附錄 10.28A
本文件包含已被排除在展覽之外的信息,因為它既是 (I) 非實質性信息,而且 (II) 如果公開披露會對競爭造成損害。此類排除信息用方括號標識並用 (***) 標記。
第二修正案
到
經修訂和重述
CSG 主訂閲者管理系統協議
之間
CSG 系統公司
和
憲章通訊運營有限責任公司
時間表修正
第二修正案(“修正案”)由特拉華州的一家公司CSG Systems, Inc.(“CSG”)和特拉華州的一家有限責任公司Charter Communications Operating, LLC(以下簡稱 “客户”)制定。CSG和客户簽訂了某些經修訂和重述的CSG主訂户管理系統協議,該協議自2022年1月1日起生效(CSG文件編號44754),經修訂(以下簡稱 “協議”),現在希望根據本修正案中規定的條款和條件進一步修改該協議。如果本修正案中規定的條款和條件與本協議相沖突,則以本修正案的條款和條件為準。任何以首字母大寫字母表示的術語或用作定義術語但未在本修正案中定義的所有大寫字母的術語應具有本協議中規定的含義。當事雙方執行本修正案時,雙方隨後提及的《協議》均指經本修正的協議。除非經本修正案修訂,否則本協議中規定的條款和條件應根據其條款繼續具有完全的效力和效力。
鑑於 CSG 提供和客户使用 Precision eCare® 支付自助終端服務;以及
鑑於 Precision eCare® Payment Kiosk 服務允許客户的關聯訂閲者和非 ACP 訂閲者以現金、支票、借記卡和信用卡的形式付款;以及
鑑於上述以支票、借記卡和信用卡形式進行的付款包括受當時的PCI-DSS標準約束的消費者信息;以及
鑑於協議附錄C-4 (a) “CSG Precision eCare® 服務” 附錄附錄D “Precision eCare® 服務” 的第6段 “自助終端PCI安全責任”,協議附錄C的 “經常性服務” 以引用方式納入了一份 “角色和責任文件”,該文件規定了CSG和客户根據PCI-DSS標準承擔的義務;以及
鑑於CSG與客户進行討論後,雙方同意修改協議,將作為附件1附於本協議的參考文件 “角色和責任文檔” 附在協議中,標題為 “CSG/Charter PCI-DSS角色和責任文件”。
鑑於,因此,雙方同意修改本協議。
因此,現在,考慮到此處包含的共同契約和協議,以及其他良好和有價值的對價(特此確認已收到和充足性),CSG和客户同意自修正案生效日期(定義見下文)起採取以下措施。
1。協議附錄C-4 (a) “CSG Precision eCare® 服務” 附錄附錄 D “Precision eCare® 支付亭” 第 6 段 “自助服務終端 PCI 安全責任” 已全部刪除,替換如下:
6。自助服務終端 PCI 安全責任。CSG 和客户同意遵守特定 Kiosk PCI-Security 文件 “CSG/Charter PCI-DSS 角色和責任文件”(作為 “第 XX 修正案附件 1” 附於此)中規定的各自責任,該文件對雙方具有約束力,但須遵守協議條款,並可通過雙方共同協議不時更新,以確定與 Precision eCare® 支付亭/Kiosks/Kiosks相關的角色和責任 Osk Unit 以符合當時的行業標準和 PCI-DSS 標準的方式進行(即”CSG/Charter PCI-DSS 角色和職責文檔”)。對CSG/Charter PCI-DSS角色和責任文件的任何修改或修訂均應得到CSG首席信息官和客户相應官員的書面批准。如果雙方無法就與PCI-DSS標準未來變更相關的CSG/Charter PCI-DSS角色和責任文件的任何修改或修訂達成協議,則雙方應按照協議的規定,將此事上報給相應締約方的相應官員進行解決。CSG承認並同意,它對其持有、訪問、處理、傳輸、以其他方式擁有或存儲的與自助終端單元和相關的Precision eCare® 支付亭服務相關的持卡人數據負責。本協議中的任何內容均不限制CSG根據協議第10條對Kiosk軟件承擔的責任。
2。雙方承認並同意,截至修正案生效之日,雙方遵守了各自的PCI DSS義務,如協議附表L “憲章通信訪問協議” 附錄B “一般條款和條件” 第10.b.1 (c) 段所述。
本修正案自下文最後簽署之日(“修正案生效日期”)起生效。
包機通信運營有限公司 CSG SYSTEMS, INC.(“CSG”)
(“客户”)
作者:查特通訊公司,其經理
作者:/s/ Stephanie Babin 作者:___/s/ Michael J Woods______
標題:高級副總裁賬單設計標題:__svp BC&S____________
姓名:斯蒂芬妮·巴賓姓名 _邁克爾·伍茲_________________
日期:2023 年 8 月 15 日日期:__2023 年 8 月 14 日___________________
附件 1 到 第二修正案
附件 1 到 展覽附件 D 到 附錄 C-4 (a)
CSG/Charter PCI-DSS 角色和職責文檔
|
|||
PCI 要求 |
子要求 |
CSG 責任 |
客户責任 |
要求 1:安裝和維護防火牆配置以保護持卡人數據 |
|
|
|
1.1 建立防火牆和路由器 |
1.1.1-批准和測試所有網絡連接以及防火牆和路由器配置更改的正式流程。 |
[******** ********* ******* ("**") ******** ************* *** ****** ********** *********** *********. ****** ******** ****** ********** ********* ****** **** ******** ** ****** ******** *** *** *** *** ******* ** ******* ******** ********* *** ****** ** ****-****** *******. |
[******** ******** ** ***** ** ***** ****** ******** ******** ******** ******* ** *** ** *** ***** *** ******** ********** *********** ********. ******** *** ******* **** *** ****** ** *** ******** ******* ******. |
|
|
******* *** **** ** ******.] |
|
1.2 建立防火牆和路由器 |
1.2.1 將入站和出站流量限制為持卡人數據環境所必需的流量,特別是拒絕所有其他流量。 |
[*** ****** ****** (***** * *** ************ ** *** ******** ** *** ***, *** ************ *** ******** **** ****** ********** ************ ** ******** ** ****** *********.) *** *** *** **************.] |
[********** *******, ******* ********** *** ******** *** ******** ********** **** *** *****, *** ******* **** ** *** ****** ******* *** ***. |
1.3 禁止兩者之間的直接公共訪問 |
1.3.1 實施隔離區,將入站流量限制為僅提供授權的可公開訪問服務、協議和端口的系統組件。 |
[*** ****** ****** *** *** *** **************. ******** ************** *** *** ********** **** *****. ] |
[********** ******* ******* ********** *** ******** *** ******** ********** **** ** *** ****** ******* *** ***. ******** **** *** ********* ** ** *********** *** *** ********** **** **** *** ***** ** *** **** ******.] |
1.4 在任何移動設備和/或員工擁有的設備上安裝個人防火牆軟件,這些設備在網絡外部連接到互聯網(例如,員工使用的筆記本電腦),也用於訪問網絡。 |
|
[**'* *** ********* ** **** ** ***** ******* *********** ************ ** ********.] |
[*** *** ************** ***** ************ ** ********.] |
1.5 確保管理防火牆的安全策略和操作程序記錄在案、使用中並讓所有受影響方都知道。 |
|
[************** ********* . *** **** *** ******* *********** ** ***** *** ** *** ********* ********** *** ***** ******** ******* *********** ******** **** ******** ********* |
[************** *********. ******** **** *** ******* *** *********** ** *** ***** ************** ******* ****** ** *** ** *** *********** ********* ****** ****** ********** *********.] |
|
|
** ****** ** ****** ********** *********.] |
|
要求 2:請勿使用供應商提供的系統密碼和其他安全參數的默認值 |
|
|
|
2.1 在網絡上安裝系統之前,請務必更改供應商提供的默認帳户並刪除或禁用不必要的默認帳户。這適用於所有默認密碼,包括但不限於操作系統使用的密碼、提供安全服務的軟件、應用程序和系統帳户、銷售點 (POS) 終端、簡單網絡管理協議 (SNMP) 社區字符串等)。 |
(2.1.1) 指連接到持卡人數據環境的無線環境。不適用於自助服務終端或 CSG 生產網絡。) |
[****** *** ***** ** *** ***** ***, ************ *** ********* ********* ** ****** ********** **** *** ******** **********. ****** ****** ****** ****** *** ****** ******** ********** ********** (*** **** ****** *** ***); *** **** *** *** ****** ***** ** *** ****** *** *** *** ****** (******** ***** *** **** ****** ****** ******). ********* ****** *** ********* ********* *** *********** ****** ********** *******. |
[****** *** ********** ****** ********* *** ********** *** *** ***** ****** ** *** ******. |
2.2 為所有系統組件制定配置標準。確保這些標準解決所有已知的安全漏洞,並與行業認可的系統強化標準一致。(這涵蓋了來自 PCI DSS 的 2.2.1 到 2.2.5)。行業認可的系統強化標準的來源可能包括但不限於: |
2.2.1 每台服務器僅實現一項主要功能,以防止需要不同安全級別的功能在同一台服務器上共存。(例如,Web 服務器、數據庫服務器和 DNS 應在不同的服務器上實現。) |
[******* ***** ******** *** ****** ***** **** ******** **** ********* *** ********, ********* ******** ****** ********** ************ ** ******* *********** *******. ******* *** ******** *** ******** *** ************ ******* ** *** ***** ****** *** ******** ** *** ******** ********.] |
[************** ********** ****** ****** *************, ******** ******** ** *** *****, ******** ********* ** ***** ** *** ***** *** ***** ********-********* ********** ** *** ***** ******. ****** **** **** *** ********* ***************** *** ******** ************** ******** *** ******* ** *** ******. *** ******* ** *** ************* **** ** ****** ** *** ****** ******* *** ****** ****** ******* ******* ****** ***** ********.] |
2.3 使用強加密技術加密所有非控制枱管理訪問權限。使用 SSH、VPN 或 SSL/TLS 等技術進行基於 Web 的管理,以及 |
|
[*** *** ** ****** *** ****** ************ ** *****. ] |
[*** ****** ********* ** ****** ** *** ****** *** **************.] |
其他非控制枱管理訪問權限。 |
|
|
|
2.4 維護 PCI DSS 範圍內的系統組件清單。 |
|
[************** *********. ***, **** *********** *** *********** ****** ** *** ******** ********* ******** ** *** ***********, ** *** ******** **************.] |
[************** *********. **** *** ****** ********* ** **** *****, *** ** ****** *** *****, *** **'* ******** ****** *** ****** ********* **** *** *********** ******** ** *** **** ********. ] |
2.5 確保管理供應商違約和其他安全參數的安全策略和操作程序記錄在案、使用中並讓所有受影響方都知道。 |
|
[************** *********. ******* ******** ******** *** ********** ******** ** ******* ** *** ***** ******* *** ******* ******* ************ ** ******** ** ***** ** **** ** *** **** ***** ** * ****** **** ******* *** ********* ** *** ***** *******.] |
[************** *********. ******** *** ****** *** ************* ******** ** *** ********** ** *** ***** ************ ****.] |
2.6 共享主機提供商必須保護每個實體的託管環境和持卡人數據。這些提供商必須滿足特定要求,詳見附錄 A:共享主機提供商的其他 PCI DSS 要求。 |
|
[****** ******* ****** **** ** *********** ****-*** *** **** ****** ******** ************.] |
[**** **** *** ****** ******* *** **** ****** *** **** ******** ** ********'* ************** ** ****** ** ******** ** *** ***** ******.] |
要求 3:保護存儲的持卡人數據 |
|
|
|
3.1 通過實施數據保留和處置政策、程序和流程,將持卡人數據存儲降至最低,其中至少包括以下所有持卡人數據 (CHD) 存儲內容: |
|
[********** **** *** *** *********** ****** *** *** ************** **** *** **** **** *********** ** ******** ** *** ***** ******* ** *** ********* ***** ******** ****** *** *** ******* . |
[************ **** *** ********* ** ******** ******* ********* ***** *** ********** ****** ********'* ***** ***** ******'* ******** ******, **** *** **** ******* ********'* ******** *******.] |
刪除存儲的超過規定保留期限的持卡人數據。 |
|
******** ** ***'* *** ********** *******).] |
|
3.2 請勿在授權後存儲敏感的身份驗證數據(即使已加密)。如果收到敏感的身份驗證數據,則在完成授權過程後使所有數據不可恢復。在以下情況下,允許支持發行服務的發行商和公司存儲敏感的身份驗證數據: |
3.2.1 不要存儲任何曲目的全部內容(來自卡背面的磁條、芯片上包含的等效數據或其他地方)。這些數據也可以稱為全軌道、軌道 1、軌道 2 和磁條數據。注意:在正常業務過程中,可能需要保留磁條中的以下數據元素: |
[********** **** *** *** *********** **** *** *** ************** **** *** **** **** *********** ** ******** ** *** ***** ******* ** *** ********* ***** ******** ****** *** *** *******. ******* ********** **** **** **** ****** ** ********* ***** ** ***** *********** ********. |
[************ **** *** ********* ** ******** ******* ********* ***** *** ********** ****** ********'* ***** ***** ******* ********'* ******* ******, **** *** **** ******* ********'* ******** *******.] |
3.3 顯示時屏蔽 PAN(前六位和最後四位數字是要顯示的最大位數),這樣只有具有合法業務需求的人員才能看到完整的 PAN。 |
|
[******** **** ******** ****** ** *********** ****** ******* ******* **** *** ** ****** ** *** ******* ** *** ***** *** **** **** ** *** **** ***** ***** *** ** *******.] |
[******** ******* * ******* **** **** *** ** ****** ** *** ******* ** *** *****]. |
3.4 使用以下任一方法使 PAN 無法讀取存儲在任何地方(包括在便攜式數字媒體、備份媒體和日誌中): |
3.4.1 如果使用磁盤加密(而不是文件級或列級數據庫加密),則必須單獨管理邏輯訪問,並且獨立於本地操作系統的身份驗證和訪問控制機制(例如,不使用本地用户帳户數據庫或通用網絡登錄憑證)。解密密鑰不得與用户帳户相關聯。 |
[********** **** **** *** ***** ******* ** *** ********* ***** *********** *** *** **** *** ********** **** ** ****** **'* **********************. ******** **** ** ********** **** ** ***** ****** ** *** ***** **** ***** *** ******* ** *************. |
[************ **** *** ********* ** ******** ******* ********* ***** *** ********** ****** ********'* ***** ***** ******'* ******** ******, **** *** **** ******* *** ********'* ******** *******.] |
已存儲) |
|
|
|
3.5 記錄並實施保護用於保護存儲的持卡人數據免遭泄露和濫用的密鑰的程序: |
3.5.1 將加密密鑰的訪問權限限制為所需的最少數量的託管人。 |
[********** **** **** *** ***** ******* ** *** ********* ***** ******** *** *** **** *** ********** **** ** ****** **'* **********************. ******** **** ** ********** **** ** ***** ****** ** ***** ***** *** ******* ** *************. |
[************ **** *** ********* ** ******** ******* ********* ***** *** ********** ****** ********* ***** ***** ******'* ******** ****** **** *** ********** **** ******* ********'* ******** *******.] |
3.6 全面記錄和實施用於加密持卡人數據的加密密鑰的所有密鑰管理流程和程序,包括以下內容: |
3.6.1 生成強加密密鑰。 |
[********** **** **** *** ***** ******* ** *** ********* ***** ******** *** *** **** *** ********** **** ** ****** **'* **********************. ******** **** ** ********** **** ** ***** ****** ** *** ***** ***** *** ******* ** *************.] |
[************ **** *** ********* ** ******** ******* ********* ***** *** ********** ****** ********'* ***** ***** ******'* ******** ******, **** *** **** ******* *** ******** ******** *******.] |
|
3.6.8 要求加密密鑰保管人正式承認他們理解並接受其密鑰保管責任。 |
|
|
3.7 確保保護存儲的持卡人數據的安全政策和操作程序記錄在案、使用中並讓所有受影響方都知道。 |
|
[************** *********]. |
[************** *********]. |
要求 4:加密通過開放的公共網絡傳輸持卡人數據 |
|
|
|
4.1 使用強大的加密和安全協議(例如 SSL/TLS、IPSEC、SSH 等)在通過開放的公共網絡傳輸過程中保護敏感的持卡人數據,包括: |
4.1.1 確保無線網絡傳輸持卡人數據或連接到持卡人數據環境,使用行業最佳實踐(例如 IEEE 802.11i)為身份驗證和傳輸實施強加密。 |
[********** **** **** *** ***** ******* ** *** ***** ******** *** *** **** *** ********** ** ****** *** **********************. ****** ****** ************ *** *** ** *** ****** ******* *****("***") |
[************ **** *** ********* ** ******** ******* ***** *** ********** ****** ********'* ***** ***** ******'* ******** ****** **** *** **** ******* ********'* ******** *******]. |
4.2 切勿使用最終用户消息技術(例如電子郵件、即時消息、聊天等)發送未受保護的 PAN。 |
|
[*** |
[*** |
4.3 確保加密持卡人數據傳輸的安全策略和操作程序記錄在案、使用中並讓所有受影響方都知道。 |
|
[************** *********]. |
[************** *********]. |
要求 5:使用並定期更新防病毒軟件或程序 |
|
|
|
5.1 在經常受惡意軟件影響的所有系統(尤其是個人計算機和服務器)上部署防病毒軟件。 |
5.1.1 確保防病毒程序能夠檢測、刪除和防範所有已知類型的惡意軟件。 |
[******** ********* ("***") ******** ** ** ***** ** *** *** *** *** ******. *** ******** ** ****** ********** ****** *********** *** ****-*** ******* ********]. |
[*** ******** ************** *** ********* *** **** * **** ** *** ******** *** *** *******. ************* *** ******* ** *** *** ******** ** **** *** **********]. |
5.2 確保所有防病毒機制按如下方式維護: |
|
[******** *** ******** ** ** ***** ** *** *** *** *** ******. *** ******** ** ****** ********** ****** *********** *** ****-*** ******* ********]. |
[*** ******** ************** *** ********* *** * **** ** *** *** ******** *** *** *******. ************* *** ******* ** *** *** ******** ** **** *** **********]. |
5.3 確保防病毒機制處於活躍狀態,用户不能禁用或更改,除非管理層在有限的時間內根據具體情況特別授權。 |
|
[*** ******** ** ****** ********** ****** *********** *** ****-*** ******* ********]. |
[************* *** ******* ** *** *** ******** ** **** *** **********]. |
5.4 確保保護系統免受惡意軟件攻擊的安全策略和操作程序記錄在案、使用中並讓所有受影響方都知道。 |
|
[************** *********. ********** ********** (** ****** ** **** ** *** *****) **** **** *** ******** ****** ********** ** *** *** *********** ************ ** ******** *** *********** ********* *** ** ***** ** **** *******]. |
[************** *********. ********** (** ****** ** **** ** *** *****) **** **** *** ******** ****** ********** ** ******** *** *********** ************ ** *** *** *********** ********* *** ** ***** ** **** *******]. |
要求 6:開發和維護安全的系統和應用程序 |
|
|
|
6.1 建立識別安全漏洞的流程,使用信譽良好的外部安全漏洞信息來源,併為新發現的安全漏洞分配風險等級(例如,“高”、“中” 或 “低”)。 |
NanoPoint 和 Precision eCare 軟件 |
[****** ********** *** ****. |
[******** ** ********'* ****** ************** ***********, ** ***** *** *** ******** ******** **** ** *****]. |
6.2 通過安裝供應商提供的適用安全補丁,確保所有系統組件和軟件免受已知漏洞的侵害。在發佈後一個月內安裝關鍵安全補丁。 |
|
[*** ********* ***** ******** *********** *** ******** *** ******** ******* ** ***** ******** ** ******** *** ******** *** ********* ** *** ******** ***********. |
[******** ********* ******** ******* *** *** ****** ************** ************, ***** ** ********* ****** *** *** ********** ******** ******* ** *** *****. |
6.3 安全地開發內部和外部軟件應用程序(包括對應用程序的基於 Web 的管理訪問權限),如下所示: |
6.3.1 在應用程序激活或向客户發佈之前,刪除開發、測試和/或自定義應用程序帳户、用户 ID 和密碼。 |
[****** *********** ********* *** ******** *** ****** ********** (********* ***** **** *******) ** *** *****. |
[****, ******** ********* ******* *** **** ** ******* ************** ** *** ********* ** *** *****]. |
實踐。 |
原始代碼作者以外的個人,以及瞭解代碼審查技術和安全編碼實踐的人員。 |
*** *** ********* *** **** ******* ********** *** ** ********** ** *** *********]. |
|
6.4 對系統組件的所有變更遵循變更控制流程和程序。這些流程必須包括以下內容: |
6.4.1 將開發/測試環境與生產環境分開,並通過訪問控制強制分離。 |
[****** ****** ******* ******* *** *** ******* ** ***** ****** **** *** ******* *** ********. |
[****** ********** ** ***** ****** *** ********. (*** ******** *** *******). |
6.5 按如下方式解決軟件開發過程中的常見編碼漏洞: |
6.5.1-6.5.10 列出了需要修復的常見漏洞。 |
[****** *********** ********* *** ****** ********** ** *** *****. |
[****; ******** ********* ******* *** **** ** ******* ************** ** *** ********* ** *****]. |
6.6 對於面向公眾的 Web 應用程序,持續解決新的威脅和漏洞,並通過以下任一方法確保這些應用程序免受已知攻擊: |
|
[*** |
[*** |
6.7 確保開發和維護安全系統和應用程序的安全策略和操作程序記錄在案、使用中並讓所有受影響方都知道。 |
|
[************** *********]. |
[************** *********]. |
要求 7:根據業務需要限制對持卡人數據的訪問 |
|
|
|
7.1 將對系統組件和持卡人數據的訪問權限僅限於工作需要此類訪問權限的個人。 |
7.1.1 定義每個角色的訪問需求,包括: |
[*********** *** *********** ****** *** ***** ******* ***** **** *** *** *** ***** ******** ********* ***** ** *** *** ******* ***********]. |
[*********** ****** ** ********** ***** *** ****** ************** ******* *** *****]. |
7.2 為系統組件建立訪問控制系統,該系統根據用户的知情需求限制訪問,並設置為 “全部拒絕”,除非特別説明 |
7.2.1 覆蓋所有系統組件 |
[****** ******* ****** ** ******** ******* ** ***** ** *** ******** **** ****** *** *** ********* ***** *** *** ******* |
[******** ****** ** *** ***** ** *** ******** ******* *** ** ***** *** ** ****** ************** ****** *** |
允許。 |
和功能。 |
******* ******** ** *** ********** **** ****]. |
******** ******** ******* *******]. |
7.3 確保限制訪問持卡人數據的安全政策和操作程序記錄在案、使用中並讓所有受影響方都知道。 |
|
[************** *********]. |
[************** *********]. |
要求 8:為具有計算機訪問權限的每個人分配一個唯一的 ID |
|
|
|
8.1 定義和實施策略和程序,確保對所有系統組件的非消費者用户和管理員進行適當的用户識別管理,如下所示: |
8.1.1 在允許所有用户訪問系統組件或持卡人數據之前,為他們分配一個唯一的 ID。 |
[*** ** ******* ***** ** ***** **. |
[******* ***** **** ****** ** ********* **** *********, ********** ** *** ******** ********. |
8.2 除了分配唯一的 ID 外,還要使用以下至少一種方法對所有用户進行身份驗證,確保對所有系統組件上的非消費者用户和管理員進行適當的用户身份驗證管理: |
8.2.1 使用強加密技術,在所有系統組件上傳輸和存儲期間,使所有身份驗證憑證(例如密碼/短語)不可讀。 |
[******, ***** *** ******** ********* *** ** ****** ****** ********** ****** *** ******** ******* ********. |
[************ ***** **** ****** *** ****** *** *** ********** ******, ******** ******** *** *** ******* ** **** ****** **** ** ******** ** ******. |
8.3 對人員(包括用户和管理員)和所有第三方(包括供應商訪問支持或維護)從網絡外部進行的遠程網絡訪問納入雙因素身份驗證。 |
|
[******* **** ********** ************* **** ****** ********** ****** ** **** *** ****** *** *** *** ***** ** ****** ******. *** **** **** ****** *** ***** ******* *** ****** ******, ********** *****, **** ** ***** ** ***'* ****** ********** *******]. |
[*** *** ****** ********** ******* ** ****** *****]. |
8.4 記錄身份驗證程序和策略並將其傳達給所有用户,包括: |
|
[******, ***** *** ******** ********* *** ** ****** ****** ********** ****** *** ******** ******* ********]. |
[************** ***** **** ****** *** ****** *** *** ********** ******, ******** ******** *** *** ******* ** **** ****** **** ** ******** ** ******* ** *** ***** ***** ******]. |
8.5 請勿使用羣組、共享或通用 ID、密碼或其他身份驗證方法,如下所示: |
8.5.1 對服務提供商的其他要求:能夠遠程訪問客户場所(例如,用於支持 POS 系統或服務器)的服務提供商必須為每位客户使用唯一的身份驗證憑證(例如密碼/短語)。 |
[*** ************* ** ************** *********. |
[********* *** ***** ** ***** *** ********** *******. |
8.6 如果使用其他身份驗證機制(例如,物理或邏輯安全令牌、智能卡、證書等),則必須按如下方式分配這些機制的使用: |
|
[****** *** ****** ****** ************** ****** ** *****]. |
[*** **********] |
8.7 對包含持卡人數據的任何數據庫的所有訪問權限(包括應用程序、管理員和所有其他用户的訪問)受到以下限制: |
|
[****-*** ******* ******** (*** ******* ******) ********* ****]. |
[**** ** *** **** ******** ** ******** ** ** ****** ** *** ***** ***** ****** ** ******]. |
8.8 確保身份識別和身份驗證的安全策略和操作程序記錄在案、使用中並讓所有受影響方都知道。 |
|
[************** *********]. |
[************** *********]. |
要求 9:限制對持卡人數據的物理訪問 |
|
|
|
9.1 使用適當的設施進入控制來限制和監控持卡人數據環境中對系統的物理訪問。 |
9.1.1 使用攝像機和/或訪問控制機制來監控個人對敏感區域的物理訪問。查看收集的數據並與其他條目進行關聯。存放至少三個月,除非法律另有限制。 |
[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ********]. |
[******** ***** ****, ****** *** ******* ****** **********]. |
9.2 制定易於區分現場人員和訪客的程序,包括: |
|
[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ********]. |
[******** ***** ****, ****** *** ******* ****** **********]. |
9.3 控制現場人員對敏感區域的物理訪問,如下所示: |
9.3.a 對於具有實際訪問CDE的現場人員的樣本,請與負責人員面談並遵守訪問控制列表以驗證: |
[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ********]. |
[******** ***** ****, ****** *** ******* ****** **********]. |
9.4 實施識別和授權訪客的程序。 |
9.4.1 訪客在進入處理或維護持卡人數據的區域之前獲得授權,並始終在陪同下進入這些區域。 |
[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ********]. |
[******** ***** ****, ****** *** ******* ****** **********]. |
9.5 對所有媒體進行物理保護。 |
9.5.1 將媒體備份存儲在安全的位置,最好是場外設施,例如備用站點或備份站點或商業存儲設施。至少每年檢查一次該地點的安全。 |
[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ********. *** ** **** *********** *** ******* ** ********* ***** *********** **** **** *** ** **** ** *************** ******** ** *** ***** **** ** *********** *******]. |
[******** ***** ****, ****** *** ******* ****** ********** *** ****** *** ******** *** ****** ********** *********** *** ***** (*** ********** ****)]. |
9.6 嚴格控制任何類型媒體的內部或外部發行,包括以下內容: |
9.6.1 對媒體進行分類,以便確定數據的靈敏度。 |
[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ******** *** ******* ** ********* ***** *********** **** **** *** ** **** ** *************** ******** ** *** ***** **** ** *********** *******]. |
[******** ***** ****, ****** *** ******* ****** **********. *** ****** *** ******** *** ****** ********** *********** *** ***** (*** ********** ****)]. |
9.7 嚴格控制媒體的存儲和可訪問性。 |
9.7.1 妥善維護所有媒體的庫存日誌,並至少每年進行一次媒體清點。 |
[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ******** *** ******* ** ********* ***** *********** **** **** *** ** **** ** *************** ******** ** *** ***** |
[******** ***** ****, ****** *** ******* ****** **********. *** ****** *** ******** ****** ********** *********** *** ***** (*** ********** ****)] |
|
|
**** ** *********** *******]. |
|
9.8 出於商業或法律原因不再需要媒體時銷燬媒體,如下所示: |
9.8.1 粉碎、焚燒或抹掉硬拷貝材料,使持卡人數據無法重建。用於存放待銷燬材料的安全存儲容器。 |
[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ******** ********** *** ********* ***** *********** **** **** **** ******]. |
[******** ***** ****, ****** *** ******* ****** **********. *** ****** *** ******** ****** ********** *********** *** ***** (*** ********** ****)]. |
9.9 保護通過與支付卡的直接物理交互來捕獲支付卡數據的設備免遭篡改和替換。 |
9.9.1 維護最新的設備列表。該列表應包括以下內容: |
[**** ****** ***** ***** * **** **** ******** ** * ****** ******* ******* *** *********** *** ** ******** ***** ** ********** *********** ** **** *****]. |
[******** ***** ****, ****** *** ******** ** ******* ****** *********]. |
9.10 確保限制對持卡人數據進行物理訪問的安全策略和操作程序記錄在案、使用中並讓所有受影響方都知道。 |
|
[************** *********]. |
[************** *********]. |
要求 10:跟蹤和監控所有訪問權限 |
|
|
|
網絡資源和持卡人數據 |
|
|
|
10.1 實施審計跟蹤,將對系統組件的所有訪問權限關聯到每個用户。 |
|
[****** ********** ****** *** ******** ******* ******** ************. **** ********** ** *** ***** ******** *********** *** ****** ********* ** ***** *********** ****** **** ** **** ** ********** *** ********** ******]. |
[********* *** ********** ***** ****** **** *** *** ******* *** ******* *************** ******* ************** **********]. |
10.2 對所有系統組件實施自動審計跟蹤以重建以下事件: |
10.2.1 所有個人用户訪問持卡人數據 |
[****** ********** ****** *** ******** ******* ******** ************. **** ********** ** *** ***** ******** *********** *** ****** ********* ** ***** *********** ****** **** ** **** ** ********** *** ********** ******]. |
[********* *** ********** ***** ****** **** *** *** ******* *** ******* *************** ******* ** ************** **********]. |
10.3 至少記錄每個事件的所有系統組件的以下審計跟蹤條目: |
10.3.1 用户識別 |
[****** ********** ****** *** ******** ******* ******** ************. **** ********** ** *** ***** ******** *********** *** ****** ********* ** **** *** *********** ****** **** ** **** ** ********'* *** ********** ******]. |
[********* *** ********** ***** ****** **** *** *** ******* *** ******* *************** ******* ** ************** **********]. |
10.4 使用時間同步技術,同步所有關鍵系統時鐘和時間,並確保執行以下措施來獲取、分配和存儲時間。 |
10.4.1 關鍵系統的時間正確且一致。 |
[*********** *** **** ****** ** ***** ** ***** *** *** *** ****** ********** ****** *** ******** ******* ******** ************]. |
[************* *** ***** **** *** *** ******* *** ******* *************** **** *******]. |
10.5 保護審計記錄,使其無法更改。 |
10.5.1 將審計記錄的查看範圍限制為有工作相關需求的人。 |
[*********** ****** **** ** **** ** ********** *** ********** ****** *** *** *** ****** ********** ****** *** ******** ******* ******** ***********]. |
[********* *** ********** ***** ** **** *** ******* *** ******* *************** ***]. |
10.6 查看所有系統組件的日誌和安全事件,以識別異常或可疑活動。 |
10.6.1 至少每天查看以下內容: |
[********** *** ********* ***** ******** *********** **** (**** ** *** ****** *** ****** **** ******) *** *********** ********** ********. ******** *********** **** *** ** ******** ** ********, *** *** ************* ******** ****. ****** ********** ****** *** ******** ******* ******** ************]. |
[********** ******** ***** *** ** **** *** ********** ******** *** ******** ** ********** **** ******. ******* ***** *********** **** ******** ** ********, ** *** **** **********, *** ************* ******** *** ******** ********** *********]. |
10.7 將審計跟蹤歷史記錄保留至少一年,其中至少有三個月可立即用於分析(例如,聯機、存檔或可從備份中恢復)。 |
|
[*********** ****** **** ** **** ** ********** *** ********** ****** ****** ********** ****** *** ******** ******* ******** ************]. |
[********* *** ********** ***** ** **** *** ******* *** ******* *************** ****]. |
10.8 確保監控所有網絡資源和持卡人數據訪問的安全策略和操作程序記錄在案、使用中並讓所有受影響方都知道。 |
|
[******* *** ********* ***** ******** *********** ** *** *****, ********* ******, ******** *** ****. *********** **** **** *** ***** ******** *********** **** * ********** ** *** ******** ** ********** *** ****** ******** ** |
[******* *** ******** ***** (**), ** *** ******** **** ******** ******* ***** ********. ******* ********** ** *** *************** ** ******* ** *** ********; ********, *******, ******** **** *** ** *********** *** *** ***** ******** ***********]. |
|
|
***** **** *** ******** ***** (**) ** *** *****]. |
|
要求 11:定期測試安全系統和流程。 |
|
|
|
11.1 實施測試無線接入點是否存在的流程 (802.11),並每季度檢測和識別所有授權和未授權的無線接入點。 |
11.1.1 維護授權無線接入點清單,包括記錄在案的業務理由。 |
[******* ****** ********** **** ******* ** ******* *** ********** **************** ******]. |
[******* ***** ***** ********* *** ****** ************** *******]. |
11.2 至少每季度運行一次內部和外部網絡漏洞掃描,並在網絡發生任何重大變化(例如安裝新的系統組件、網絡拓撲結構的變化、防火牆規則的修改、產品升級)後運行。 |
11.2.1 每季度進行內部漏洞掃描並根據需要重新掃描,直到所有 “高風險” 漏洞(如要求 6.1 中所述)得到解決。掃描必須由合格的人員執行。 |
[**** *** *** ******** ********* ** *** *** ******** *** ******* **** ******* **** ********]. |
[******** *** ******* *** *** ******]. |
11.3 實施滲透測試方法,其中包括以下內容: |
11.3.1 至少每年進行一次外部滲透測試,並且在進行任何重大基礎設施或應用程序升級或修改(例如操作系統升級、向環境中添加子網絡或向環境中添加網絡服務器)之後。 |
[******* ***** **** *** ***** ******** *********** ***** ******* ******** ***** *** ******* **** ********]. |
[******** **** **** *** ******* *** *** ***** ** ******** *** ***** *** *********** ****** *** ***** *** ******* **** ***]. |
11.4 使用入侵檢測和/或入侵防禦技術來檢測和/或防止對網絡的入侵。監控持卡人數據環境周邊以及持卡人數據環境關鍵點的所有流量,並提醒工作人員注意可疑的泄露行為。 |
|
[******* ********* ********* ** *** ******* *** *** *** **************. ***** ******** ** *** ******* ** ****** *********** ********* ** *********** **** *** ******** ******** ******]. |
[******* *** ******* *** *** ****** *** ********* *** ****** *** ** *** ********. |
11.5 部署更改檢測機制(例如,文件完整性監控工具),提醒人員注意關鍵系統文件、配置文件或內容文件遭到未經授權的修改;並將軟件配置為至少每週進行一次關鍵文件比較。 |
11.5.1 實施一個流程來響應變更檢測解決方案生成的任何警報。 |
[******* *** ******* *** **************. ****** *** ************* ****** ****** ** ******** ******** ********* *** *********** **** ********* ********* ** *********** ******** ****]. |
[******* *** ******* *** *** ****** *** *********** *** *** *** ********* ** ***]. |
11.6 確保安全監控和測試的安全策略和操作程序記錄在案、使用中並讓所有受影響方都知道。 |
|
[************** *******]. |
[************** *******]. |
要求 12:維護一項解決所有人員信息安全的政策。 |
|
|
|
12.1 制定、發佈、維護和傳播安全政策。 |
12.1.1 至少每年審查一次安全政策,並在環境變化時更新政策。 |
[************** *********. |
[************** *********. |
12.2 實施風險評估流程,該流程應: |
|
[************** *********. |
[************** *********. |
12.3 制定關鍵技術的使用政策,並定義這些技術的正確使用。 |
12.3.1 獲得授權方的明確批准 |
[************** *********. |
[************** *********. |
12.4 確保安全政策和程序明確界定所有人員的信息安全責任。 |
|
[************** ******* *** **** ********. |
[************** ******* *** **** ********. |
12.5 將以下信息安全管理責任分配給個人或團隊: |
12.5.1 建立、記錄和分發安全策略和程序。 |
[************** ********* ****** ********** **** ********]. |
[************** ********* ****** ******* ******** ****** (*** ********** *** ********* ********* ********** ("***") *********]). |
12.6 實施正式的安全意識計劃,使所有人員意識到持卡人數據安全的重要性。 |
12.6.1 在招聘時對員工進行培訓,至少每年一次。 |
[************** ********* ******** ********* ******** *** ***** ******** ** ******** *** ********* *** ***** *******]. |
[************** ********* ******** ********* ******** *** ***** ******** ** ******** *** ********* *** ***** *******]. |
12.7 在招聘前對潛在人員進行篩選,以最大限度地減少內部攻擊的風險。(背景調查的示例包括以前的工作經歷、犯罪記錄、信用記錄和推薦信調查。) |
|
[************** ******* *** **** ********]. |
[************** ******* *** **** ********]. |
12.8 維護和實施政策和程序,管理與之共享持卡人數據或可能影響持卡人數據安全的服務提供商,如下所示: |
12.8.1 維護服務提供商名單。 |
[************** *********. **** ****** ******* ******** ** ** *****]. |
[************** *********. *** ** ** ***** ** ******* ******** *** ********]. |
12.9 對服務提供商的額外要求:服務提供商以書面形式向客户承認,他們對服務提供商擁有或代表客户以其他方式存儲、處理或傳輸的持卡人數據的安全性負責,或者在這些數據可能影響客户持卡人數據環境安全的範圍內。 |
|
[*********** *** **** *************** ********** ** ********]. |
[***] |
12.10 實施事故響應計劃。做好立即應對系統漏洞的準備。 |
12.10.1 制定事件響應計劃,以便在發生系統漏洞時實施。確保該計劃至少解決以下問題: |
[******** ******** ** ****** ********** ****** *** ******** ******* ******]. |
[******** ******** ** *** ****** ************** *** ******** ******* ************ *** ** *** ***** ** ******* *** ********, *** *** **** ***** ********* ********* ********** ******* ******************* ******** ** ********]. |