附录 10.28A

 

本文件包含已被排除在展览之外的信息,因为它既是 (I) 非实质性信息,而且 (II) 如果公开披露会对竞争造成损害。此类排除信息用方括号标识并用 (***) 标记。

 

第二修正案

经修订和重述

CSG 主订阅者管理系统协议

之间

CSG 系统公司

宪章通讯运营有限责任公司

 

 

时间表修正

 

第二修正案(“修正案”)由特拉华州的一家公司CSG Systems, Inc.(“CSG”)和特拉华州的一家有限责任公司Charter Communications Operating, LLC(以下简称 “客户”)制定。CSG和客户签订了某些经修订和重述的CSG主订户管理系统协议,该协议自2022年1月1日起生效(CSG文件编号44754),经修订(以下简称 “协议”),现在希望根据本修正案中规定的条款和条件进一步修改该协议。如果本修正案中规定的条款和条件与本协议相冲突,则以本修正案的条款和条件为准。任何以首字母大写字母表示的术语或用作定义术语但未在本修正案中定义的所有大写字母的术语应具有本协议中规定的含义。当事双方执行本修正案时,双方随后提及的《协议》均指经本修正的协议。除非经本修正案修订,否则本协议中规定的条款和条件应根据其条款继续具有完全的效力和效力。

 

 

鉴于 CSG 提供和客户使用 Precision eCare® 支付自助终端服务;以及

 

鉴于 Precision eCare® Payment Kiosk 服务允许客户的关联订阅者和非 ACP 订阅者以现金、支票、借记卡和信用卡的形式付款;以及

 

鉴于上述以支票、借记卡和信用卡形式进行的付款包括受当时的PCI-DSS标准约束的消费者信息;以及

 

鉴于协议附录C-4 (a) “CSG Precision eCare® 服务” 附录附录D “Precision eCare® 服务” 的第6段 “自助终端PCI安全责任”,协议附录C的 “经常性服务” 以引用方式纳入了一份 “角色和责任文件”,该文件规定了CSG和客户根据PCI-DSS标准承担的义务;以及

 

鉴于CSG与客户进行讨论后,双方同意修改协议,将作为附件1附于本协议的参考文件 “角色和责任文档” 附在协议中,标题为 “CSG/Charter PCI-DSS角色和责任文件”。

鉴于,因此,双方同意修改本协议。

 

因此,现在,考虑到此处包含的共同契约和协议,以及其他良好和有价值的对价(特此确认已收到和充足性),CSG和客户同意自修正案生效日期(定义见下文)起采取以下措施。

 

1。协议附录C-4 (a) “CSG Precision eCare® 服务” 附录附录 D “Precision eCare® 支付亭” 第 6 段 “自助服务终端 PCI 安全责任” 已全部删除,替换如下:

 

 

 

6。自助服务终端 PCI 安全责任。CSG 和客户同意遵守特定 Kiosk PCI-Security 文件 “CSG/Charter PCI-DSS 角色和责任文件”(作为 “第 XX 修正案附件 1” 附于此)中规定的各自责任,该文件对双方具有约束力,但须遵守协议条款,并可通过双方共同协议不时更新,以确定与 Precision eCare® 支付亭/Kiosks/Kiosks相关的角色和责任 Osk Unit 以符合当时的行业标准和 PCI-DSS 标准的方式进行(即”CSG/Charter PCI-DSS 角色和职责文档”)。对CSG/Charter PCI-DSS角色和责任文件的任何修改或修订均应得到CSG首席信息官和客户相应官员的书面批准。如果双方无法就与PCI-DSS标准未来变更相关的CSG/Charter PCI-DSS角色和责任文件的任何修改或修订达成协议,则双方应按照协议的规定,将此事上报给相应缔约方的相应官员进行解决。CSG承认并同意,它对其持有、访问、处理、传输、以其他方式拥有或存储的与自助终端单元和相关的Precision eCare® 支付亭服务相关的持卡人数据负责。本协议中的任何内容均不限制CSG根据协议第10条对Kiosk软件承担的责任。

 

2。双方承认并同意,截至修正案生效之日,双方遵守了各自的PCI DSS义务,如协议附表L “宪章通信访问协议” 附录B “一般条款和条件” 第10.b.1 (c) 段所述。

 

本修正案自下文最后签署之日(“修正案生效日期”)起生效。

 

包机通信运营有限公司 CSG SYSTEMS, INC.(“CSG”)

(“客户”)

 

作者:查特通讯公司,其经理

 

作者:/s/ Stephanie Babin 作者:___/s/ Michael J Woods______

 

标题:高级副总裁账单设计标题:__svp BC&S____________

 

姓名:斯蒂芬妮·巴宾姓名 _迈克尔·伍兹_________________

 

日期:2023 年 8 月 15 日日期:__2023 年 8 月 14 日___________________

 

 

 

 

附件 1

第二修正案

 

 

附件 1

展览附件 D

附录 C-4 (a)

 

 

CSG/Charter PCI-DSS 角色和职责文档

 

PCI 要求

 

子要求

CSG 责任

 

客户责任

要求 1:安装和维护防火墙配置以保护持卡人数据

 

1.1 建立防火墙和路由器
配置标准包括
以下:(这涵盖了 PCI DSS 的 1.1.1 到 1.1.7)

1.1.1-批准和测试所有网络连接以及防火墙和路由器配置更改的正式流程。
1.1.2 当前的网络图,用于标识持卡人数据环境与其他网络(包括任何无线网络)之间的所有连接。
1.1.3 显示所有持卡人数据流经系统和网络的当前示意图。
1.1.4 要求在每个互联网连接处以及任何非军事区 (DMZ) 和内部网络区域之间设置防火墙
1.1.5 描述管理网络组件的群组、角色和职责。
1.1.6 使用所有允许的服务、协议和端口的文档和商业理由,包括为被认为不安全的协议实施的安全功能的文档。不安全的服务、协议或端口的示例包括但不限于 FTP、Telnet、POP3、IMAP 以及 SNMP v1 和 v2。
1.1.7 要求至少每六个月审查一次防火墙和路由器规则集。

[******** ********* ******* ("**") ******** ************* *** ****** ********** *********** *********. ****** ******** ****** ********** ********* ****** **** ******** ** ****** ******** *** *** *** *** ******* ** ******* ******** ********* *** ****** ** ****-****** *******.
** *** ******* *** ****** *** *** *** ******** ** *** **** ** *** *** *******.
*********** *** *** *******
*********** *** *** ************* ******, ***** *** **************** *** ********** ** ******* ********.
*********** *** ********** *** ****** ********** ************ **** ** *** ****. *********** *** ********** **** *****. ***** *** ***** ***** ******** ************, **** *** *** ******** **** ******** *** ************* ***

[******** ******** ** ***** ** ***** ****** ******** ******** ******** ******* ** *** ** *** ***** *** ******** ********** *********** ********. ******** *** ******* **** *** ****** ** *** ******** ******* ******.
******** **** **** ******** *** ************* ******, ***** *** **************** *** *** ********** ** ******* ********. ******** *** ******* *** ****** ********** ************ **** ** **'* *** ************. ***** *** ***** ***** ******** ************, **** *** *** ******** **** ******** *** ************* *** ******* *** **** ** ******.]

 

 

 

 

******* *** **** ** ******.]

 

1.2 建立防火墙和路由器
限制连接的配置
在不可信网络和任何网络之间
持卡器中的系统组件
数据环境。(这涵盖了 PCI DSS 的 1.2.1 到 1.2.3)

1.2.1 将入站和出站流量限制为持卡人数据环境所必需的流量,特别是拒绝所有其他流量。
1.2.2 保护和同步路由器配置文件。
1.2.3 在所有无线网络和持卡人数据环境之间安装外围防火墙,并将这些防火墙配置为拒绝无线环境和持卡人数据环境之间的授权流量,或者如果出于业务目的需要流量,则仅允许在无线环境和持卡人数据环境之间进行授权流量。

[*** ****** ****** (***** * *** ************ ** *** ******** ** *** ***, *** ************ *** ******** **** ****** ********** ************ ** ******** ** ****** *********.) *** *** *** **************.]

[********** *******, ******* ********** *** ******** *** ******** ********** **** *** *****, *** ******* **** ** *** ****** ******* *** ***.
*** *** ******** ************** ** **** ***** *********** *** *** ******** *******. ]

 

 

1.3 禁止两者之间的直接公共访问
互联网和任何系统组件
在持卡人数据环境中。(这包括 PCI DSS 的 1.3.1 到 1.3.8)

1.3.1 实施隔离区,将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。
1.3.2 限制进入隔离区内的 IP 地址的互联网流量。
1.3.3 不允许互联网和持卡人数据环境之间的任何直接入站或出站流量连接。
1.3.4 实施反欺骗措施,检测和阻止伪造的源 IP 地址进入网络。(例如,使用内部源地址阻止来自互联网的流量。)
1.3.5 不允许未经授权的出站流量从持卡人数据环境流向互联网。
1.3.6 实现状态检查,也称为动态包过滤。(也就是说,只允许 “已建立” 的连接进入网络。)
1.3.7 将存储持卡人数据(例如数据库)的系统组件放置在与 DMZ 和其他不可信网络隔离的内部网络区域中。
1.3.8 不要向未授权方透露私有 IP 地址和路由信息。

[*** ****** ****** *** *** *** **************. ******** ************** *** *** ********** **** *****. ]

[********** ******* ******* ********** *** ******** *** ******** ********** **** ** *** ****** ******* *** ***. ******** **** *** ********* ** ** *********** *** *** ********** **** **** *** ***** ** *** **** ******.]

1.4 在任何移动设备和/或员工拥有的设备上安装个人防火墙软件,这些设备在网络外部连接到互联网(例如,员工使用的笔记本电脑),也用于访问网络。
防火墙配置包括:
-为个人防火墙软件定义了特定的配置设置。
-个人防火墙软件正在积极运行。
-移动设备和/或员工自有设备的用户无法更改个人防火墙软件。

[**'* *** ********* ** **** ** ***** ******* *********** ************ ** ********.]

[*** *** ************** ***** ************ ** ********.]

1.5 确保管理防火墙的安全策略和操作程序记录在案、使用中并让所有受影响方都知道。

[************** ********* . *** **** *** ******* *********** ** ***** *** ** *** ********* ********** *** ***** ******** ******* *********** ******** **** ******** *********

[************** *********. ******** **** *** ******* *** *********** ** *** ***** ************** ******* ****** ** *** ** *** *********** ********* ****** ****** ********** *********.]

 

 

 

 

** ****** ** ****** ********** *********.]

 

要求 2:请勿使用供应商提供的系统密码和其他安全参数的默认值

2.1 在网络上安装系统之前,请务必更改供应商提供的默认帐户并删除或禁用不必要的默认帐户。这适用于所有默认密码,包括但不限于操作系统使用的密码、提供安全服务的软件、应用程序和系统帐户、销售点 (POS) 终端、简单网络管理协议 (SNMP) 社区字符串等)。

(2.1.1) 指连接到持卡人数据环境的无线环境。不适用于自助服务终端或 CSG 生产网络。)

[****** *** ***** ** *** ***** ***, ************ *** ********* ********* ** ****** ********** **** *** ******** **********. ****** ****** ****** ****** *** ****** ******** ********** ********** (*** **** ****** *** ***); *** **** *** *** ****** ***** ** *** ****** *** *** *** ****** (******** ***** *** **** ****** ****** ******). ********* ****** *** ********* ********* *** *********** ****** ********** *******.
******* *** ******** ******** ****** ** *** ********* ********; ** ******** ** ********** ******** **** ******.]

[****** *** ********** ****** ********* *** ********** *** *** ***** ****** ** *** ******.
********* ****** ********* ********* *** *********** ****** ********** *******.
** ******** ********** **** ***** ********. ******* *** ******** ******** ****** *** ********* ********; ** ******** ** ********** ******** **** ******.]

2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞,并与行业认可的系统强化标准一致。(这涵盖了来自 PCI DSS 的 2.2.1 到 2.2.5)。行业认可的系统强化标准的来源可能包括但不限于:
-互联网安全中心(CIS)
-国际标准化组织(ISO)
-SysAdmin 审计网络安全 (SANS) 研究所
-美国国家标准技术研究所 (NIST)

2.2.1 每台服务器仅实现一项主要功能,以防止需要不同安全级别的功能在同一台服务器上共存。(例如,Web 服务器、数据库服务器和 DNS 应在不同的服务器上实现。)
2.2.2 仅根据系统功能的要求启用必要的服务、协议、守护程序等。
2.2.3 为任何被认为不安全的必需服务、协议或守护程序实施额外的安全功能,例如,使用 SSH、S-FTP、SSL 或 IPsec VPN 等安全技术来保护 NetBIOS、文件共享、远程登录、FTP 等不安全的服务。
2.2.4 配置系统安全参数以防止滥用。
2.2.5 删除所有不必要的功能,例如脚本、驱动程序、功能、子系统、文件系统和不必要的 Web 服务器。

[******* ***** ******** *** ****** ***** **** ******** **** ********* *** ********, ********* ******** ****** ********** ************ ** ******* *********** *******. ******* *** ******** *** ******** *** ************ ******* ** *** ***** ****** *** ******** ** *** ******** ********.]

[************** ********** ****** ****** *************, ******** ******** ** *** *****, ******** ********* ** ***** ** *** ***** *** ***** ********-********* ********** ** *** ***** ******. ****** **** **** *** ********* ***************** *** ******** ************** ******** *** ******* ** *** ******. *** ******* ** *** ************* **** ** ****** ** *** ****** ******* *** ****** ****** ******* ******* ****** ***** ********.]

2.3 使用强加密技术加密所有非控制台管理访问权限。使用 SSH、VPN 或 SSL/TLS 等技术进行基于 Web 的管理,以及

[*** *** ** ****** *** ****** ************ ** *****. ]

[*** ****** ********* ** ****** ** *** ****** *** **************.]

 

 

其他非控制台管理访问权限。

 

 

 

2.4 维护 PCI DSS 范围内的系统组件清单。

[************** *********. ***, **** *********** *** *********** ****** ** *** ******** ********* ******** ** *** ***********, ** *** ******** **************.]

[************** *********. **** *** ****** ********* ** **** *****, *** ** ****** *** *****, *** **'* ******** ****** *** ****** ********* **** *** *********** ******** ** *** **** ********. ]

2.5 确保管理供应商违约和其他安全参数的安全策略和操作程序记录在案、使用中并让所有受影响方都知道。

[************** *********. ******* ******** ******** *** ********** ******** ** ******* ** *** ***** ******* *** ******* ******* ************ ** ******** ** ***** ** **** ** *** **** ***** ** * ****** **** ******* *** ********* ** *** ***** *******.]

[************** *********. ******** *** ****** *** ************* ******** ** *** ********** ** *** ***** ************ ****.]

2.6 共享主机提供商必须保护每个实体的托管环境和持卡人数据。这些提供商必须满足特定要求,详见附录 A:共享主机提供商的其他 PCI DSS 要求。

[****** ******* ****** **** ** *********** ****-*** *** **** ****** ******** ************.]

[**** **** *** ****** ******* *** **** ****** *** **** ******** ** ********'* ************** ** ****** ** ******** ** *** ***** ******.]

要求 3:保护存储的持卡人数据

3.1 通过实施数据保留和处置政策、程序和流程,将持卡人数据存储降至最低,其中至少包括以下所有持卡人数据 (CHD) 存储内容:
-将数据存储量和保留时间限制在法律、监管和业务要求所需的范围内
-不再需要时安全删除数据的流程
-持卡人数据的特定保留要求
-每季度进行识别和安全的流程

[********** **** *** *** *********** ****** *** *** ************** **** *** **** **** *********** ** ******** ** *** ***** ******* ** *** ********* ***** ******** ****** *** *** ******* .
******* ********** **** **** **** ****** ** ********* ***** ** ***** *********** ********.
************** **** ******* **** **** **** ***** ****** ** *** *****; ** **** ********* ** *** ***** ****, ******* (*** ********* **** **** ** ** *** *** ****** ******* ****** ***** ** *******

[************ **** *** ********* ** ******** ******* ********* ***** *** ********** ****** ********'* ***** ***** ******'* ******** ******, **** *** **** ******* ********'* ******** *******.]

 

 

删除存储的超过规定保留期限的持卡人数据。

 

******** ** ***'* *** ********** *******).]

 

3.2 请勿在授权后存储敏感的身份验证数据(即使已加密)。如果收到敏感的身份验证数据,则在完成授权过程后使所有数据不可恢复。在以下情况下,允许支持发行服务的发行商和公司存储敏感的身份验证数据:
-有商业理由,
-数据安全存储
敏感的身份验证数据包括以下引用的数据
要求 3.2.1 到 3.2.3:

3.2.1 不要存储任何曲目的全部内容(来自卡背面的磁条、芯片上包含的等效数据或其他地方)。这些数据也可以称为全轨道、轨道 1、轨道 2 和磁条数据。注意:在正常业务过程中,可能需要保留磁条中的以下数据元素:
-持卡人的姓名
-主要账户号码 (PAN)
-到期日期
-服务代码
为了最大限度地降低风险,请仅根据业务需要存储这些数据元素。
3.2.2 请勿存储用于验证无卡交易的信用卡验证码或金额(印在支付卡正面或背面的三位数或四位数字)。
3.2.3 请勿存储个人识别码 (PIN) 或
加密的 PIN 块。

[********** **** *** *** *********** **** *** *** ************** **** *** **** **** *********** ** ******** ** *** ***** ******* ** *** ********* ***** ******** ****** *** *** *******. ******* ********** **** **** **** ****** ** ********* ***** ** ***** *********** ********.
************** **** ******* **** **** **** ***** ****** ** *** ***** **** ******* (** ************** ********* ** *** ***** *******).]

[************ **** *** ********* ** ******** ******* ********* ***** *** ********** ****** ********'* ***** ***** ******* ********'* ******* ******, **** *** **** ******* ********'* ******** *******.]

3.3 显示时屏蔽 PAN(前六位和最后四位数字是要显示的最大位数),这样只有具有合法业务需求的人员才能看到完整的 PAN。

[******** **** ******** ****** ** *********** ****** ******* ******* **** *** ** ****** ** *** ******* ** *** ***** *** **** **** ** *** **** ***** ***** *** ** *******.]

[******** ******* * ******* **** **** *** ** ****** ** *** ******* ** *** *****].

3.4 使用以下任一方法使 PAN 无法读取存储在任何地方(包括在便携式数字媒体、备份媒体和日志中):
· 基于强密码学的单向哈希,(哈希必须是整个 PAN 的哈希)
-截断(哈希不能用于替换 PAN 的截断段)
-索引令牌和垫子(垫子)必须牢固

3.4.1 如果使用磁盘加密(而不是文件级或列级数据库加密),则必须单独管理逻辑访问,并且独立于本地操作系统的身份验证和访问控制机制(例如,不使用本地用户帐户数据库或通用网络登录凭证)。解密密钥不得与用户帐户相关联。

[********** **** **** *** ***** ******* ** *** ********* ***** *********** *** *** **** *** ********** **** ** ****** **'* **********************. ******** **** ** ********** **** ** ***** ****** ** *** ***** **** ***** *** ******* ** *************.
******** **** *** ** *** ****** ** *** *****.]

[************ **** *** ********* ** ******** ******* ********* ***** *** ********** ****** ********'* ***** ***** ******'* ******** ******, **** *** **** ******* *** ********'* ******** *******.]

 

 

已存储)
-强大的加密技术以及相关的密钥管理流程和程序。

 

 

 

3.5 记录并实施保护用于保护存储的持卡人数据免遭泄露和滥用的密钥的程序:

3.5.1 将加密密钥的访问权限限制为所需的最少数量的托管人。
3.5.2 始终以以下一种(或多种)形式存储用于加密/解密持卡人数据的机密和私钥:
-使用密钥加密密钥进行加密,该密钥至少与数据加密密钥一样强,并且与数据加密密钥分开存储
-在安全的加密设备中(例如主机安全模块 (HSM) 或 PTS 批准的交互点设备)
-按照行业公认的方法,作为至少两个全长关键组件或密钥共享
3.5.3 将加密密钥存储在尽可能少的位置。

[********** **** **** *** ***** ******* ** *** ********* ***** ******** *** *** **** *** ********** **** ** ****** **'* **********************. ******** **** ** ********** **** ** ***** ****** ** ***** ***** *** ******* ** *************.
**** *********** ******* ** **** **** ** ******* ****** ********** ****, *** **** ******* ** ***-********** **** **** ** ******* ****-********** ****; **** ***-********** **** **** ** ** ***** ** ****** ** *** ****-********** ***.]

[************ **** *** ********* ** ******** ******* ********* ***** *** ********** ****** ********* ***** ***** ******'* ******** ****** **** *** ********** **** ******* ********'* ******** *******.]

3.6 全面记录和实施用于加密持卡人数据的加密密钥的所有密钥管理流程和程序,包括以下内容:

3.6.1 生成强加密密钥。
3.6.2 安全的加密密钥分发。
3.6.3 安全的加密密钥存储。
3.6.4 已达到加密周期末尾的密钥的加密密钥更改(例如,在规定的时间段过去和/或给定密钥生成一定数量的密文之后),由相关的应用程序供应商或密钥所有者定义,并基于行业最佳实践和指南(例如,NIST 特别出版物 800-57)。
3.6.5 当密钥的完整性受到削弱(例如,了解明文密钥组件的员工离职)或怀疑密钥被泄露时,视需要撤回或更换(例如,存档、销毁和/或撤销)密钥。
3.6.6 如果使用手动明文加密密钥管理操作,则必须使用知识分离和双重控制来管理这些操作。
3.6.7 防止未经授权替换加密密钥。
 

[********** **** **** *** ***** ******* ** *** ********* ***** ******** *** *** **** *** ********** **** ** ****** **'* **********************. ******** **** ** ********** **** ** ***** ****** ** *** ***** ***** *** ******* ** *************.]

[************ **** *** ********* ** ******** ******* ********* ***** *** ********** ****** ********'* ***** ***** ******'* ******** ******, **** *** **** ******* *** ******** ******** *******.]

 

 

 

3.6.8 要求加密密钥保管人正式承认他们理解并接受其密钥保管责任。

 

 

3.7 确保保护存储的持卡人数据的安全政策和操作程序记录在案、使用中并让所有受影响方都知道。

[************** *********].

[************** *********].

要求 4:加密通过开放的公共网络传输持卡人数据

4.1 使用强大的加密和安全协议(例如 SSL/TLS、IPSEC、SSH 等)在通过开放的公共网络传输过程中保护敏感的持卡人数据,包括:
-仅接受可信密钥和证书。
-正在使用的协议仅支持安全版本或配置。
-加密强度适用于所使用的加密方法。

4.1.1 确保无线网络传输持卡人数据或连接到持卡人数据环境,使用行业最佳实践(例如 IEEE 802.11i)为身份验证和传输实施强加密。

[********** **** **** *** ***** ******* ** *** ***** ******** *** *** **** *** ********** ** ****** *** **********************. ****** ****** ************ *** *** ** *** ****** ******* *****("***")
*** ** ******* ** ***'* ****-*** *** ********** **** ***** ** *** ***** *******. ****** ********** ** ***** *** ******* **** **** *****].

[************ **** *** ********* ** ******** ******* ***** *** ********** ****** ********'* ***** ***** ******'* ******** ****** **** *** **** ******* ********'* ******** *******].

4.2 切勿使用最终用户消息技术(例如电子邮件、即时消息、聊天等)发送未受保护的 PAN。

[***
****** **** ** ***** ********* ********* *** **** ** ************* **** *** *****].

[***
****** **** ** ***** ********* ********* *** **** ** ************* **** *** *****].

 

 

4.3 确保加密持卡人数据传输的安全策略和操作程序记录在案、使用中并让所有受影响方都知道。

[************** *********].

[************** *********].

要求 5:使用并定期更新防病毒软件或程序

5.1 在经常受恶意软件影响的所有系统(尤其是个人计算机和服务器)上部署防病毒软件。

5.1.1 确保防病毒程序能够检测、删除和防范所有已知类型的恶意软件。
5.1.2 对于被认为不经常受到恶意软件影响的系统,请定期进行评估以识别和评估不断变化的恶意软件威胁,以确认此类系统是否仍然不需要防病毒软件。

[******** ********* ("***") ******** ** ** ***** ** *** *** *** *** ******. *** ******** ** ****** ********** ****** *********** *** ****-*** ******* ********].

[*** ******** ************** *** ********* *** **** * **** ** *** ******** *** *** *******. ************* *** ******* ** *** *** ******** ** **** *** **********].

5.2 确保所有防病毒机制按如下方式维护:
-保持最新状态,
-定期进行扫描
-生成按照 PCI DSS 要求 10.7 保留的审核日志。

[******** *** ******** ** ** ***** ** *** *** *** *** ******. *** ******** ** ****** ********** ****** *********** *** ****-*** ******* ********].

[*** ******** ************** *** ********* *** * **** ** *** *** ******** *** *** *******. ************* *** ******* ** *** *** ******** ** **** *** **********].

5.3 确保防病毒机制处于活跃状态,用户不能禁用或更改,除非管理层在有限的时间内根据具体情况特别授权。

[*** ******** ** ****** ********** ****** *********** *** ****-*** ******* ********].

[************* *** ******* ** *** *** ******** ** **** *** **********].

5.4 确保保护系统免受恶意软件攻击的安全策略和操作程序记录在案、使用中并让所有受影响方都知道。

[************** *********. ********** ********** (** ****** ** **** ** *** *****) **** **** *** ******** ****** ********** ** *** *** *********** ************ ** ******** *** *********** ********* *** ** ***** ** **** *******].

[************** *********. ********** (** ****** ** **** ** *** *****) **** **** *** ******** ****** ********** ** ******** *** *********** ************ ** *** *** *********** ********* *** ** ***** ** **** *******].

要求 6:开发和维护安全的系统和应用程序

 

 

6.1 建立识别安全漏洞的流程,使用信誉良好的外部安全漏洞信息来源,并为新发现的安全漏洞分配风险等级(例如,“高”、“中” 或 “低”)。

NanoPoint 和 Precision eCare 软件

[****** ********** *** ****.
*** *** ****** *********** ********* **** *********** ******** ************ ** ** *********.
********** ******** ************* ******* ** *** ****** ********* ***** *****, ********* *** ***** **** ** *** ******, *** ********* ***** ******** *** *** ******* ***************.
****** ******** ** *** ******** *********** *** ***** ******* **** *** *********** **** ********.
****** ******(*) ******* ** *** *** ********* ***** **********. ****** ******'* ********** *** ** ********** **** *** *********].

[******** ** ********'* ****** ************** ***********, ** ***** *** *** ******** ******** **** ** *****].

6.2 通过安装供应商提供的适用安全补丁,确保所有系统组件和软件免受已知漏洞的侵害。在发布后一个月内安装关键安全补丁。

[*** ********* ***** ******** *********** *** ******** *** ******** ******* ** ***** ******** ** ******** *** ******** *** ********* ** *** ******** ***********.
***** **** *** ****** ******* **** **** **** ****** ** ** ******* **** ********.
******** **** *** *** ****** *********** ********* **** *********** ******** ************ ** ** *********.
****** ******* ******* ** *** *** *********. ****** ********** *** ** ********** ** *** *********.
******* *** ********** *************** ** *********** ********].

[******** ********* ******** ******* *** *** ****** ************** ************, ***** ** ********* ****** *** *** ********** ******** ******* ** *** *****.
******* ****** ** ******** *** ******** ***** ** ** **** ** *** ******* *** ****** ** *** ******** ******** *******].

6.3 安全地开发内部和外部软件应用程序(包括对应用程序的基于 Web 的管理访问权限),如下所示:
-根据 PCI DSS(例如,安全身份验证和登录)
-基于行业标准和/或最佳

6.3.1 在应用程序激活或向客户发布之前,删除开发、测试和/或自定义应用程序帐户、用户 ID 和密码。
6.3.2 在向生产或客户发布自定义代码之前,请检查自定义代码,以识别任何潜在的编码漏洞(使用手动或自动流程),至少包括以下内容:
-代码更改由以下人员审查

[****** *********** ********* *** ******** *** ****** ********** (********* ***** **** *******) ** *** *****.
******** **** *** *** ****** *********** ********* **** *********** ******** ************ ** ** *********.
****** ******* ******* **

[****, ******** ********* ******* *** **** ** ******* ************** ** *** ********* ** *** *****].

 

 

实践。
-将信息安全纳入整个软件开发生命周期

原始代码作者以外的个人,以及了解代码审查技术和安全编码实践的人员。
-代码审查确保代码是根据安全编码指南开发的
-在发布之前会进行适当的更正。
-代码审查结果在发布之前由管理层审查和批准。

*** *** ********* *** **** ******* ********** *** ** ********** ** *** *********].

 

6.4 对系统组件的所有变更遵循变更控制流程和程序。这些流程必须包括以下内容:

6.4.1 将开发/测试环境与生产环境分开,并通过访问控制强制分离。
6.4.2 开发/测试和生产环境之间的职责分离
6.4.3 生产数据(实时 PAN)不用于测试或开发
6.4.4 在生产系统处于活动状态之前删除测试数据和账户
6.4.5 实施安全补丁和软件修改的变更控制程序必须包括以下内容:
6.4.5.1 影响记录。
6.4.5.2 授权方记录在案的变更批准。
6.4.5.3 功能测试,以验证更改不会对系统的安全产生负面影响。
6.4.5.4 撤回程序。

[****** ****** ******* ******* *** *** ******* ** ***** ****** **** *** ******* *** ********.
******* * **** *********** ***** *** ** **** **** *** ** **** **** ***** *********. *** **** *********** **** ** ******** **** *********** *** **********. ******* ********* ******* **** ******** ** ****** *** ******* ** *** ***** ******** *** ** ********* ***** ** ************** ** **********.
****** ****** ** ****** ********** ********** *** *** ******* ********* *** ********* ***** ********, ******* *** ******* *** ****** *** *** ******* ** ***].

[****** ********** ** ***** ****** *** ********. (*** ******** *** *******).
******* *********** *** **'* ****** ********** **********. *********** ** ******* **** *** ** ****** **** **'* ******* ********* ****** ******** ** *************.
********** *** ****** ********** ******* *** ****** *** ***** *** ********** ** **** ******* **** *** ********* *** ***** **** **** *********].

6.5 按如下方式解决软件开发过程中的常见编码漏洞:
-培训开发人员使用安全编码技术,包括如何避免常见的编码漏洞,以及了解内存中如何处理敏感数据。
-根据安全编码指南开发应用程序。

6.5.1-6.5.10 列出了需要修复的常见漏洞。

[****** *********** ********* *** ****** ********** ** *** *****.
****** *** *** ****** *********** ********* **** *********** ******** ************ ** ** *********.
****** ******* ******* ** *** *** ********* *** ***** ******* ** ******* ****** ** ******* ********** *** ** ********** *** *********].

[****; ******** ********* ******* *** **** ** ******* ************** ** *** ********* ** *****].

 

 

6.6 对于面向公众的 Web 应用程序,持续解决新的威胁和漏洞,并通过以下任一方法确保这些应用程序免受已知攻击:
-通过手动或自动应用程序漏洞安全评估工具或方法对面向公众的 Web 应用程序进行审查,至少每年一次,并在进行任何更改后进行注意:此评估与针对要求 11.2 进行的漏洞扫描不同。
-安装自动化技术解决方案,在面向公众的 Web 应用程序面前检测和防止 Web 攻击(例如 Web 应用程序防火墙),以持续检查所有流量。

[***
***** ** *** * ****** ****** *** *********** ** ** *** *** ** ******* ** ***** **** ******** ********* ******* * *******].

[***
***** ** *** * ****** ****** *** *********** ** ** *** *** ** ******* ** ***** **** ******** ********* ******* * *******].

6.7 确保开发和维护安全系统和应用程序的安全策略和操作程序记录在案、使用中并让所有受影响方都知道。

[************** *********].

[************** *********].

要求 7:根据业务需要限制对持卡人数据的访问

7.1 将对系统组件和持卡人数据的访问权限仅限于工作需要此类访问权限的个人。

7.1.1 定义每个角色的访问需求,包括:
· 每个角色为履行其工作职能需要访问的系统组件和数据资源
· 访问资源所需的权限级别(例如,用户、管理员等)。
7.1.2 将对特权用户 ID 的访问权限限制为履行工作职责所需的最低权限。
7.1.3 根据个人的职位分类和职能分配访问权限。
7.1.4 要求授权方提供书面批准,指定所需权限。

[*********** *** *********** ****** *** ***** ******* ***** **** *** *** *** ***** ******** ********* ***** ** *** *** ******* ***********].

[*********** ****** ** ********** ***** *** ****** ************** ******* *** *****].

7.2 为系统组件建立访问控制系统,该系统根据用户的知情需求限制访问,并设置为 “全部拒绝”,除非特别说明

7.2.1 覆盖所有系统组件
7.2.2 根据职位分类向个人分配权限

[****** ******* ****** ** ******** ******* ** ***** ** *** ******** **** ****** *** *** ********* ***** *** *** *******

[******** ****** ** *** ***** ** *** ******** ******* *** ** ***** *** ** ****** ************** ****** ***

 

 

允许。
该访问控制系统必须包括以下内容:

和功能。
7.2.3 默认 “全部拒绝” 设置。

******* ******** ** *** ********** **** ****].

******** ******** ******* *******].

7.3 确保限制访问持卡人数据的安全政策和操作程序记录在案、使用中并让所有受影响方都知道。

[************** *********].

[************** *********].

要求 8:为具有计算机访问权限的每个人分配一个唯一的 ID

8.1 定义和实施策略和程序,确保对所有系统组件的非消费者用户和管理员进行适当的用户识别管理,如下所示:

8.1.1 在允许所有用户访问系统组件或持卡人数据之前,为他们分配一个唯一的 ID。
8.1.2 控制用户 ID、凭证和其他标识符对象的添加、删除和修改。
8.1.3 立即撤消任何已终止用户的访问权限。
8.1.4 至少每 90 天删除/禁用一次不活跃的用户帐户。
8.1.5 管理供应商用于通过远程访问访问、支持或维护系统组件的 ID,如下所示:
-仅在需要的时间段内启用,不使用时禁用。
-使用时进行监控。
8.1.6 通过在不超过六次尝试后锁定用户 ID 来限制重复访问尝试。
8.1.7 将锁定持续时间设置为至少 30 分钟或直到管理员启用用户 ID 为止。
8.1.8 如果会话空闲时间超过 15 分钟,则要求用户重新进行身份验证才能重新激活终端或会话。

[*** ** ******* ***** ** ***** **.
******, ***** *** ******** ****** *** ** ****** ****** ********** ****** *** ******** ******* ********].

[******* ***** **** ****** ** ********* **** *********, ********** ** *** ******** ********.
****** ************** ******* **** **********.
***** ***** **** ****** *** ****** *** ********** ******, ******** ******** *** *** ******* ** **** ****** **** ** ******** ** ******* ** *** ***** ***** ******].

 

 

8.2 除了分配唯一的 ID 外,还要使用以下至少一种方法对所有用户进行身份验证,确保对所有系统组件上的非消费者用户和管理员进行适当的用户身份验证管理:
-你知道的东西,比如密码或密码
-你拥有的东西,比如代币设备或智能卡
-你是某种东西,比如生物识别。

8.2.1 使用强加密技术,在所有系统组件上传输和存储期间,使所有身份验证凭证(例如密码/短语)不可读。
8.2.2 在修改任何身份验证凭证之前验证用户身份,例如,执行密码重置、配置新令牌或生成新密钥。
8.2.3 密码/短语必须满足以下要求:
-要求最小长度至少为七个字符。
-包含数字和字母字符。
或者,密码/短语的复杂性和强度必须至少等同于上面指定的参数。
8.2.4 至少每 90 天更改一次用户密码/密码。
8.2.5 不允许个人提交与他或她最近使用的四个密码/短语相同的新密码/短语。
8.2.6 将首次使用的密码/短语以及重置后的密码/短语设置为每个用户的唯一值,并在首次使用后立即更改。

[******, ***** *** ******** ********* *** ** ****** ****** ********** ****** *** ******** ******* ********.
****** *** **** ********* **** **** *** ******** ************].

[************ ***** **** ****** *** ****** *** *** ********** ******, ******** ******** *** *** ******* ** **** ****** **** ** ******** ** ******.
****** *** **** ********* **** **** *** ******** ************].

8.3 对人员(包括用户和管理员)和所有第三方(包括供应商访问支持或维护)从网络外部进行的远程网络访问纳入双因素身份验证。

[******* **** ********** ************* **** ****** ********** ****** ** **** *** ****** *** *** *** ***** ** ****** ******. *** **** **** ****** *** ***** ******* *** ****** ******, ********** *****, **** ** ***** ** ***'* ****** ********** *******].

[*** *** ****** ********** ******* ** ****** *****].

8.4 记录身份验证程序和策略并将其传达给所有用户,包括:
-选择强身份验证凭证的指南
-用户应如何保护其身份验证凭证的指南
-关于不要重复使用以前使用过的密码的说明
-如果怀疑密码可能被泄露,则说明如何更改密码。

[******, ***** *** ******** ********* *** ** ****** ****** ********** ****** *** ******** ******* ********].

[************** ***** **** ****** *** ****** *** *** ********** ******, ******** ******** *** *** ******* ** **** ****** **** ** ******** ** ******* ** *** ***** ***** ******].

 

 

8.5 请勿使用群组、共享或通用 ID、密码或其他身份验证方法,如下所示:
· 通用用户 ID 已禁用或删除。
· 不存在用于系统管理和其他关键功能的共享用户 ID。
· 共享和通用用户 ID 不用于管理任何系统组件。

8.5.1 对服务提供商的其他要求:能够远程访问客户场所(例如,用于支持 POS 系统或服务器)的服务提供商必须为每位客户使用唯一的身份验证凭证(例如密码/短语)。

[*** ************* ** ************** *********.
******, ***** *** ******** ********* *** ** ****** ****** ********** ****** *** ****-*** ******* ********].

[********* *** ***** ** ***** *** ********** *******.
************ ***** **** ****** *** ****** *** ***** ********** ******, ******** ******** *** *** ******* ** **** ****** **** ** ******** ** ******* ** *** ***** ***** ******].

8.6 如果使用其他身份验证机制(例如,物理或逻辑安全令牌、智能卡、证书等),则必须按如下方式分配这些机制的使用:
-必须将身份验证机制分配给个人账户,不得在多个账户之间共享。
-必须采取物理和/或逻辑控制措施,确保只有目标账户才能使用该机制获得访问权限。

[****** *** ****** ****** ************** ****** ** *****].

[*** **********]

8.7 对包含持卡人数据的任何数据库的所有访问权限(包括应用程序、管理员和所有其他用户的访问)受到以下限制:
-所有用户对数据库的访问、用户查询和用户操作均通过编程方法进行。
-只有数据库管理员才能直接访问或查询数据库。
-数据库应用程序的应用程序 ID 只能由应用程序使用(不能由个人用户或其他非应用程序进程使用)。

[****-*** ******* ******** (*** ******* ******) ********* ****].

[**** ** *** **** ******** ** ******** ** ** ****** ** *** ***** ***** ****** ** ******].

8.8 确保身份识别和身份验证的安全策略和操作程序记录在案、使用中并让所有受影响方都知道。

[************** *********].

[************** *********].

 

 

要求 9:限制对持卡人数据的物理访问

9.1 使用适当的设施进入控制来限制和监控持卡人数据环境中对系统的物理访问。

9.1.1 使用摄像机和/或访问控制机制来监控个人对敏感区域的物理访问。查看收集的数据并与其他条目进行关联。存放至少三个月,除非法律另有限制。
9.1.2 实施物理和/或逻辑控制以限制对可公开访问的网络插孔的访问。
9.1.3 限制对无线接入点、网关、手持设备、网络/通信硬件和电信线路的物理接入。

[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ********].

[******** ***** ****, ****** *** ******* ****** **********].

9.2 制定易于区分现场人员和访客的程序,包括:
-识别新的现场人员或访客(例如,分配徽章)
-访问要求的变更
-撤销或终止现场人员和过期访客身份(例如身份证)。

[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ********].

[******** ***** ****, ****** *** ******* ****** **********].

9.3 控制现场人员对敏感区域的物理访问,如下所示:
-访问权限必须经过授权并以个人工作职能为依据。
-访问权限将在终止后立即撤销,所有物理访问机制,例如密钥、门禁卡等,都将被归还或禁用。

9.3.a 对于具有实际访问CDE的现场人员的样本,请与负责人员面谈并遵守访问控制列表以验证:
-访问 CDE 已获得授权。
-个人的工作职能需要访问权限。
9.3.b 观察人员访问 CDE,验证所有人员在获得访问权限之前是否已获得授权。
9.3.c 选择最近解雇的员工样本并查看访问控制列表以验证这些人员没有实际访问CDE的权限。

[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ********].

[******** ***** ****, ****** *** ******* ****** **********].

 

 

9.4 实施识别和授权访客的程序。
程序应包括以下内容:

9.4.1 访客在进入处理或维护持卡人数据的区域之前获得授权,并始终在陪同下进入这些区域。
9.4.2 对访客进行识别并获得徽章或其他身份证明,该徽章或其他身份证件已过期,可以明显区分访客和现场工作人员。
9.4.3 要求访客在离开设施之前或到期之日交出徽章或身份证。
9.4.4 访客日志用于维护访客活动的物理审计记录,记录设施以及存储或传输持卡人数据的计算机室和数据中心的访客活动。
在日志上记录访客的姓名、代表的公司以及授权物理访问的现场人员。
除非法律另有限制,否则将此日志保留至少三个月。

[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ********].

[******** ***** ****, ****** *** ******* ****** **********].

9.5 对所有媒体进行物理保护。

9.5.1 将媒体备份存储在安全的位置,最好是场外设施,例如备用站点或备份站点或商业存储设施。至少每年检查一次该地点的安全。

[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ********. *** ** **** *********** *** ******* ** ********* ***** *********** **** **** *** ** **** ** *************** ******** ** *** ***** **** ** *********** *******].

[******** ***** ****, ****** *** ******* ****** ********** *** ****** *** ******** *** ****** ********** *********** *** ***** (*** ********** ****)].

9.6 严格控制任何类型媒体的内部或外部发行,包括以下内容:

9.6.1 对媒体进行分类,以便确定数据的灵敏度。
9.6.2 通过安全快递或其他可以准确追踪的传送方式发送媒体。
9.6.3 确保管理层批准从安全区域转移的所有媒体(包括向个人分发媒体时)。

[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ******** *** ******* ** ********* ***** *********** **** **** *** ** **** ** *************** ******** ** *** ***** **** ** *********** *******].

[******** ***** ****, ****** *** ******* ****** **********. *** ****** *** ******** *** ****** ********** *********** *** ***** (*** ********** ****)].

9.7 严格控制媒体的存储和可访问性。

9.7.1 妥善维护所有媒体的库存日志,并至少每年进行一次媒体清点。

[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ******** *** ******* ** ********* ***** *********** **** **** *** ** **** ** *************** ******** ** *** *****

[******** ***** ****, ****** *** ******* ****** **********. *** ****** *** ******** ****** ********** *********** *** ***** (*** ********** ****)]

 

 

 

 

**** ** *********** *******].

 

9.8 出于商业或法律原因不再需要媒体时销毁媒体,如下所示:

9.8.1 粉碎、焚烧或抹掉硬拷贝材料,使持卡人数据无法重建。用于存放待销毁材料的安全存储容器。
9.8.2 使电子媒体上的持卡人数据不可恢复,因此无法重建持卡人数据。

[********* *****, ****** ********** ****** *** *** ***** *** ********** ** ************ **** ** ********** *** ******** ******** ********** *** ********* ***** *********** **** **** **** ******].

[******** ***** ****, ****** *** ******* ****** **********. *** ****** *** ******** ****** ********** *********** *** ***** (*** ********** ****)].

9.9 保护通过与支付卡的直接物理交互来捕获支付卡数据的设备免遭篡改和替换。

9.9.1 维护最新的设备列表。该列表应包括以下内容:
-品牌、设备型号
-设备的位置(例如,设备所在地点或设施的地址)
-设备序列号或其他唯一识别方法。
9.9.2 定期检查设备表面,以检测是否存在篡改行为(例如,在设备中添加读卡器)或替换(例如,通过检查序列号或其他设备特性以确认其未被换成欺诈性设备)。
9.9.3 为人员提供培训,使他们意识到有人企图篡改或更换设备。培训应包括以下内容:
-在授予任何声称是维修或维护人员的第三方修改或排除设备故障的权限之前,请验证他们的身份。
-未经验证,请勿安装、更换或退回设备。
-注意设备周围的可疑行为(例如,身份不明的人试图拔掉设备插头或打开设备)。
-向相关人员(例如,向经理或安全人员)举报可疑行为和设备被篡改或更换的迹象。

[**** ****** ***** ***** * **** **** ******** ** * ****** ******* ******* *** *********** *** ** ******** ***** ** ********** *********** ** **** *****].

[******** ***** ****, ****** *** ******** ** ******* ****** *********].

9.10 确保限制对持卡人数据进行物理访问的安全策略和操作程序记录在案、使用中并让所有受影响方都知道。

[************** *********].

[************** *********].

要求 10:跟踪和监控所有访问权限

 

 

网络资源和持卡人数据

 

 

 

10.1 实施审计跟踪,将对系统组件的所有访问权限关联到每个用户。

[****** ********** ****** *** ******** ******* ******** ************. **** ********** ** *** ***** ******** *********** *** ****** ********* ** ***** *********** ****** **** ** **** ** ********** *** ********** ******].

[********* *** ********** ***** ****** **** *** *** ******* *** ******* *************** ******* ************** **********].

10.2 对所有系统组件实施自动审计跟踪以重建以下事件:

10.2.1 所有个人用户访问持卡人数据
10.2.2 任何具有 root 权限或管理权限的个人采取的所有操作
10.2.3 访问所有审计记录
10.2.4 无效的逻辑访问尝试
10.2 5 识别和身份验证机制的使用和更改(包括但不限于创建新帐户和提升权限),以及对具有根权限或管理权限的帐户进行的所有更改、添加或删除
10.2.6 初始化、停止或暂停审核日志
10.2.7 创建和删除系统级对象

[****** ********** ****** *** ******** ******* ******** ************. **** ********** ** *** ***** ******** *********** *** ****** ********* ** ***** *********** ****** **** ** **** ** ********** *** ********** ******].

[********* *** ********** ***** ****** **** *** *** ******* *** ******* *************** ******* ** ************** **********].

10.3 至少记录每个事件的所有系统组件的以下审计跟踪条目:

10.3.1 用户识别
10.3.2 事件的类型
10.3.3 日期和时间
10.3.4 成功或失败指示
10.3.5 事件的起源
10.3.6 受影响数据、系统组件或资源的身份或名称。

[****** ********** ****** *** ******** ******* ******** ************. **** ********** ** *** ***** ******** *********** *** ****** ********* ** **** *** *********** ****** **** ** **** ** ********'* *** ********** ******].

[********* *** ********** ***** ****** **** *** *** ******* *** ******* *************** ******* ** ************** **********].

10.4 使用时间同步技术,同步所有关键系统时钟和时间,并确保执行以下措施来获取、分配和存储时间。

10.4.1 关键系统的时间正确且一致。
10.4.2 时间数据受到保护。
10.4.3 时间设置来自行业认可的时间源。

[*********** *** **** ****** ** ***** ** ***** *** *** *** ****** ********** ****** *** ******** ******* ******** ************].

[************* *** ***** **** *** *** ******* *** ******* *************** **** *******].

 

 

10.5 保护审计记录,使其无法更改。

10.5.1 将审计记录的查看范围限制为有工作相关需求的人。
10.5.2 保护审计记录文件免遭未经授权的修改。
10.5.3 立即将审计跟踪文件备份到集中式日志服务器或难以更改的介质。
10.5.4 将面向外部技术的日志写入安全、集中的内部日志服务器或媒体设备。
10.5.5 对日志使用文件完整性监控或更改检测软件,确保在不生成警报的情况下无法更改现有日志数据(尽管添加的新数据不应引起警报)。

[*********** ****** **** ** **** ** ********** *** ********** ****** *** *** *** ****** ********** ****** *** ******** ******* ******** ***********].

[********* *** ********** ***** ** **** *** ******* *** ******* *************** ***].

10.6 查看所有系统组件的日志和安全事件,以识别异常或可疑活动。

10.6.1 至少每天查看以下内容:
-所有安全事件
-存储、处理或传输 CHD 和/或 SAD 或可能影响 CHD 和/或 SAD 安全性的所有系统组件的日志
-所有关键系统组件的日志
-执行安全功能的所有服务器和系统组件(例如,防火墙、入侵检测系统/入侵防御系统 (IDS/IPS)、身份验证服务器、电子商务重定向服务器等)的日志。
10.6.2 根据组织年度风险评估确定的组织政策和风险管理战略,定期审查所有其他系统组件的日志。
10.6.3 跟踪审查过程中发现的异常和异常情况。

[********** *** ********* ***** ******** *********** **** (**** ** *** ****** *** ****** **** ******) *** *********** ********** ********. ******** *********** **** *** ** ******** ** ********, *** *** ************* ******** ****. ****** ********** ****** *** ******** ******* ******** ************].

[********** ******** ***** *** ** **** *** ********** ******** *** ******** ** ********** **** ******. ******* ***** *********** **** ******** ** ********, ** *** **** **********, *** ************* ******** *** ******** ********** *********].

10.7 将审计跟踪历史记录保留至少一年,其中至少有三个月可立即用于分析(例如,联机、存档或可从备份中恢复)。

[*********** ****** **** ** **** ** ********** *** ********** ****** ****** ********** ****** *** ******** ******* ******** ************].

[********* *** ********** ***** ** **** *** ******* *** ******* *************** ****].

10.8 确保监控所有网络资源和持卡人数据访问的安全策略和操作程序记录在案、使用中并让所有受影响方都知道。

[******* *** ********* ***** ******** *********** ** *** *****, ********* ******, ******** *** ****. *********** **** **** *** ***** ******** *********** **** * ********** ** *** ******** ** ********** *** ****** ******** **

[******* *** ******** ***** (**), ** *** ******** **** ******** ******* ***** ********. ******* ********** ** *** *************** ** ******* ** *** ********; ********, *******, ******** **** *** ** *********** *** *** ***** ******** ***********].

 

 

 

 

***** **** *** ******** ***** (**) ** *** *****].

 

要求 11:定期测试安全系统和流程。

11.1 实施测试无线接入点是否存在的流程 (802.11),并每季度检测和识别所有授权和未授权的无线接入点。

11.1.1 维护授权无线接入点清单,包括记录在案的业务理由。
11.1.2 在检测到未经授权的无线接入点时实施事故响应程序。

[******* ****** ********** **** ******* ** ******* *** ********** **************** ******].

[******* ***** ***** ********* *** ****** ************** *******].

11.2 至少每季度运行一次内部和外部网络漏洞扫描,并在网络发生任何重大变化(例如安装新的系统组件、网络拓扑结构的变化、防火墙规则的修改、产品升级)后运行。

11.2.1 每季度进行内部漏洞扫描并根据需要重新扫描,直到所有 “高风险” 漏洞(如要求 6.1 中所述)得到解决。扫描必须由合格的人员执行。
11.2.2 通过支付卡行业安全标准委员会 (PCI SSC) 批准的授权扫描供应商 (ASV) 进行季度外部漏洞扫描。根据需要执行重新扫描,直到实现通过扫描。
11.2.3 进行内部和外部扫描,并在进行任何重大更改后根据需要重新扫描。扫描必须由合格的人员执行。

[**** *** *** ******** ********* ** *** *** ******** *** ******* **** ******* **** ********].

[******** *** ******* *** *** ******].

 

 

11.3 实施渗透测试方法,其中包括以下内容:
-基于行业公认的渗透测试方法(例如 NIST SP800-115)
-包括整个 CDE 边界和关键系统的覆盖范围
-包括来自网络内部和外部的测试
-包括用于验证任何分段和缩小范围控制的测试
-定义应用层渗透测试,至少包括要求 6.5 中列出的漏洞
-定义网络层渗透测试,包括支持网络功能和操作系统的组件
-包括审查和考虑过去 12 个月中遇到的威胁和漏洞
-规定保留渗透测试结果和修复活动结果。

11.3.1 至少每年进行一次外部渗透测试,并且在进行任何重大基础设施或应用程序升级或修改(例如操作系统升级、向环境中添加子网络或向环境中添加网络服务器)之后。
11.3.2 至少每年进行一次内部渗透测试,并在进行任何重大基础设施或应用程序升级或修改(例如操作系统升级、向环境中添加子网络或向环境中添加网络服务器)之后进行内部渗透测试。
11.3.3 对渗透测试期间发现的可利用漏洞进行更正,并重复测试以验证更正错误。
11.3.4 如果使用分段将CDE与其他网络隔离,则至少每年进行一次渗透测试,并在对分段控制/方法进行任何更改后进行渗透测试,以验证分段方法是否可操作且有效,并将所有范围外系统与范围内的系统隔离开来。

[******* ***** **** *** ***** ******** *********** ***** ******* ******** ***** *** ******* **** ********].

[******** **** **** *** ******* *** *** ***** ** ******** *** ***** *** *********** ****** *** ***** *** ******* **** ***].

11.4 使用入侵检测和/或入侵防御技术来检测和/或防止对网络的入侵。监控持卡人数据环境周边以及持卡人数据环境关键点的所有流量,并提醒工作人员注意可疑的泄露行为。
使所有入侵检测和防御引擎、基准和签名保持最新状态。

[******* ********* ********* ** *** ******* *** *** *** **************. ***** ******** ** *** ******* ** ****** *********** ********* ** *********** **** *** ******** ******** ******].

[******* *** ******* *** *** ****** *** ********* *** ****** *** ** *** ********.
***** ** ********* ** ******** ******* *** ******** *********].

 

 

11.5 部署更改检测机制(例如,文件完整性监控工具),提醒人员注意关键系统文件、配置文件或内容文件遭到未经授权的修改;并将软件配置为至少每周进行一次关键文件比较。

11.5.1 实施一个流程来响应变更检测解决方案生成的任何警报。

[******* *** ******* *** **************. ****** *** ************* ****** ****** ** ******** ******** ********* *** *********** **** ********* ********* ** *********** ******** ****].

[******* *** ******* *** *** ****** *** *********** *** *** *** ********* ** ***].

11.6 确保安全监控和测试的安全策略和操作程序记录在案、使用中并让所有受影响方都知道。

[************** *******].

[************** *******].

要求 12:维护一项解决所有人员信息安全的政策。

12.1 制定、发布、维护和传播安全政策。

12.1.1 至少每年审查一次安全政策,并在环境变化时更新政策。

[************** *********.
****** ******* ************ *** ******** *** ******** *** ********* **** *******, *****, ****** ** ******* ****** ** *** ***** ****** ** *******].

[************** *********.
****** ******* ************ *** ******** *** ******** *** ********* **** *******, *****, ****** ** ******* ****** ** *** ***** ****** ** *******].

12.2 实施风险评估流程,该流程应:
-至少每年进行一次,并且在环境发生重大变化(例如,收购、合并、搬迁等)时进行,
-识别关键资产、威胁和漏洞,以及
-进行正式风险评估的结果。

[************** *********.
****** ******* ************ *** ******** *** ******** *** ********* **** *******, *****, ****** ** ******* ****** ** *** ***** ****** ** *******].

[************** *********.
****** ******* ************ *** ******** *** ******** *** ********* **** *******, *****, ****** ** ******* ****** ** *** ***** ****** ** *******].

 

 

12.3 制定关键技术的使用政策,并定义这些技术的正确使用。
确保这些使用政策要求以下内容:

12.3.1 获得授权方的明确批准
12.3.2 使用该技术的身份验证
12.3.3 所有此类设备和有权访问的人员清单
12.3.4 一种准确、便捷地确定所有者、联系信息和用途(例如,设备的标签、编码和/或清单)的方法
12.3.5 该技术的可接受用途
12.3.6 技术可接受的网络位置
12.3.7 公司批准的产品清单
12.3.8 在特定的非活动时间段后自动断开远程访问技术的会话
12.3.9 仅在供应商和业务合作伙伴需要时激活供应商和业务合作伙伴的远程访问技术,使用后立即停用
12.3.10 对于通过远程访问技术访问持卡人数据的人员,除非明确获得特定业务需求的授权,否则禁止将持卡人数据复制、移动和存储到本地硬盘驱动器和可移动电子媒体上。
如果有授权的业务需求,则使用策略必须要求根据所有适用的 PCI DSS 要求保护数据。

[************** *********.
****: ******** ** ******** ************ *******, *** *** *** ******* **, ****** ****** *** ******** ************, *******, *******, ********* ********** *****, ****** ***** *** ******** *****].

[************** *********.
****: ******** ** ******** ************ *******, *** *** *** ******* **, ****** ****** *** ******** ************, *******, *******, ********* ********** *****, *-**** ***** *** ******** *****].

12.4 确保安全政策和程序明确界定所有人员的信息安全责任。

[************** ******* *** **** ********.
**** *** *** ******** **** **** ********** ******** ******** *** ************** ****************].

[************** ******* *** **** ********.
**** *** *** ******** **** **** ********** ******** ******** *** ************** ****************].

12.5 将以下信息安全管理责任分配给个人或团队:

12.5.1 建立、记录和分发安全策略和程序。
12.5.2 监控和分析安全警报和信息,并分发给相应的人员。
12.5.3 建立、记录和分发安全事件响应和上报程序,以确保及时有效地处理所有情况。
12.5.4 管理用户帐户,包括添加、删除和修改。
12.5.5 监视和控制对数据的所有访问。

[************** ********* ****** ********** **** ********].

[************** ********* ****** ******* ******** ****** (*** ********** *** ********* ********* ********** ("***") *********]).

 

 

12.6 实施正式的安全意识计划,使所有人员意识到持卡人数据安全的重要性。

12.6.1 在招聘时对员工进行培训,至少每年一次。
12.6.2 要求人员至少每年确认他们已阅读并理解安全政策和程序。

[************** ********* ******** ********* ******** *** ***** ******** ** ******** *** ********* *** ***** *******].

[************** ********* ******** ********* ******** *** ***** ******** ** ******** *** ********* *** ***** *******].

12.7 在招聘前对潜在人员进行筛选,以最大限度地减少内部攻击的风险。(背景调查的示例包括以前的工作经历、犯罪记录、信用记录和推荐信调查。)

[************** ******* *** **** ********].

[************** ******* *** **** ********].
 

12.8 维护和实施政策和程序,管理与之共享持卡人数据或可能影响持卡人数据安全的服务提供商,如下所示:

12.8.1 维护服务提供商名单。
12.8.2 维持书面协议,其中包括确认服务提供商对服务提供商代表客户持有或以其他方式存储、处理或传输的持卡人数据的安全性负责,或者在这些数据可能影响客户持卡人数据环境安全的范围内。
12.8.3 确保有吸引服务提供商的既定程序,包括在聘用前进行适当的尽职调查。
12.8.4 维持一项计划,至少每年监控服务提供商的PCI DSS合规状态。
12.8.5 维护有关哪些 PCI DSS 要求由每个服务提供商管理,哪些由实体管理的信息。

[************** *********. **** ****** ******* ******** ** ** *****].

[************** *********. *** ** ** ***** ** ******* ******** *** ********].

12.9 对服务提供商的额外要求:服务提供商以书面形式向客户承认,他们对服务提供商拥有或代表客户以其他方式存储、处理或传输的持卡人数据的安全性负责,或者在这些数据可能影响客户持卡人数据环境安全的范围内。

[*********** *** **** *************** ********** ** ********].

[***]

 

 

12.10 实施事故响应计划。做好立即应对系统漏洞的准备。

12.10.1 制定事件响应计划,以便在发生系统漏洞时实施。确保该计划至少解决以下问题:
-出现折衷情况下的角色、责任以及沟通和联系策略,包括至少通知支付品牌
-具体的事件响应程序
-业务恢复和连续性程序
-数据备份流程
-分析举报妥协的法律要求
-所有关键系统组件的覆盖范围和响应
-参考或纳入支付品牌的事件响应程序。
12.10.2 至少每年测试一次计划。
12.10.3 指定特定人员全天候响应警报。
12.10.4 为负有安全漏洞应对责任的员工提供适当的培训。
12.10.5 包括来自安全监控系统的警报,包括但不限于入侵检测、入侵防御、防火墙和文件完整性监控系统。
12.10.6 制定流程,根据经验教训修改和发展事故响应计划,并纳入行业发展。

[******** ******** ** ****** ********** ****** *** ******** ******* ******].

[******** ******** ** *** ****** ************** *** ******** ******* ************ *** ** *** ***** ** ******* *** ********, *** *** **** ***** ********* ********* ********** ******* ******************* ******** ** ********].