确

报告事件

如果发生任何涉及持卡人数据的可疑或实际安全事件,应立即通知系统安全管理员.

联系系统安全管理员,报告任何可疑或实际的事件. 所有员工都应该知道内部审计的电话号码,并且应该在非工作时间呼叫某人.

任何人不得与主管或系统安全管理员以外的任何人就任何可疑或实际事件的细节或概况进行沟通. 与执法部门或公众的所有沟通将由技术解决方案执行主任协调.

在等待系统安全管理员对事件作出响应的同时,记录您所知道的任何信息. 如果已知,则必须包括事件的日期、时间和性质. 您提供的任何信息将有助于我们以适当的方式作出回应.

事件响应

响应可以包括或经过以下几个阶段, 严重程度分类, 容器, 根除, 恢复和根本原因分析导致安全控制的改进.

控制,根除,恢复和执行根本原因分析

1. 通知适用的信用卡协会.

签证

在十(10)个工作日内向签证欺诈控制小组提供受损的签证账户. 如需帮助,请联系1-(650)-432-2978. 账户号码必须按照签证欺诈控制小组的指示安全地发送给签证. 提供所有可能受到损害的帐户是至关重要的. 签证将把泄露的签证账号分发给发卡机构,并确保实体信息和非公开信息的机密性. 有关必须执行的其他活动,请参阅签证的“如果受到损害该怎么办”文档. 

万事达卡

请与您的商业银行联系,了解在妥协后该怎么做的具体细节. 关于商业银行的详细信息. (收单方)可在商户手册(网址 http://www.mastercard.com/us/wce/PDF/12999_MERC-Entire_Manual.pdf. 当您拨打万事达卡1-(636)-722-4100时,您的商业银行将提供帮助.

发现卡

请联系您的客户经理或拨打支持热线1-(800)-347-3083以获得进一步指导.

2. 通知所有相关方. 一定要通知:

a. 商业银行

b. 当地联邦调查局办公室

c. U.S. 特勤局(如果签证支付数据被泄露)

d. 地方当局(如适用)

3. 对客户受到影响的每个州报告妥协的法律要求进行分析. 

4. 收集和保护与入侵相关的信息. 如果需要进行法医调查,首席信息官将与法律和管理层合作,确定适当的法医专家.

5. 消除入侵者的访问方式和任何相关漏洞.

6. 研究所采用的入侵方法所涉及的潜在风险或造成的损害.

根本原因分析和经验教训

事件发生后不到一周, IT人员和所有受影响方将开会审查任何调查结果,以确定泄露的根本原因,并评估事件响应计划的有效性. 审查其他安全控制以确定其对当前风险的适当性. 任何确定的领域,其中的计划, 策略或安全控制可以变得更有效或更高效, 必须相应地更新.

安全意识

学院应建立并保持正式的安全意识计划,使所有人员意识到持卡人数据安全的重要性. PCI要求12.6)

服务提供商

学院应执行及维持管理服务提供者的政策及程序. (PCI要求12.8)
这一过程必须包括以下内容:

  • 维护服务提供商列表(PCI要求.8.1)
  • 保持一份书面协议,其中包括确认服务提供商对服务提供商拥有的持卡人数据的安全负责(PCI要求12).8.2)
  • 在聘请服务提供商之前,实施一个流程来执行适当的尽职调查(PCI要求12).8.3)
  • 监控服务提供商的PCI DSS合规状态(PCI要求.8.4)

 

处理支付卡数据的员工可接受使用政策

目的

该策略被设计为系统策略的补充, 处理PCI DSS SAQ C商家要求的程序和指南. 此政策适用于所有明尼苏达州社区和技术学院系统的存储, 过程, 或传输持卡人数据和有权访问持卡人数据的用户.

政策

所有人员, 被授权使用处理或存储持卡人数据的设备的系统雇员或承包商必须遵守系统使用政策, 程序和指引包括 明尼苏达州立系统政策.计算机和信息技术资源的合理使用明尼苏达州立系统.22.计算机和信息技术资源的合理使用.

明尼苏达州立社区和技术学院维护着处理或存储持卡人数据的所有设备的列表, 还有一份被授权使用这些设备的人员名单. 设备上标有用途、所有者及其联系信息. 学院保留了所有产品和服务提供商的清单.

维护和实施政策和程序来管理处理学院持卡人数据的服务提供商. 当持卡人数据与服务提供商共享时, 学院要求书面确认数据的安全是供应商的责任. 实施了一个程序来监控服务提供商对PCI DSS的遵从性.

访问控制

目的

该策略被设计为系统策略的补充, 处理PCI DSS SAQ C商家要求的程序和指南. 此政策适用于所有明尼苏达州社区和技术学院系统的存储, 过程, 或传输持卡人数据和有权访问持卡人数据的用户.

政策

支付处理环境中的所有系统都必须使用唯一的用户名和密码进行保护. 唯一用户帐户表示所使用的每个帐户都与单个用户和/或进程相关联,而不使用由多个用户或进程使用的通用组帐户.

操作系统提供的所有默认帐户, 数据库和/或设备应该被删除, 已禁用或已尽快重命名. 所有帐户必须符合PCI-DSS密码要求.

PCI标准要求如下:

  • 密码长度最少7个字符,最多15个字符
  • 密码必须包含数字字符和字母字符
  • 密码必须至少90天修改一次
  • 新密码不能与前4个密码相同

卡数据环境内的用户帐户还将受到以下要求的约束:

  • 如果密码输入错误6次,该帐户将被锁定
  • 帐户锁定时间应该至少为30分钟(或者直到管理员重置它为止)。
  • 会话空闲超过15分钟需要重新输入用户名和密码来重新激活会话

卡数据环境内的账户还受到以下要求的约束:

  • 错误密码锁定
    • 5次登录失败后,账户将被锁定
  • 锁定时间
    • 尝试无效登录, 该帐户将被锁定30分钟或直到系统管理员解锁该帐户
  • Idle Time锁定时间
    • 远程桌面会话将在一个小时不活动后终止
    • 断开连接的远程桌面会话将在断开连接后一小时过期.

远程访问

目的

该策略被设计为系统策略的补充, 处理PCI DSS SAQ C商家要求的程序和指南. 此政策适用于所有明尼苏达州社区和技术学院系统的存储, 过程, 或传输持卡人数据和有权访问持卡人数据的用户.

政策

所有员工, 被授予对卡数据环境的远程访问权限的管理员或供应商必须配置双因素身份验证. 第三方帐户只有在提供的服务需要访问时才会被激活, 并将在连接时进行系统审计. 使用后应立即禁用第三方远程访问.