|
资料
文件格式: |
pdf |
文件页数: |
60 |
文件语言: |
中文 |
文件原作者: |
PCI |
成文时间: |
2008 |
摘要或目录: |
见图片 |
文件截图: |
|
PCI DSS 要求合规性的评估范围
PCI DSS 安全要求适用于所有系统组件。“系统组件”定义为包含于持卡人数据环境或与之相关的任何网络组件、服务器或应用程序。持卡人数据环
境是处理持卡人数据或敏感认证数据的部分网络。网络组件包括但不局限于防火墙、交换机、路由器、无线接入点、网络设备和其他安全设备。服
务器类型包括但不局限于以下种类:Web、应用程序、数据库、认证、邮件、代理、网络时间协议 (NTP) 和域名服务器 (DNS)。应用程序包括所有
购买和自定义的应用程序,包括内部和外部 (Internet) 应用程序。
网络分段
将持卡人数据环境进行网络分段或与企业网络提醒隔离(分段)不是一项 PCI DSS 要求。然而,将它作为一种推荐方法可以降低:
􀂃 PCI DSS 评估的范围
􀂃 PCI DSS 评估的成本
􀂃 实施和维护 PCI DSS 控制的成本和难度
􀂃 机构的风险(通过将持卡人的数据统一到更少、更易控制的位置来降低风险)
没有充足的网络分段(有时称为“扁平化网络”),整个网络都处于 PCI DSS 评估范围中。网络分段可以通过内部网络防火墙、带有严格访问控制列
表的路由器或其他限制对网络特定分段进行访问的技术来实现。
缩小持卡人数据环境范围的一个前提条件是透彻理解与持卡人数据存储、处理或传输相关的业务需求和过程。通过删除不必要的数据并集中必要的
数据以将持卡人数据限制在尽可能少的位置,这可能需要对长期业务实践进行重建。
通过数据流图表记录持卡人数据流有助于全面了解所有的持卡人数据流,并确保任何网络分段在隔离的持卡人数据环境中都有效。
如果已设置了网络分段,并且将用于缩小 PCI DSS 评估范围,则评估者必须验证分段,以足以缩小评估范围。在高层上,充足的网络分段将存储、
处理或传输持卡人数据的系统与那些不进行这些操作的系统隔离开来。然而,网络分段具体实施的充足性非常多变,并且依赖于诸如指定的网络配
置、部署的技术以及其他可能实施的控制等因素。
附录 F:PCI DSS 检查−界定和选择样品提供了 PCI DSS 评估期间界定影响的更多信息。
|
|