附錄 10.28A

 

本文件包含已被排除在展覽之外的信息,因為它既是 (I) 非實質性信息,而且 (II) 如果公開披露會對競爭造成損害。此類排除信息用方括號標識並用 (***) 標記。

 

第二修正案

經修訂和重述

CSG 主訂閲者管理系統協議

之間

CSG 系統公司

憲章通訊運營有限責任公司

 

 

時間表修正

 

第二修正案(“修正案”)由特拉華州的一家公司CSG Systems, Inc.(“CSG”)和特拉華州的一家有限責任公司Charter Communications Operating, LLC(以下簡稱 “客户”)制定。CSG和客户簽訂了某些經修訂和重述的CSG主訂户管理系統協議,該協議自2022年1月1日起生效(CSG文件編號44754),經修訂(以下簡稱 “協議”),現在希望根據本修正案中規定的條款和條件進一步修改該協議。如果本修正案中規定的條款和條件與本協議相沖突,則以本修正案的條款和條件為準。任何以首字母大寫字母表示的術語或用作定義術語但未在本修正案中定義的所有大寫字母的術語應具有本協議中規定的含義。當事雙方執行本修正案時,雙方隨後提及的《協議》均指經本修正的協議。除非經本修正案修訂,否則本協議中規定的條款和條件應根據其條款繼續具有完全的效力和效力。

 

 

鑑於 CSG 提供和客户使用 Precision eCare® 支付自助終端服務;以及

 

鑑於 Precision eCare® Payment Kiosk 服務允許客户的關聯訂閲者和非 ACP 訂閲者以現金、支票、借記卡和信用卡的形式付款;以及

 

鑑於上述以支票、借記卡和信用卡形式進行的付款包括受當時的PCI-DSS標準約束的消費者信息;以及

 

鑑於協議附錄C-4 (a) “CSG Precision eCare® 服務” 附錄附錄D “Precision eCare® 服務” 的第6段 “自助終端PCI安全責任”,協議附錄C的 “經常性服務” 以引用方式納入了一份 “角色和責任文件”,該文件規定了CSG和客户根據PCI-DSS標準承擔的義務;以及

 

鑑於CSG與客户進行討論後,雙方同意修改協議,將作為附件1附於本協議的參考文件 “角色和責任文檔” 附在協議中,標題為 “CSG/Charter PCI-DSS角色和責任文件”。

鑑於,因此,雙方同意修改本協議。

 

因此,現在,考慮到此處包含的共同契約和協議,以及其他良好和有價值的對價(特此確認已收到和充足性),CSG和客户同意自修正案生效日期(定義見下文)起採取以下措施。

 

1。協議附錄C-4 (a) “CSG Precision eCare® 服務” 附錄附錄 D “Precision eCare® 支付亭” 第 6 段 “自助服務終端 PCI 安全責任” 已全部刪除,替換如下:

 


 

 

6。自助服務終端 PCI 安全責任。CSG 和客户同意遵守特定 Kiosk PCI-Security 文件 “CSG/Charter PCI-DSS 角色和責任文件”(作為 “第 XX 修正案附件 1” 附於此)中規定的各自責任,該文件對雙方具有約束力,但須遵守協議條款,並可通過雙方共同協議不時更新,以確定與 Precision eCare® 支付亭/Kiosks/Kiosks相關的角色和責任 Osk Unit 以符合當時的行業標準和 PCI-DSS 標準的方式進行(即”CSG/Charter PCI-DSS 角色和職責文檔”)。對CSG/Charter PCI-DSS角色和責任文件的任何修改或修訂均應得到CSG首席信息官和客户相應官員的書面批准。如果雙方無法就與PCI-DSS標準未來變更相關的CSG/Charter PCI-DSS角色和責任文件的任何修改或修訂達成協議,則雙方應按照協議的規定,將此事上報給相應締約方的相應官員進行解決。CSG承認並同意,它對其持有、訪問、處理、傳輸、以其他方式擁有或存儲的與自助終端單元和相關的Precision eCare® 支付亭服務相關的持卡人數據負責。本協議中的任何內容均不限制CSG根據協議第10條對Kiosk軟件承擔的責任。

 

2。雙方承認並同意,截至修正案生效之日,雙方遵守了各自的PCI DSS義務,如協議附表L “憲章通信訪問協議” 附錄B “一般條款和條件” 第10.b.1 (c) 段所述。

 

本修正案自下文最後簽署之日(“修正案生效日期”)起生效。

 

包機通信運營有限公司 CSG SYSTEMS, INC.(“CSG”)

(“客户”)

 

作者:查特通訊公司,其經理

 

作者:/s/ Stephanie Babin 作者:___/s/ Michael J Woods______

 

標題:高級副總裁賬單設計標題:__svp BC&S____________

 

姓名:斯蒂芬妮·巴賓姓名 _邁克爾·伍茲_________________

 

日期:2023 年 8 月 15 日日期:__2023 年 8 月 14 日___________________

 

 


 

 

附件 1

第二修正案

 

 

附件 1

展覽附件 D

附錄 C-4 (a)

 

 

CSG/Charter PCI-DSS 角色和職責文檔

 

PCI 要求

 

子要求

CSG 責任

 

客户責任

要求 1:安裝和維護防火牆配置以保護持卡人數據

 

1.1 建立防火牆和路由器
配置標準包括
以下:(這涵蓋了 PCI DSS 的 1.1.1 到 1.1.7)

1.1.1-批准和測試所有網絡連接以及防火牆和路由器配置更改的正式流程。
1.1.2 當前的網絡圖,用於標識持卡人數據環境與其他網絡(包括任何無線網絡)之間的所有連接。
1.1.3 顯示所有持卡人數據流經系統和網絡的當前示意圖。
1.1.4 要求在每個互聯網連接處以及任何非軍事區 (DMZ) 和內部網絡區域之間設置防火牆
1.1.5 描述管理網絡組件的羣組、角色和職責。
1.1.6 使用所有允許的服務、協議和端口的文檔和商業理由,包括為被認為不安全的協議實施的安全功能的文檔。不安全的服務、協議或端口的示例包括但不限於 FTP、Telnet、POP3、IMAP 以及 SNMP v1 和 v2。
1.1.7 要求至少每六個月審查一次防火牆和路由器規則集。

[******** ********* ******* ("**") ******** ************* *** ****** ********** *********** *********. ****** ******** ****** ********** ********* ****** **** ******** ** ****** ******** *** *** *** *** ******* ** ******* ******** ********* *** ****** ** ****-****** *******.
** *** ******* *** ****** *** *** *** ******** ** *** **** ** *** *** *******.
*********** *** *** *******
*********** *** *** ************* ******, ***** *** **************** *** ********** ** ******* ********.
*********** *** ********** *** ****** ********** ************ **** ** *** ****. *********** *** ********** **** *****. ***** *** ***** ***** ******** ************, **** *** *** ******** **** ******** *** ************* ***

[******** ******** ** ***** ** ***** ****** ******** ******** ******** ******* ** *** ** *** ***** *** ******** ********** *********** ********. ******** *** ******* **** *** ****** ** *** ******** ******* ******.
******** **** **** ******** *** ************* ******, ***** *** **************** *** *** ********** ** ******* ********. ******** *** ******* *** ****** ********** ************ **** ** **'* *** ************. ***** *** ***** ***** ******** ************, **** *** *** ******** **** ******** *** ************* *** ******* *** **** ** ******.]

 


 

 

 

******* *** **** ** ******.]

 

1.2 建立防火牆和路由器
限制連接的配置
在不可信網絡和任何網絡之間
持卡器中的系統組件
數據環境。(這涵蓋了 PCI DSS 的 1.2.1 到 1.2.3)

1.2.1 將入站和出站流量限制為持卡人數據環境所必需的流量,特別是拒絕所有其他流量。
1.2.2 保護和同步路由器配置文件。
1.2.3 在所有無線網絡和持卡人數據環境之間安裝外圍防火牆,並將這些防火牆配置為拒絕無線環境和持卡人數據環境之間的授權流量,或者如果出於業務目的需要流量,則僅允許在無線環境和持卡人數據環境之間進行授權流量。

[*** ****** ****** (***** * *** ************ ** *** ******** ** *** ***, *** ************ *** ******** **** ****** ********** ************ ** ******** ** ****** *********.) *** *** *** **************.]

[********** *******, ******* ********** *** ******** *** ******** ********** **** *** *****, *** ******* **** ** *** ****** ******* *** ***.
*** *** ******** ************** ** **** ***** *********** *** *** ******** *******. ]

 


 

1.3 禁止兩者之間的直接公共訪問
互聯網和任何系統組件
在持卡人數據環境中。(這包括 PCI DSS 的 1.3.1 到 1.3.8)

1.3.1 實施隔離區,將入站流量限制為僅提供授權的可公開訪問服務、協議和端口的系統組件。
1.3.2 限制進入隔離區內的 IP 地址的互聯網流量。
1.3.3 不允許互聯網和持卡人數據環境之間的任何直接入站或出站流量連接。
1.3.4 實施反欺騙措施,檢測和阻止偽造的源 IP 地址進入網絡。(例如,使用內部源地址阻止來自互聯網的流量。)
1.3.5 不允許未經授權的出站流量從持卡人數據環境流向互聯網。
1.3.6 實現狀態檢查,也稱為動態包過濾。(也就是説,只允許 “已建立” 的連接進入網絡。)
1.3.7 將存儲持卡人數據(例如數據庫)的系統組件放置在與 DMZ 和其他不可信網絡隔離的內部網絡區域中。
1.3.8 不要向未授權方透露私有 IP 地址和路由信息。

[*** ****** ****** *** *** *** **************. ******** ************** *** *** ********** **** *****. ]

[********** ******* ******* ********** *** ******** *** ******** ********** **** ** *** ****** ******* *** ***. ******** **** *** ********* ** ** *********** *** *** ********** **** **** *** ***** ** *** **** ******.]

1.4 在任何移動設備和/或員工擁有的設備上安裝個人防火牆軟件,這些設備在網絡外部連接到互聯網(例如,員工使用的筆記本電腦),也用於訪問網絡。
防火牆配置包括:
-為個人防火牆軟件定義了特定的配置設置。
-個人防火牆軟件正在積極運行。
-移動設備和/或員工自有設備的用户無法更改個人防火牆軟件。

[**'* *** ********* ** **** ** ***** ******* *********** ************ ** ********.]

[*** *** ************** ***** ************ ** ********.]

1.5 確保管理防火牆的安全策略和操作程序記錄在案、使用中並讓所有受影響方都知道。

[************** ********* . *** **** *** ******* *********** ** ***** *** ** *** ********* ********** *** ***** ******** ******* *********** ******** **** ******** *********

[************** *********. ******** **** *** ******* *** *********** ** *** ***** ************** ******* ****** ** *** ** *** *********** ********* ****** ****** ********** *********.]

 


 

 

 

** ****** ** ****** ********** *********.]

 

要求 2:請勿使用供應商提供的系統密碼和其他安全參數的默認值

2.1 在網絡上安裝系統之前,請務必更改供應商提供的默認帳户並刪除或禁用不必要的默認帳户。這適用於所有默認密碼,包括但不限於操作系統使用的密碼、提供安全服務的軟件、應用程序和系統帳户、銷售點 (POS) 終端、簡單網絡管理協議 (SNMP) 社區字符串等)。

(2.1.1) 指連接到持卡人數據環境的無線環境。不適用於自助服務終端或 CSG 生產網絡。)

[****** *** ***** ** *** ***** ***, ************ *** ********* ********* ** ****** ********** **** *** ******** **********. ****** ****** ****** ****** *** ****** ******** ********** ********** (*** **** ****** *** ***); *** **** *** *** ****** ***** ** *** ****** *** *** *** ****** (******** ***** *** **** ****** ****** ******). ********* ****** *** ********* ********* *** *********** ****** ********** *******.
******* *** ******** ******** ****** ** *** ********* ********; ** ******** ** ********** ******** **** ******.]

[****** *** ********** ****** ********* *** ********** *** *** ***** ****** ** *** ******.
********* ****** ********* ********* *** *********** ****** ********** *******.
** ******** ********** **** ***** ********. ******* *** ******** ******** ****** *** ********* ********; ** ******** ** ********** ******** **** ******.]

2.2 為所有系統組件制定配置標準。確保這些標準解決所有已知的安全漏洞,並與行業認可的系統強化標準一致。(這涵蓋了來自 PCI DSS 的 2.2.1 到 2.2.5)。行業認可的系統強化標準的來源可能包括但不限於:
-互聯網安全中心(CIS)
-國際標準化組織(ISO)
-SysAdmin 審計網絡安全 (SANS) 研究所
-美國國家標準技術研究所 (NIST)

2.2.1 每台服務器僅實現一項主要功能,以防止需要不同安全級別的功能在同一台服務器上共存。(例如,Web 服務器、數據庫服務器和 DNS 應在不同的服務器上實現。)
2.2.2 僅根據系統功能的要求啟用必要的服務、協議、守護程序等。
2.2.3 為任何被認為不安全的必需服務、協議或守護程序實施額外的安全功能,例如,使用 SSH、S-FTP、SSL 或 IPsec VPN 等安全技術來保護 NetBIOS、文件共享、遠程登錄、FTP 等不安全的服務。
2.2.4 配置系統安全參數以防止濫用。
2.2.5 刪除所有不必要的功能,例如腳本、驅動程序、功能、子系統、文件系統和不必要的 Web 服務器。

[******* ***** ******** *** ****** ***** **** ******** **** ********* *** ********, ********* ******** ****** ********** ************ ** ******* *********** *******. ******* *** ******** *** ******** *** ************ ******* ** *** ***** ****** *** ******** ** *** ******** ********.]

[************** ********** ****** ****** *************, ******** ******** ** *** *****, ******** ********* ** ***** ** *** ***** *** ***** ********-********* ********** ** *** ***** ******. ****** **** **** *** ********* ***************** *** ******** ************** ******** *** ******* ** *** ******. *** ******* ** *** ************* **** ** ****** ** *** ****** ******* *** ****** ****** ******* ******* ****** ***** ********.]

2.3 使用強加密技術加密所有非控制枱管理訪問權限。使用 SSH、VPN 或 SSL/TLS 等技術進行基於 Web 的管理,以及

[*** *** ** ****** *** ****** ************ ** *****. ]

[*** ****** ********* ** ****** ** *** ****** *** **************.]

 


 

其他非控制枱管理訪問權限。

 

 

 

2.4 維護 PCI DSS 範圍內的系統組件清單。

[************** *********. ***, **** *********** *** *********** ****** ** *** ******** ********* ******** ** *** ***********, ** *** ******** **************.]

[************** *********. **** *** ****** ********* ** **** *****, *** ** ****** *** *****, *** **'* ******** ****** *** ****** ********* **** *** *********** ******** ** *** **** ********. ]

2.5 確保管理供應商違約和其他安全參數的安全策略和操作程序記錄在案、使用中並讓所有受影響方都知道。

[************** *********. ******* ******** ******** *** ********** ******** ** ******* ** *** ***** ******* *** ******* ******* ************ ** ******** ** ***** ** **** ** *** **** ***** ** * ****** **** ******* *** ********* ** *** ***** *******.]

[************** *********. ******** *** ****** *** ************* ******** ** *** ********** ** *** ***** ************ ****.]

2.6 共享主機提供商必須保護每個實體的託管環境和持卡人數據。這些提供商必須滿足特定要求,詳見附錄 A:共享主機提供商的其他 PCI DSS 要求。

[****** ******* ****** **** ** *********** ****-*** *** **** ****** ******** ************.]

[**** **** *** ****** ******* *** **** ****** *** **** ******** ** ********'* ************** ** ****** ** ******** ** *** ***** ******.]

要求 3:保護存儲的持卡人數據

3.1 通過實施數據保留和處置政策、程序和流程,將持卡人數據存儲降至最低,其中至少包括以下所有持卡人數據 (CHD) 存儲內容:
-將數據存儲量和保留時間限制在法律、監管和業務要求所需的範圍內
-不再需要時安全刪除數據的流程
-持卡人數據的特定保留要求
-每季度進行識別和安全的流程

[********** **** *** *** *********** ****** *** *** ************** **** *** **** **** *********** ** ******** ** *** ***** ******* ** *** ********* ***** ******** ****** *** *** ******* .
******* ********** **** **** **** ****** ** ********* ***** ** ***** *********** ********.
************** **** ******* **** **** **** ***** ****** ** *** *****; ** **** ********* ** *** ***** ****, ******* (*** ********* **** **** ** ** *** *** ****** ******* ****** ***** ** *******

[************ **** *** ********* ** ******** ******* ********* ***** *** ********** ****** ********'* ***** ***** ******'* ******** ******, **** *** **** ******* ********'* ******** *******.]

 


 

刪除存儲的超過規定保留期限的持卡人數據。

 

******** ** ***'* *** ********** *******).]

 

3.2 請勿在授權後存儲敏感的身份驗證數據(即使已加密)。如果收到敏感的身份驗證數據,則在完成授權過程後使所有數據不可恢復。在以下情況下,允許支持發行服務的發行商和公司存儲敏感的身份驗證數據:
-有商業理由,
-數據安全存儲
敏感的身份驗證數據包括以下引用的數據
要求 3.2.1 到 3.2.3:

3.2.1 不要存儲任何曲目的全部內容(來自卡背面的磁條、芯片上包含的等效數據或其他地方)。這些數據也可以稱為全軌道、軌道 1、軌道 2 和磁條數據。注意:在正常業務過程中,可能需要保留磁條中的以下數據元素:
-持卡人的姓名
-主要賬户號碼 (PAN)
-到期日期
-服務代碼
為了最大限度地降低風險,請僅根據業務需要存儲這些數據元素。
3.2.2 請勿存儲用於驗證無卡交易的信用卡驗證碼或金額(印在支付卡正面或背面的三位數或四位數字)。
3.2.3 請勿存儲個人識別碼 (PIN) 或
加密的 PIN 塊。

[********** **** *** *** *********** **** *** *** ************** **** *** **** **** *********** ** ******** ** *** ***** ******* ** *** ********* ***** ******** ****** *** *** *******. ******* ********** **** **** **** ****** ** ********* ***** ** ***** *********** ********.
************** **** ******* **** **** **** ***** ****** ** *** ***** **** ******* (** ************** ********* ** *** ***** *******).]

[************ **** *** ********* ** ******** ******* ********* ***** *** ********** ****** ********'* ***** ***** ******* ********'* ******* ******, **** *** **** ******* ********'* ******** *******.]

3.3 顯示時屏蔽 PAN(前六位和最後四位數字是要顯示的最大位數),這樣只有具有合法業務需求的人員才能看到完整的 PAN。

[******** **** ******** ****** ** *********** ****** ******* ******* **** *** ** ****** ** *** ******* ** *** ***** *** **** **** ** *** **** ***** ***** *** ** *******.]

[******** ******* * ******* **** **** *** ** ****** ** *** ******* ** *** *****].

3.4 使用以下任一方法使 PAN 無法讀取存儲在任何地方(包括在便攜式數字媒體、備份媒體和日誌中):
· 基於強密碼學的單向哈希,(哈希必須是整個 PAN 的哈希)
-截斷(哈希不能用於替換 PAN 的截斷段)
-索引令牌和墊子(墊子)必須牢固

3.4.1 如果使用磁盤加密(而不是文件級或列級數據庫加密),則必須單獨管理邏輯訪問,並且獨立於本地操作系統的身份驗證和訪問控制機制(例如,不使用本地用户帳户數據庫或通用網絡登錄憑證)。解密密鑰不得與用户帳户相關聯。

[********** **** **** *** ***** ******* ** *** ********* ***** *********** *** *** **** *** ********** **** ** ****** **'* **********************. ******** **** ** ********** **** ** ***** ****** ** *** ***** **** ***** *** ******* ** *************.
******** **** *** ** *** ****** ** *** *****.]

[************ **** *** ********* ** ******** ******* ********* ***** *** ********** ****** ********'* ***** ***** ******'* ******** ******, **** *** **** ******* *** ********'* ******** *******.]

 


 

已存儲)
-強大的加密技術以及相關的密鑰管理流程和程序。

 

 

 

3.5 記錄並實施保護用於保護存儲的持卡人數據免遭泄露和濫用的密鑰的程序:

3.5.1 將加密密鑰的訪問權限限制為所需的最少數量的託管人。
3.5.2 始終以以下一種(或多種)形式存儲用於加密/解密持卡人數據的機密和私鑰:
-使用密鑰加密密鑰進行加密,該密鑰至少與數據加密密鑰一樣強,並且與數據加密密鑰分開存儲
-在安全的加密設備中(例如主機安全模塊 (HSM) 或 PTS 批准的交互點設備)
-按照行業公認的方法,作為至少兩個全長關鍵組件或密鑰共享
3.5.3 將加密密鑰存儲在儘可能少的位置。

[********** **** **** *** ***** ******* ** *** ********* ***** ******** *** *** **** *** ********** **** ** ****** **'* **********************. ******** **** ** ********** **** ** ***** ****** ** ***** ***** *** ******* ** *************.
**** *********** ******* ** **** **** ** ******* ****** ********** ****, *** **** ******* ** ***-********** **** **** ** ******* ****-********** ****; **** ***-********** **** **** ** ** ***** ** ****** ** *** ****-********** ***.]

[************ **** *** ********* ** ******** ******* ********* ***** *** ********** ****** ********* ***** ***** ******'* ******** ****** **** *** ********** **** ******* ********'* ******** *******.]

3.6 全面記錄和實施用於加密持卡人數據的加密密鑰的所有密鑰管理流程和程序,包括以下內容:

3.6.1 生成強加密密鑰。
3.6.2 安全的加密密鑰分發。
3.6.3 安全的加密密鑰存儲。
3.6.4 已達到加密週期末尾的密鑰的加密密鑰更改(例如,在規定的時間段過去和/或給定密鑰生成一定數量的密文之後),由相關的應用程序供應商或密鑰所有者定義,並基於行業最佳實踐和指南(例如,NIST 特別出版物 800-57)。
3.6.5 當密鑰的完整性受到削弱(例如,瞭解明文密鑰組件的員工離職)或懷疑密鑰被泄露時,視需要撤回或更換(例如,存檔、銷燬和/或撤銷)密鑰。
3.6.6 如果使用手動明文加密密鑰管理操作,則必須使用知識分離和雙重控制來管理這些操作。
3.6.7 防止未經授權替換加密密鑰。
 

[********** **** **** *** ***** ******* ** *** ********* ***** ******** *** *** **** *** ********** **** ** ****** **'* **********************. ******** **** ** ********** **** ** ***** ****** ** *** ***** ***** *** ******* ** *************.]

[************ **** *** ********* ** ******** ******* ********* ***** *** ********** ****** ********'* ***** ***** ******'* ******** ******, **** *** **** ******* *** ******** ******** *******.]

 


 

 

3.6.8 要求加密密鑰保管人正式承認他們理解並接受其密鑰保管責任。

 

 

3.7 確保保護存儲的持卡人數據的安全政策和操作程序記錄在案、使用中並讓所有受影響方都知道。

[************** *********].

[************** *********].

要求 4:加密通過開放的公共網絡傳輸持卡人數據

4.1 使用強大的加密和安全協議(例如 SSL/TLS、IPSEC、SSH 等)在通過開放的公共網絡傳輸過程中保護敏感的持卡人數據,包括:
-僅接受可信密鑰和證書。
-正在使用的協議僅支持安全版本或配置。
-加密強度適用於所使用的加密方法。

4.1.1 確保無線網絡傳輸持卡人數據或連接到持卡人數據環境,使用行業最佳實踐(例如 IEEE 802.11i)為身份驗證和傳輸實施強加密。

[********** **** **** *** ***** ******* ** *** ***** ******** *** *** **** *** ********** ** ****** *** **********************. ****** ****** ************ *** *** ** *** ****** ******* *****("***")
*** ** ******* ** ***'* ****-*** *** ********** **** ***** ** *** ***** *******. ****** ********** ** ***** *** ******* **** **** *****].

[************ **** *** ********* ** ******** ******* ***** *** ********** ****** ********'* ***** ***** ******'* ******** ****** **** *** **** ******* ********'* ******** *******].

4.2 切勿使用最終用户消息技術(例如電子郵件、即時消息、聊天等)發送未受保護的 PAN。

[***
****** **** ** ***** ********* ********* *** **** ** ************* **** *** *****].

[***
****** **** ** ***** ********* ********* *** **** ** ************* **** *** *****].

 


 

4.3 確保加密持卡人數據傳輸的安全策略和操作程序記錄在案、使用中並讓所有受影響方都知道。

[************** *********].

[************** *********].

要求 5:使用並定期更新防病毒軟件或程序

5.1 在經常受惡意軟件影響的所有系統(尤其是個人計算機和服務器)上部署防病毒軟件。

5.1.1 確保防病毒程序能夠檢測、刪除和防範所有已知類型的惡意軟件。
5.1.2 對於被認為不經常受到惡意軟件影響的系統,請定期進行評估以識別和評估不斷變化的惡意軟件威脅,以確認此類系統是否仍然不需要防病毒軟件。

[******** ********* ("***") ******** ** ** ***** ** *** *** *** *** ******. *** ******** ** ****** ********** ****** *********** *** ****-*** ******* ********].

[*** ******** ************** *** ********* *** **** * **** ** *** ******** *** *** *******. ************* *** ******* ** *** *** ******** ** **** *** **********].

5.2 確保所有防病毒機制按如下方式維護:
-保持最新狀態,
-定期進行掃描
-生成按照 PCI DSS 要求 10.7 保留的審核日誌。

[******** *** ******** ** ** ***** ** *** *** *** *** ******. *** ******** ** ****** ********** ****** *********** *** ****-*** ******* ********].

[*** ******** ************** *** ********* *** * **** ** *** *** ******** *** *** *******. ************* *** ******* ** *** *** ******** ** **** *** **********].

5.3 確保防病毒機制處於活躍狀態,用户不能禁用或更改,除非管理層在有限的時間內根據具體情況特別授權。

[*** ******** ** ****** ********** ****** *********** *** ****-*** ******* ********].

[************* *** ******* ** *** *** ******** ** **** *** **********].

5.4 確保保護系統免受惡意軟件攻擊的安全策略和操作程序記錄在案、使用中並讓所有受影響方都知道。

[************** *********. ********** ********** (** ****** ** **** ** *** *****) **** **** *** ******** ****** ********** ** *** *** *********** ************ ** ******** *** *********** ********* *** ** ***** ** **** *******].

[************** *********. ********** (** ****** ** **** ** *** *****) **** **** *** ******** ****** ********** ** ******** *** *********** ************ ** *** *** *********** ********* *** ** ***** ** **** *******].

要求 6:開發和維護安全的系統和應用程序

 


 

6.1 建立識別安全漏洞的流程,使用信譽良好的外部安全漏洞信息來源,併為新發現的安全漏洞分配風險等級(例如,“高”、“中” 或 “低”)。

NanoPoint 和 Precision eCare 軟件

[****** ********** *** ****.
*** *** ****** *********** ********* **** *********** ******** ************ ** ** *********.
********** ******** ************* ******* ** *** ****** ********* ***** *****, ********* *** ***** **** ** *** ******, *** ********* ***** ******** *** *** ******* ***************.
****** ******** ** *** ******** *********** *** ***** ******* **** *** *********** **** ********.
****** ******(*) ******* ** *** *** ********* ***** **********. ****** ******'* ********** *** ** ********** **** *** *********].

[******** ** ********'* ****** ************** ***********, ** ***** *** *** ******** ******** **** ** *****].

6.2 通過安裝供應商提供的適用安全補丁,確保所有系統組件和軟件免受已知漏洞的侵害。在發佈後一個月內安裝關鍵安全補丁。

[*** ********* ***** ******** *********** *** ******** *** ******** ******* ** ***** ******** ** ******** *** ******** *** ********* ** *** ******** ***********.
***** **** *** ****** ******* **** **** **** ****** ** ** ******* **** ********.
******** **** *** *** ****** *********** ********* **** *********** ******** ************ ** ** *********.
****** ******* ******* ** *** *** *********. ****** ********** *** ** ********** ** *** *********.
******* *** ********** *************** ** *********** ********].

[******** ********* ******** ******* *** *** ****** ************** ************, ***** ** ********* ****** *** *** ********** ******** ******* ** *** *****.
******* ****** ** ******** *** ******** ***** ** ** **** ** *** ******* *** ****** ** *** ******** ******** *******].

6.3 安全地開發內部和外部軟件應用程序(包括對應用程序的基於 Web 的管理訪問權限),如下所示:
-根據 PCI DSS(例如,安全身份驗證和登錄)
-基於行業標準和/或最佳

6.3.1 在應用程序激活或向客户發佈之前,刪除開發、測試和/或自定義應用程序帳户、用户 ID 和密碼。
6.3.2 在向生產或客户發佈自定義代碼之前,請檢查自定義代碼,以識別任何潛在的編碼漏洞(使用手動或自動流程),至少包括以下內容:
-代碼更改由以下人員審查

[****** *********** ********* *** ******** *** ****** ********** (********* ***** **** *******) ** *** *****.
******** **** *** *** ****** *********** ********* **** *********** ******** ************ ** ** *********.
****** ******* ******* **

[****, ******** ********* ******* *** **** ** ******* ************** ** *** ********* ** *** *****].

 


 

實踐。
-將信息安全納入整個軟件開發生命週期

原始代碼作者以外的個人,以及瞭解代碼審查技術和安全編碼實踐的人員。
-代碼審查確保代碼是根據安全編碼指南開發的
-在發佈之前會進行適當的更正。
-代碼審查結果在發佈之前由管理層審查和批准。

*** *** ********* *** **** ******* ********** *** ** ********** ** *** *********].

 

6.4 對系統組件的所有變更遵循變更控制流程和程序。這些流程必須包括以下內容:

6.4.1 將開發/測試環境與生產環境分開,並通過訪問控制強制分離。
6.4.2 開發/測試和生產環境之間的職責分離
6.4.3 生產數據(實時 PAN)不用於測試或開發
6.4.4 在生產系統處於活動狀態之前刪除測試數據和賬户
6.4.5 實施安全補丁和軟件修改的變更控制程序必須包括以下內容:
6.4.5.1 影響記錄。
6.4.5.2 授權方記錄在案的變更批准。
6.4.5.3 功能測試,以驗證更改不會對系統的安全產生負面影響。
6.4.5.4 撤回程序。

[****** ****** ******* ******* *** *** ******* ** ***** ****** **** *** ******* *** ********.
******* * **** *********** ***** *** ** **** **** *** ** **** **** ***** *********. *** **** *********** **** ** ******** **** *********** *** **********. ******* ********* ******* **** ******** ** ****** *** ******* ** *** ***** ******** *** ** ********* ***** ** ************** ** **********.
****** ****** ** ****** ********** ********** *** *** ******* ********* *** ********* ***** ********, ******* *** ******* *** ****** *** *** ******* ** ***].

[****** ********** ** ***** ****** *** ********. (*** ******** *** *******).
******* *********** *** **'* ****** ********** **********. *********** ** ******* **** *** ** ****** **** **'* ******* ********* ****** ******** ** *************.
********** *** ****** ********** ******* *** ****** *** ***** *** ********** ** **** ******* **** *** ********* *** ***** **** **** *********].

6.5 按如下方式解決軟件開發過程中的常見編碼漏洞:
-培訓開發人員使用安全編碼技術,包括如何避免常見的編碼漏洞,以及瞭解內存中如何處理敏感數據。
-根據安全編碼指南開發應用程序。

6.5.1-6.5.10 列出了需要修復的常見漏洞。

[****** *********** ********* *** ****** ********** ** *** *****.
****** *** *** ****** *********** ********* **** *********** ******** ************ ** ** *********.
****** ******* ******* ** *** *** ********* *** ***** ******* ** ******* ****** ** ******* ********** *** ** ********** *** *********].

[****; ******** ********* ******* *** **** ** ******* ************** ** *** ********* ** *****].

 


 

6.6 對於面向公眾的 Web 應用程序,持續解決新的威脅和漏洞,並通過以下任一方法確保這些應用程序免受已知攻擊:
-通過手動或自動應用程序漏洞安全評估工具或方法對面向公眾的 Web 應用程序進行審查,至少每年一次,並在進行任何更改後進行注意:此評估與針對要求 11.2 進行的漏洞掃描不同。
-安裝自動化技術解決方案,在面向公眾的 Web 應用程序面前檢測和防止 Web 攻擊(例如 Web 應用程序防火牆),以持續檢查所有流量。

[***
***** ** *** * ****** ****** *** *********** ** ** *** *** ** ******* ** ***** **** ******** ********* ******* * *******].

[***
***** ** *** * ****** ****** *** *********** ** ** *** *** ** ******* ** ***** **** ******** ********* ******* * *******].

6.7 確保開發和維護安全系統和應用程序的安全策略和操作程序記錄在案、使用中並讓所有受影響方都知道。

[************** *********].

[************** *********].

要求 7:根據業務需要限制對持卡人數據的訪問

7.1 將對系統組件和持卡人數據的訪問權限僅限於工作需要此類訪問權限的個人。

7.1.1 定義每個角色的訪問需求,包括:
· 每個角色為履行其工作職能需要訪問的系統組件和數據資源
· 訪問資源所需的權限級別(例如,用户、管理員等)。
7.1.2 將對特權用户 ID 的訪問權限限制為履行工作職責所需的最低權限。
7.1.3 根據個人的職位分類和職能分配訪問權限。
7.1.4 要求授權方提供書面批准,指定所需權限。

[*********** *** *********** ****** *** ***** ******* ***** **** *** *** *** ***** ******** ********* ***** ** *** *** ******* ***********].

[*********** ****** ** ********** ***** *** ****** ************** ******* *** *****].

7.2 為系統組件建立訪問控制系統,該系統根據用户的知情需求限制訪問,並設置為 “全部拒絕”,除非特別説明

7.2.1 覆蓋所有系統組件
7.2.2 根據職位分類向個人分配權限

[****** ******* ****** ** ******** ******* ** ***** ** *** ******** **** ****** *** *** ********* ***** *** *** *******

[******** ****** ** *** ***** ** *** ******** ******* *** ** ***** *** ** ****** ************** ****** ***

 


 

允許。
該訪問控制系統必須包括以下內容:

和功能。
7.2.3 默認 “全部拒絕” 設置。

******* ******** ** *** ********** **** ****].

******** ******** ******* *******].

7.3 確保限制訪問持卡人數據的安全政策和操作程序記錄在案、使用中並讓所有受影響方都知道。

[************** *********].

[************** *********].

要求 8:為具有計算機訪問權限的每個人分配一個唯一的 ID

8.1 定義和實施策略和程序,確保對所有系統組件的非消費者用户和管理員進行適當的用户識別管理,如下所示:

8.1.1 在允許所有用户訪問系統組件或持卡人數據之前,為他們分配一個唯一的 ID。
8.1.2 控制用户 ID、憑證和其他標識符對象的添加、刪除和修改。
8.1.3 立即撤消任何已終止用户的訪問權限。
8.1.4 至少每 90 天刪除/禁用一次不活躍的用户帳户。
8.1.5 管理供應商用於通過遠程訪問訪問、支持或維護系統組件的 ID,如下所示:
-僅在需要的時間段內啟用,不使用時禁用。
-使用時進行監控。
8.1.6 通過在不超過六次嘗試後鎖定用户 ID 來限制重複訪問嘗試。
8.1.7 將鎖定持續時間設置為至少 30 分鐘或直到管理員啟用用户 ID 為止。
8.1.8 如果會話空閒時間超過 15 分鐘,則要求用户重新進行身份驗證才能重新激活終端或會話。

[*** ** ******* ***** ** ***** **.
******, ***** *** ******** ****** *** ** ****** ****** ********** ****** *** ******** ******* ********].

[******* ***** **** ****** ** ********* **** *********, ********** ** *** ******** ********.
****** ************** ******* **** **********.
***** ***** **** ****** *** ****** *** ********** ******, ******** ******** *** *** ******* ** **** ****** **** ** ******** ** ******* ** *** ***** ***** ******].

 


 

8.2 除了分配唯一的 ID 外,還要使用以下至少一種方法對所有用户進行身份驗證,確保對所有系統組件上的非消費者用户和管理員進行適當的用户身份驗證管理:
-你知道的東西,比如密碼或密碼
-你擁有的東西,比如代幣設備或智能卡
-你是某種東西,比如生物識別。

8.2.1 使用強加密技術,在所有系統組件上傳輸和存儲期間,使所有身份驗證憑證(例如密碼/短語)不可讀。
8.2.2 在修改任何身份驗證憑證之前驗證用户身份,例如,執行密碼重置、配置新令牌或生成新密鑰。
8.2.3 密碼/短語必須滿足以下要求:
-要求最小長度至少為七個字符。
-包含數字和字母字符。
或者,密碼/短語的複雜性和強度必須至少等同於上面指定的參數。
8.2.4 至少每 90 天更改一次用户密碼/密碼。
8.2.5 不允許個人提交與他或她最近使用的四個密碼/短語相同的新密碼/短語。
8.2.6 將首次使用的密碼/短語以及重置後的密碼/短語設置為每個用户的唯一值,並在首次使用後立即更改。

[******, ***** *** ******** ********* *** ** ****** ****** ********** ****** *** ******** ******* ********.
****** *** **** ********* **** **** *** ******** ************].

[************ ***** **** ****** *** ****** *** *** ********** ******, ******** ******** *** *** ******* ** **** ****** **** ** ******** ** ******.
****** *** **** ********* **** **** *** ******** ************].

8.3 對人員(包括用户和管理員)和所有第三方(包括供應商訪問支持或維護)從網絡外部進行的遠程網絡訪問納入雙因素身份驗證。

[******* **** ********** ************* **** ****** ********** ****** ** **** *** ****** *** *** *** ***** ** ****** ******. *** **** **** ****** *** ***** ******* *** ****** ******, ********** *****, **** ** ***** ** ***'* ****** ********** *******].

[*** *** ****** ********** ******* ** ****** *****].

8.4 記錄身份驗證程序和策略並將其傳達給所有用户,包括:
-選擇強身份驗證憑證的指南
-用户應如何保護其身份驗證憑證的指南
-關於不要重複使用以前使用過的密碼的説明
-如果懷疑密碼可能被泄露,則説明如何更改密碼。

[******, ***** *** ******** ********* *** ** ****** ****** ********** ****** *** ******** ******* ********].

[************** ***** **** ****** *** ****** *** *** ********** ******, ******** ******** *** *** ******* ** **** ****** **** ** ******** ** ******* ** *** ***** ***** ******].

 


 

8.5 請勿使用羣組、共享或通用 ID、密碼或其他身份驗證方法,如下所示:
· 通用用户 ID 已禁用或刪除。
· 不存在用於系統管理和其他關鍵功能的共享用户 ID。
· 共享和通用用户 ID 不用於管理任何系統組件。

8.5.1 對服務提供商的其他要求:能夠遠程訪問客户場所(例如,用於支持 POS 系統或服務器)的服務提供商必須為每位客户使用唯一的身份驗證憑證(例如密碼/短語)。

[*** ************* ** ************** *********.
******, ***** *** ******** ********* *** ** ****** ****** ********** ****** *** ****-*** ******* ********].

[********* *** ***** ** ***** *** ********** *******.
************ ***** **** ****** *** ****** *** ***** ********** ******, ******** ******** *** *** ******* ** **** ****** **** ** ******** ** ******* ** *** ***** ***** ******].

8.6 如果使用其他身份驗證機制(例如,物理或邏輯安全令牌、智能卡、證書等),則必須按如下方式分配這些機制的使用:
-必須將身份驗證機制分配給個人賬户,不得在多個賬户之間共享。
-必須採取物理和/或邏輯控制措施,確保只有目標賬户才能使用該機制獲得訪問權限。

[****** *** ****** ****** ************** ****** ** *****].

[*** **********]

8.7 對包含持卡人數據的任何數據庫的所有訪問權限(包括應用程序、管理員和所有其他用户的訪問)受到以下限制:
-所有用户對數據庫的訪問、用户查詢和用户操作均通過編程方法進行。
-只有數據庫管理員才能直接訪問或查詢數據庫。
-數據庫應用程序的應用程序 ID 只能由應用程序使用(不能由個人用户或其他非應用程序進程使用)。

[****-*** ******* ******** (*** ******* ******) ********* ****].

[**** ** *** **** ******** ** ******** ** ** ****** ** *** ***** ***** ****** ** ******].

8.8 確保身份識別和身份驗證的安全策略和操作程序記錄在案、使用中並讓所有受影響方都知道。

[************** *********].

[************** *********].

 


 

要求 9:限制對持卡人數據的物理訪問

9.1 使用適當的設施進入控制來限制和監控持卡人數據環境中對系統的物理訪問。

9.1.1 使用攝像機和/或訪問控制機制來監控個人對敏感區域的物理訪問。查看收集的數據並與其他條目進行關聯。存放至少三個月,除非法律另有限制。
9.1.2 實施物理和/或邏輯控制以限制對可公開訪問的網絡插孔的訪問。
9.1.3 限制對無線接入點、網關、手持設備、網絡/通信硬件和電信線路的物理接入。

[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ********].

[******** ***** ****, ****** *** ******* ****** **********].

9.2 制定易於區分現場人員和訪客的程序,包括:
-識別新的現場人員或訪客(例如,分配徽章)
-訪問要求的變更
-撤銷或終止現場人員和過期訪客身份(例如身份證)。

[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ********].

[******** ***** ****, ****** *** ******* ****** **********].

9.3 控制現場人員對敏感區域的物理訪問,如下所示:
-訪問權限必須經過授權並以個人工作職能為依據。
-訪問權限將在終止後立即撤銷,所有物理訪問機制,例如密鑰、門禁卡等,都將被歸還或禁用。

9.3.a 對於具有實際訪問CDE的現場人員的樣本,請與負責人員面談並遵守訪問控制列表以驗證:
-訪問 CDE 已獲得授權。
-個人的工作職能需要訪問權限。
9.3.b 觀察人員訪問 CDE,驗證所有人員在獲得訪問權限之前是否已獲得授權。
9.3.c 選擇最近解僱的員工樣本並查看訪問控制列表以驗證這些人員沒有實際訪問CDE的權限。

[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ********].

[******** ***** ****, ****** *** ******* ****** **********].

 


 

9.4 實施識別和授權訪客的程序。
程序應包括以下內容:

9.4.1 訪客在進入處理或維護持卡人數據的區域之前獲得授權,並始終在陪同下進入這些區域。
9.4.2 對訪客進行識別並獲得徽章或其他身份證明,該徽章或其他身份證件已過期,可以明顯區分訪客和現場工作人員。
9.4.3 要求訪客在離開設施之前或到期之日交出徽章或身份證。
9.4.4 訪客日誌用於維護訪客活動的物理審計記錄,記錄設施以及存儲或傳輸持卡人數據的計算機室和數據中心的訪客活動。
在日誌上記錄訪客的姓名、代表的公司以及授權物理訪問的現場人員。
除非法律另有限制,否則將此日誌保留至少三個月。

[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ********].

[******** ***** ****, ****** *** ******* ****** **********].

9.5 對所有媒體進行物理保護。

9.5.1 將媒體備份存儲在安全的位置,最好是場外設施,例如備用站點或備份站點或商業存儲設施。至少每年檢查一次該地點的安全。

[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ********. *** ** **** *********** *** ******* ** ********* ***** *********** **** **** *** ** **** ** *************** ******** ** *** ***** **** ** *********** *******].

[******** ***** ****, ****** *** ******* ****** ********** *** ****** *** ******** *** ****** ********** *********** *** ***** (*** ********** ****)].

9.6 嚴格控制任何類型媒體的內部或外部發行,包括以下內容:

9.6.1 對媒體進行分類,以便確定數據的靈敏度。
9.6.2 通過安全快遞或其他可以準確追蹤的傳送方式發送媒體。
9.6.3 確保管理層批准從安全區域轉移的所有媒體(包括向個人分發媒體時)。

[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ******** *** ******* ** ********* ***** *********** **** **** *** ** **** ** *************** ******** ** *** ***** **** ** *********** *******].

[******** ***** ****, ****** *** ******* ****** **********. *** ****** *** ******** *** ****** ********** *********** *** ***** (*** ********** ****)].

9.7 嚴格控制媒體的存儲和可訪問性。

9.7.1 妥善維護所有媒體的庫存日誌,並至少每年進行一次媒體清點。

[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ******** *** ******* ** ********* ***** *********** **** **** *** ** **** ** *************** ******** ** *** *****

[******** ***** ****, ****** *** ******* ****** **********. *** ****** *** ******** ****** ********** *********** *** ***** (*** ********** ****)]

 


 

 

 

**** ** *********** *******].

 

9.8 出於商業或法律原因不再需要媒體時銷燬媒體,如下所示:

9.8.1 粉碎、焚燒或抹掉硬拷貝材料,使持卡人數據無法重建。用於存放待銷燬材料的安全存儲容器。
9.8.2 使電子媒體上的持卡人數據不可恢復,因此無法重建持卡人數據。

[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ******** ********** *** ********* ***** *********** **** **** **** ******].

[******** ***** ****, ****** *** ******* ****** **********. *** ****** *** ******** ****** ********** *********** *** ***** (*** ********** ****)].

9.9 保護通過與支付卡的直接物理交互來捕獲支付卡數據的設備免遭篡改和替換。

9.9.1 維護最新的設備列表。該列表應包括以下內容:
-品牌、設備型號
-設備的位置(例如,設備所在地點或設施的地址)
-設備序列號或其他唯一識別方法。
9.9.2 定期檢查設備表面,以檢測是否存在篡改行為(例如,在設備中添加讀卡器)或替換(例如,通過檢查序列號或其他設備特性以確認其未被換成欺詐性設備)。
9.9.3 為人員提供培訓,使他們意識到有人企圖篡改或更換設備。培訓應包括以下內容:
-在授予任何聲稱是維修或維護人員的第三方修改或排除設備故障的權限之前,請驗證他們的身份。
-未經驗證,請勿安裝、更換或退回設備。
-注意設備周圍的可疑行為(例如,身份不明的人試圖拔掉設備插頭或打開設備)。
-向相關人員(例如,向經理或安全人員)舉報可疑行為和設備被篡改或更換的跡象。

[**** ****** ***** ***** * **** **** ******** ** * ****** ******* ******* *** *********** *** ** ******** ***** ** ********** *********** ** **** *****].

[******** ***** ****, ****** *** ******** ** ******* ****** *********].

9.10 確保限制對持卡人數據進行物理訪問的安全策略和操作程序記錄在案、使用中並讓所有受影響方都知道。

[************** *********].

[************** *********].

要求 10:跟蹤和監控所有訪問權限

 


 

網絡資源和持卡人數據

 

 

 

10.1 實施審計跟蹤,將對系統組件的所有訪問權限關聯到每個用户。

[****** ********** ****** *** ******** ******* ******** ************. **** ********** ** *** ***** ******** *********** *** ****** ********* ** ***** *********** ****** **** ** **** ** ********** *** ********** ******].

[********* *** ********** ***** ****** **** *** *** ******* *** ******* *************** ******* ************** **********].

10.2 對所有系統組件實施自動審計跟蹤以重建以下事件:

10.2.1 所有個人用户訪問持卡人數據
10.2.2 任何具有 root 權限或管理權限的個人採取的所有操作
10.2.3 訪問所有審計記錄
10.2.4 無效的邏輯訪問嘗試
10.2 5 識別和身份驗證機制的使用和更改(包括但不限於創建新帳户和提升權限),以及對具有根權限或管理權限的帳户進行的所有更改、添加或刪除
10.2.6 初始化、停止或暫停審核日誌
10.2.7 創建和刪除系統級對象

[****** ********** ****** *** ******** ******* ******** ************. **** ********** ** *** ***** ******** *********** *** ****** ********* ** ***** *********** ****** **** ** **** ** ********** *** ********** ******].

[********* *** ********** ***** ****** **** *** *** ******* *** ******* *************** ******* ** ************** **********].

10.3 至少記錄每個事件的所有系統組件的以下審計跟蹤條目:

10.3.1 用户識別
10.3.2 事件的類型
10.3.3 日期和時間
10.3.4 成功或失敗指示
10.3.5 事件的起源
10.3.6 受影響數據、系統組件或資源的身份或名稱。

[****** ********** ****** *** ******** ******* ******** ************. **** ********** ** *** ***** ******** *********** *** ****** ********* ** **** *** *********** ****** **** ** **** ** ********'* *** ********** ******].

[********* *** ********** ***** ****** **** *** *** ******* *** ******* *************** ******* ** ************** **********].

10.4 使用時間同步技術,同步所有關鍵系統時鐘和時間,並確保執行以下措施來獲取、分配和存儲時間。

10.4.1 關鍵系統的時間正確且一致。
10.4.2 時間數據受到保護。
10.4.3 時間設置來自行業認可的時間源。

[*********** *** **** ****** ** ***** ** ***** *** *** *** ****** ********** ****** *** ******** ******* ******** ************].

[************* *** ***** **** *** *** ******* *** ******* *************** **** *******].

 


 

10.5 保護審計記錄,使其無法更改。

10.5.1 將審計記錄的查看範圍限制為有工作相關需求的人。
10.5.2 保護審計記錄文件免遭未經授權的修改。
10.5.3 立即將審計跟蹤文件備份到集中式日誌服務器或難以更改的介質。
10.5.4 將面向外部技術的日誌寫入安全、集中的內部日誌服務器或媒體設備。
10.5.5 對日誌使用文件完整性監控或更改檢測軟件,確保在不生成警報的情況下無法更改現有日誌數據(儘管添加的新數據不應引起警報)。

[*********** ****** **** ** **** ** ********** *** ********** ****** *** *** *** ****** ********** ****** *** ******** ******* ******** ***********].

[********* *** ********** ***** ** **** *** ******* *** ******* *************** ***].

10.6 查看所有系統組件的日誌和安全事件,以識別異常或可疑活動。

10.6.1 至少每天查看以下內容:
-所有安全事件
-存儲、處理或傳輸 CHD 和/或 SAD 或可能影響 CHD 和/或 SAD 安全性的所有系統組件的日誌
-所有關鍵系統組件的日誌
-執行安全功能的所有服務器和系統組件(例如,防火牆、入侵檢測系統/入侵防禦系統 (IDS/IPS)、身份驗證服務器、電子商務重定向服務器等)的日誌。
10.6.2 根據組織年度風險評估確定的組織政策和風險管理戰略,定期審查所有其他系統組件的日誌。
10.6.3 跟蹤審查過程中發現的異常和異常情況。

[********** *** ********* ***** ******** *********** **** (**** ** *** ****** *** ****** **** ******) *** *********** ********** ********. ******** *********** **** *** ** ******** ** ********, *** *** ************* ******** ****. ****** ********** ****** *** ******** ******* ******** ************].

[********** ******** ***** *** ** **** *** ********** ******** *** ******** ** ********** **** ******. ******* ***** *********** **** ******** ** ********, ** *** **** **********, *** ************* ******** *** ******** ********** *********].

10.7 將審計跟蹤歷史記錄保留至少一年,其中至少有三個月可立即用於分析(例如,聯機、存檔或可從備份中恢復)。

[*********** ****** **** ** **** ** ********** *** ********** ****** ****** ********** ****** *** ******** ******* ******** ************].

[********* *** ********** ***** ** **** *** ******* *** ******* *************** ****].

10.8 確保監控所有網絡資源和持卡人數據訪問的安全策略和操作程序記錄在案、使用中並讓所有受影響方都知道。

[******* *** ********* ***** ******** *********** ** *** *****, ********* ******, ******** *** ****. *********** **** **** *** ***** ******** *********** **** * ********** ** *** ******** ** ********** *** ****** ******** **

[******* *** ******** ***** (**), ** *** ******** **** ******** ******* ***** ********. ******* ********** ** *** *************** ** ******* ** *** ********; ********, *******, ******** **** *** ** *********** *** *** ***** ******** ***********].

 


 

 

 

***** **** *** ******** ***** (**) ** *** *****].

 

要求 11:定期測試安全系統和流程。

11.1 實施測試無線接入點是否存在的流程 (802.11),並每季度檢測和識別所有授權和未授權的無線接入點。

11.1.1 維護授權無線接入點清單,包括記錄在案的業務理由。
11.1.2 在檢測到未經授權的無線接入點時實施事故響應程序。

[******* ****** ********** **** ******* ** ******* *** ********** **************** ******].

[******* ***** ***** ********* *** ****** ************** *******].

11.2 至少每季度運行一次內部和外部網絡漏洞掃描,並在網絡發生任何重大變化(例如安裝新的系統組件、網絡拓撲結構的變化、防火牆規則的修改、產品升級)後運行。

11.2.1 每季度進行內部漏洞掃描並根據需要重新掃描,直到所有 “高風險” 漏洞(如要求 6.1 中所述)得到解決。掃描必須由合格的人員執行。
11.2.2 通過支付卡行業安全標準委員會 (PCI SSC) 批准的授權掃描供應商 (ASV) 進行季度外部漏洞掃描。根據需要執行重新掃描,直到實現通過掃描。
11.2.3 進行內部和外部掃描,並在進行任何重大更改後根據需要重新掃描。掃描必須由合格的人員執行。

[**** *** *** ******** ********* ** *** *** ******** *** ******* **** ******* **** ********].

[******** *** ******* *** *** ******].

 


 

11.3 實施滲透測試方法,其中包括以下內容:
-基於行業公認的滲透測試方法(例如 NIST SP800-115)
-包括整個 CDE 邊界和關鍵系統的覆蓋範圍
-包括來自網絡內部和外部的測試
-包括用於驗證任何分段和縮小範圍控制的測試
-定義應用層滲透測試,至少包括要求 6.5 中列出的漏洞
-定義網絡層滲透測試,包括支持網絡功能和操作系統的組件
-包括審查和考慮過去 12 個月中遇到的威脅和漏洞
-規定保留滲透測試結果和修復活動結果。

11.3.1 至少每年進行一次外部滲透測試,並且在進行任何重大基礎設施或應用程序升級或修改(例如操作系統升級、向環境中添加子網絡或向環境中添加網絡服務器)之後。
11.3.2 至少每年進行一次內部滲透測試,並在進行任何重大基礎設施或應用程序升級或修改(例如操作系統升級、向環境中添加子網絡或向環境中添加網絡服務器)之後進行內部滲透測試。
11.3.3 對滲透測試期間發現的可利用漏洞進行更正,並重複測試以驗證更正錯誤。
11.3.4 如果使用分段將CDE與其他網絡隔離,則至少每年進行一次滲透測試,並在對分段控制/方法進行任何更改後進行滲透測試,以驗證分段方法是否可操作且有效,並將所有範圍外系統與範圍內的系統隔離開來。

[******* ***** **** *** ***** ******** *********** ***** ******* ******** ***** *** ******* **** ********].

[******** **** **** *** ******* *** *** ***** ** ******** *** ***** *** *********** ****** *** ***** *** ******* **** ***].

11.4 使用入侵檢測和/或入侵防禦技術來檢測和/或防止對網絡的入侵。監控持卡人數據環境周邊以及持卡人數據環境關鍵點的所有流量,並提醒工作人員注意可疑的泄露行為。
使所有入侵檢測和防禦引擎、基準和簽名保持最新狀態。

[******* ********* ********* ** *** ******* *** *** *** **************. ***** ******** ** *** ******* ** ****** *********** ********* ** *********** **** *** ******** ******** ******].

[******* *** ******* *** *** ****** *** ********* *** ****** *** ** *** ********.
***** ** ********* ** ******** ******* *** ******** *********].

 


 

11.5 部署更改檢測機制(例如,文件完整性監控工具),提醒人員注意關鍵系統文件、配置文件或內容文件遭到未經授權的修改;並將軟件配置為至少每週進行一次關鍵文件比較。

11.5.1 實施一個流程來響應變更檢測解決方案生成的任何警報。

[******* *** ******* *** **************. ****** *** ************* ****** ****** ** ******** ******** ********* *** *********** **** ********* ********* ** *********** ******** ****].

[******* *** ******* *** *** ****** *** *********** *** *** *** ********* ** ***].

11.6 確保安全監控和測試的安全策略和操作程序記錄在案、使用中並讓所有受影響方都知道。

[************** *******].

[************** *******].

要求 12:維護一項解決所有人員信息安全的政策。

12.1 制定、發佈、維護和傳播安全政策。

12.1.1 至少每年審查一次安全政策,並在環境變化時更新政策。

[************** *********.
****** ******* ************ *** ******** *** ******** *** ********* **** *******, *****, ****** ** ******* ****** ** *** ***** ****** ** *******].

[************** *********.
****** ******* ************ *** ******** *** ******** *** ********* **** *******, *****, ****** ** ******* ****** ** *** ***** ****** ** *******].

12.2 實施風險評估流程,該流程應:
-至少每年進行一次,並且在環境發生重大變化(例如,收購、合併、搬遷等)時進行,
-識別關鍵資產、威脅和漏洞,以及
-進行正式風險評估的結果。

[************** *********.
****** ******* ************ *** ******** *** ******** *** ********* **** *******, *****, ****** ** ******* ****** ** *** ***** ****** ** *******].

[************** *********.
****** ******* ************ *** ******** *** ******** *** ********* **** *******, *****, ****** ** ******* ****** ** *** ***** ****** ** *******].

 


 

12.3 制定關鍵技術的使用政策,並定義這些技術的正確使用。
確保這些使用政策要求以下內容:

12.3.1 獲得授權方的明確批准
12.3.2 使用該技術的身份驗證
12.3.3 所有此類設備和有權訪問的人員清單
12.3.4 一種準確、便捷地確定所有者、聯繫信息和用途(例如,設備的標籤、編碼和/或清單)的方法
12.3.5 該技術的可接受用途
12.3.6 技術可接受的網絡位置
12.3.7 公司批准的產品清單
12.3.8 在特定的非活動時間段後自動斷開遠程訪問技術的會話
12.3.9 僅在供應商和業務合作伙伴需要時激活供應商和業務合作伙伴的遠程訪問技術,使用後立即停用
12.3.10 對於通過遠程訪問技術訪問持卡人數據的人員,除非明確獲得特定業務需求的授權,否則禁止將持卡人數據複製、移動和存儲到本地硬盤驅動器和可移動電子媒體上。
如果有授權的業務需求,則使用策略必須要求根據所有適用的 PCI DSS 要求保護數據。

[************** *********.
****: ******** ** ******** ************ *******, *** *** *** ******* **, ****** ****** *** ******** ************, *******, *******, ********* ********** *****, ****** ***** *** ******** *****].

[************** *********.
****: ******** ** ******** ************ *******, *** *** *** ******* **, ****** ****** *** ******** ************, *******, *******, ********* ********** *****, *-**** ***** *** ******** *****].

12.4 確保安全政策和程序明確界定所有人員的信息安全責任。

[************** ******* *** **** ********.
**** *** *** ******** **** **** ********** ******** ******** *** ************** ****************].

[************** ******* *** **** ********.
**** *** *** ******** **** **** ********** ******** ******** *** ************** ****************].

12.5 將以下信息安全管理責任分配給個人或團隊:

12.5.1 建立、記錄和分發安全策略和程序。
12.5.2 監控和分析安全警報和信息,並分發給相應的人員。
12.5.3 建立、記錄和分發安全事件響應和上報程序,以確保及時有效地處理所有情況。
12.5.4 管理用户帳户,包括添加、刪除和修改。
12.5.5 監視和控制對數據的所有訪問。

[************** ********* ****** ********** **** ********].

[************** ********* ****** ******* ******** ****** (*** ********** *** ********* ********* ********** ("***") *********]).

 


 

12.6 實施正式的安全意識計劃,使所有人員意識到持卡人數據安全的重要性。

12.6.1 在招聘時對員工進行培訓,至少每年一次。
12.6.2 要求人員至少每年確認他們已閲讀並理解安全政策和程序。

[************** ********* ******** ********* ******** *** ***** ******** ** ******** *** ********* *** ***** *******].

[************** ********* ******** ********* ******** *** ***** ******** ** ******** *** ********* *** ***** *******].

12.7 在招聘前對潛在人員進行篩選,以最大限度地減少內部攻擊的風險。(背景調查的示例包括以前的工作經歷、犯罪記錄、信用記錄和推薦信調查。)

[************** ******* *** **** ********].

[************** ******* *** **** ********].
 

12.8 維護和實施政策和程序,管理與之共享持卡人數據或可能影響持卡人數據安全的服務提供商,如下所示:

12.8.1 維護服務提供商名單。
12.8.2 維持書面協議,其中包括確認服務提供商對服務提供商代表客户持有或以其他方式存儲、處理或傳輸的持卡人數據的安全性負責,或者在這些數據可能影響客户持卡人數據環境安全的範圍內。
12.8.3 確保有吸引服務提供商的既定程序,包括在聘用前進行適當的盡職調查。
12.8.4 維持一項計劃,至少每年監控服務提供商的PCI DSS合規狀態。
12.8.5 維護有關哪些 PCI DSS 要求由每個服務提供商管理,哪些由實體管理的信息。

[************** *********. **** ****** ******* ******** ** ** *****].

[************** *********. *** ** ** ***** ** ******* ******** *** ********].

12.9 對服務提供商的額外要求:服務提供商以書面形式向客户承認,他們對服務提供商擁有或代表客户以其他方式存儲、處理或傳輸的持卡人數據的安全性負責,或者在這些數據可能影響客户持卡人數據環境安全的範圍內。

[*********** *** **** *************** ********** ** ********].

[***]

 


 

12.10 實施事故響應計劃。做好立即應對系統漏洞的準備。

12.10.1 制定事件響應計劃,以便在發生系統漏洞時實施。確保該計劃至少解決以下問題:
-出現折衷情況下的角色、責任以及溝通和聯繫策略,包括至少通知支付品牌
-具體的事件響應程序
-業務恢復和連續性程序
-數據備份流程
-分析舉報妥協的法律要求
-所有關鍵系統組件的覆蓋範圍和響應
-參考或納入支付品牌的事件響應程序。
12.10.2 至少每年測試一次計劃。
12.10.3 指定特定人員全天候響應警報。
12.10.4 為負有安全漏洞應對責任的員工提供適當的培訓。
12.10.5 包括來自安全監控系統的警報,包括但不限於入侵檢測、入侵防禦、防火牆和文件完整性監控系統。
12.10.6 制定流程,根據經驗教訓修改和發展事故響應計劃,並納入行業發展。

[******** ******** ** ****** ********** ****** *** ******** ******* ******].

[******** ******** ** *** ****** ************** *** ******** ******* ************ *** ** *** ***** ** ******* *** ********, *** *** **** ***** ********* ********* ********** ******* ******************* ******** ** ********].