支付卡行业数据安全标准遵守规划指南OnThisPage简介满足PCIDSS要求附录简介《支付卡行业数据安全标准遵守规划指南》旨在帮助组织满足支付卡行业数据安全标准(PCIDSS)的要求。具体而言,本指南针对的是接受支付卡的贸易商、处理支付卡交易的金融机构以及服务提供商-即提供支付卡处理或数据存储服务的第三方公司。针对这些群体的IT解决方案必须满足所有PCIDSS要求。本指南是为了进一步强化法规遵守规划指南-它介绍了一种基于框架的方法来创建IT控制,帮助您遵守各种法规和标准。该指南还介绍了您可以用来实施一系列IT控制的Microsoft产品和技术解决方案,这些IT控制有助于满足PCIDSS要求以及履行您的组织可能担负的其他法规义务。注意如果您的组织提供的服务包括自动取款机(ATM)服务,Microsoft将提供支持ATM的软件、系统和网络适用的体系结构和安全指南。有关详细信息,请参阅MSDN网站上的Microsoft银行行业中心下载页。本指南不包含有关每个组织如何遵守PCIDSS的全面信息。有关与您的组织有关的特定遵守问题的解答,请向您的律师或审核人员咨询。本指南的简介包括以下部分:摘要。此部分提供有关PCIDSS要求以及该规划指南主要目标的广泛概述。在这一部分还会讨论IT管理人员在开始解决PCIDSS遵守要求时需要掌握的知识。本指南的目标读者。此部分介绍本指南的目标读者、指南的目的和适用范围,以及与指南限制有关的注意事项和免责声明。什么是支付卡行业数据安全标准?此部分提供PCIDSS及其要求的概述。规划PCIDSS遵守。此部分介绍使用框架满足PCIDSS要求。此方法包括:创建各种类型的IT控制、如何配合使用这些控制,以及它们为何是您的组织可以用来帮助满足PCIDSS要求和履行其他法规遵守义务的重要组件。PCIDSS审核流程。此部分概述审核人员用来评估组织是否符合PCIDSS要求的PCIDSS审核流程。由于本白皮书是对《法规遵守规划指南》的补充,因此,当您计划一个满足您的组织适用的所有法规要求的完整解决方案时,您还应当参考该指南。摘要如果您的组织处理、存储或传输持卡人信息,则您的业务要求必须遵守支付卡行业数据安全标准(PCIDSS)。这些标准中定义的要求是由PCI安全标准委员会制定,旨在为使用您的组织服务的持卡人提供可接受的最低安全级别。有三个问题使此情况变得复杂。第一个问题是遵守PCIDSS要求可能对整个组织产生影响。因此,在部门间协调遵守工作,并且有一个组织范围内的PCIDSS遵守策略非常重要。第二个复杂问题是您的组织可能需要遵守多套法规,每套法规都规定了不同的一组要求。因此,许多公司发现很难了解如何正确响应这些不同的法规要求并使用经济高效的流程和过程保持法规遵守,也就不足为奇了。第三个复杂问题是与其他许多法规一样,PCIDSS只是顺带提及IT控制,而对于IT管理人员明确确定究竟该执行什么工作来实现和维护法规遵守,提供的指导则非常有限。《支付卡行业数据安全标准遵守规划指南》针对的是在公司担负满足PCIDSS要求职责的IT管理人员。本指南旨在帮助IT管理人员了解如何着手解决其组织适用的许多IT控制要求,包括PCIDSS遵守要求。为实现这一目的,本指南提供了有关在此过程中您可以使用的解决方案的信息。有关如何遵守多种法规标准的更全面的讨论,请参阅法规遵守规划指南。重要本规划指南不提供法律意见。本指南仅提供有关法规遵守的事实面和技术面的信息。不要完全依赖本指南提供的有关如何满足法规要求的意见。有关特定问题,请向您的律师或审核人员咨询。本文的目标读者《PCIDSS遵守规划指南》主要针对负责确保其组织安全可靠地收集、处理、传输和存储持卡人数据并且保护持卡人隐私的个人。本指南的目标读者包括在组织中担任以下职位的IT管理人员:首席信息官(CIO),负责系统和IT相关流程的部署和运行。首席信息安全官(CISO),负责整个信息安全计划以及对信息安全策略的遵守。首席财务官(CFO),负责其组织的整个控制环境。首席保密官(CPO),负责实施与个人信息管理相关的策略,包括支持遵守保密性和数据保护法的策略。技术决策者,负责确定适当的技术解决方案来解决特定的业务问题。IT运营经理,运行执行PCIDSS遵守计...
