珍藏 PCI DSS 口袋書

前沿譯制出品

T

「前沿陣地」如此投稿作品

英文原著作者Alan Calder

PCI DSS A Pocket Guide Fifth Edition / IT Governance

PCI DSS 口袋書(第五版)

前沿信安資訊陣地

譯文註記

? Merchant翻譯為交易商，如果有不妥可以替換全部的方式更改。

?對於Process、Procedure翻譯為規程、流程、程序，不是很統一。

?Program翻譯為程序、方案也不太一致。

?Breach翻譯為入侵，Vulnerability翻譯為漏洞。

?Comply、Compliance翻譯為（遵循、滿足）規範、一致性要求不夠固定。

?該文檔存在大量的定語後置，內容比較嚴謹，調整為若干句子，主要意思能保持一致。

?該文僅有限校正（為非官方簡體中文譯文），原文內容請以《PCI DSS A Pocket Guide Fifth Edition》英文原版為準。

前言

要求符合PCI DSS規範設置的日期已經過去很久了，該規範目前已經修訂到第三版。世界上許多機構也已經不符合規範了，特別是那些支付卡交易量不是很大的機構。

大概有這麼三種原因。

第一：除了少數的美國的幾個州，PCI DSS沒有法律地位：它既不是法律，也不具備法律的強制性。在一個競爭性的支付卡市場中只能以合同的形式執行。英國的信息委員會專員，指出PCI DSS規範在保護支付卡持有者信息要求嚴格評估，通過對不遵循這些規範的行為威脅使用罰款的措施，已經作為事實上的法律來執行了。

第二：這種規範的實施是不同的支付卡的品牌來推動的，具體說來，履行規範的銀行多數會與這些支付卡企業有著商業的聯繫。過去三年，雖然實施這些規範的要求越來越嚴厲，但是仍然達不到要求。

第三：PCI DSS很多內容是規定性的，採用了「一刀切」的方式來實現安全需求。因此遵循這些規範費用非常高並且被認為是具有官僚色彩的。

所以，商業機構試圖避免遵守這些規範也不奇怪。這種行為是目光短淺的並且有著很大的風險，就好像假定自己的企業與信息系統故障無關，也不需要一個企業或者信息系統服務的完整性方案。

所有使用支付卡的企業都可以看成是黑客或者企圖竊取支付卡及個人信息的非法組織的目標。許多攻擊是高度的自動化的，他們往往是使用複雜的工具和技術，遠程查找網站或者支付卡系統的漏洞。當漏洞被發現的時候，攻擊就開始了，而公司的管理層或者員工並不知情。

多數系統入侵會在幾個月內不被覺察，這往往是由第三方機構發現，比如支付卡機構在巡查詐騙支票等情況時。這種攻擊被曝光時，受害的公司會付出昂貴的代價，包括流失顧客、信譽受損以及收單銀行給與的嚴厲處罰和運行要求。這些運行要求包括針對最大眾化的貸方機構（交易商）級別要求。這些處罰包括由PCI法律調查員發起的昂貴的法律調查，也可以指定其他的符合驗證性要求的支付卡實體及收單銀行。

PCI DSS確保貸方機構（交易商）有效的保護卡持有人的數據。PCI DSS承認並非所有的貸方機構（交易商）都能理解避免危害的技術細節。因此所有的貸方機構（交易商）和他們的服務提供商都要確保他們符合PCI DSS的規範，並且長期堅持這些規範。如果不能從內部或者服務提供商提出解決方案，那麼可以接受這方面的培訓或者諮詢。

除此之外，如果每個貸方機構（交易商）都能夠在打擊持卡人數據盜竊中給予配合，我們會給予支付卡顧客更多的便利。

目 錄

以下為譯文圖文版

PDF譯文可後文掃碼獲取

PDF（63頁）

文件可掃碼（長按識別）獲取！

國聯信安訊陣地國聯信安訊陣地前沿信安資訊陣地國聯信安訊陣地前沿信安資訊陣地國聯信安訊陣地前沿信安資訊陣地前沿信安資訊陣地前沿信安資訊陣地前沿信安資訊陣地前沿信安資訊陣地前沿信安資訊陣地

打賞譯文作者

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！