检查杭州主机托管

支付卡行业(PCI)数据安全标准适用于服务提供商的自我评估调查问卷D和遵从性证明书符合SAQ适用条件的服务提供商适用于PCIDSS3.
2.
1版2018年6月适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
02018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第ii页文档变更记录日期PCIDSS版本SAQ修订版描述2008年10月1.
2根据新的PCIDSS1.
2版调整内容并实施原始1.
1版中标出的微小变更.
2010年10月2.
0根据新的PCIDSS2.
0版要求与测试程序调整内容.
2014年2月3.
0根据PCIDSS3.
0版要求与测试程序调整内容并纳入了其他应对方案.
2015年4月3.
1更新以符合PCIDSS3.
1版.
有关PCIDSS变更的详细信息,请参阅"PCIDSS–PCIDSS3.
0版到3.
1版的变更汇总".
2015年7月3.
11.
1更新以在2015年6月30日前将参考部分移至"最优方法",并针对要求11.
3移除PCIDSS2版报告选项.
2016年4月3.
21.
0更新以符合PCIDSS3.
2版.
有关PCIDSS变更的详细信息,请参阅"PCIDSS–PCIDSS3.
1版到3.
2版的变更汇总".
2017年1月3.
21.
1已更新版本编号,以便与其他SAQ保持一致2018年6月3.
2.
11.
0更新以符合PCIDSS3.
2.
1版.
有关PCIDSS变更的详细信息,请参阅"PCIDSS–PCIDSS3.
2版到3.
2.
1版的变更汇总".
确认通知:在所有使用目的和情况下,PCISSC网站上的英文文本应作为此文件的官方版本.
当翻译文本和英文文本之间出现任何歧义和不一致之处时,正确的内容应以该位置的英文文本为准.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
02018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第iii页目录文档变更记录ii开始之前vPCIDSS自我评估实施步骤.
v了解自我评估调查问卷v预期测试v完成自我评估调查问卷vi某些特定要求的不适用性指南.
vi不适用和未测试之间的区别说明.
vii法律规定的例外情况.
vii第1节:评估信息1第2节:适用于服务提供商的自我评估调查问卷D.
7构建和维护安全网络和系统7要求1:安装和维护防火墙配置以保护数据.
7要求2:不要使用供应商提供的默认系统密码和其他安全参数.
11保护持卡人数据16要求3:保护存储的持卡人数据.
16要求4:加密持卡人数据在开放式公共网络中的传输.
23维护漏洞管理计划25要求5:为所有系统提供恶意软件防护并定期更新杀毒软件或程序.
25要求6:开发并维护安全的系统和应用程序.
27实施强效访问控制措施34要求7:按业务知情需要限制对持卡人数据的访问.
34要求8:识别并验证对系统组件的访问.
36要求9:限制对持卡人数据的物理访问.
42定期监控并测试网络.
49要求10:跟踪并监控对网络资源和持卡人数据的所有访问.
49要求11:定期测试安全系统和流程.
56维护信息安全政策62要求12:维护针对所有工作人员的信息安全政策.
62附录A:PCIDSS附加要求.
69附录A1:针对共享托管服务提供商的PCIDSS附加要求.
69附录A2:针对使用SSL/早期TLS进行实卡POSPOI终端连接的实体的PCIDSS附加要求.
71附录A3:指定实体补充认证(DESV)71附录B:补偿性控制工作表72附录C:不适用性说明73附录D:未测试的要求说明74适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
02018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第iv页第3节:认证和证明书详情75适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
02018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第v页开始之前适用于服务提供商的SAQD适用于支付品牌认定符合SAQ适用条件的所有服务提供商.
由于许多完成SAQD的组织需要认证其对于每项PCIDSS要求的遵从性,因此一些具有特定业务模式的组织可能会发现某些要求不适用.
有关要排除的某些特定要求,请参见下面的相关指南.

PCIDSS自我评估实施步骤1.
确认您所在环境范围适当.
2.
评估您所在环境是否遵从PCIDSS要求.
3.
实施此文档的所有章节:第1节(AOC的第1、2部分)–评估信息和实施概要第2节–PCIDSS自我评估调查问卷(SAQD)第3节(AOC的第3、4部分)–认证和证明书详情以及针对未遵从要求的行动计划(如果适用)4.
向支付品牌或其他申请机构提交SAQ、遵从性证明书(AOC)以及其他任何要求的文档(例如ASV扫描报告).
了解自我评估调查问卷此自我评估调查问卷中"PCIDSS问题"列所包含的问题基于PCIDSS中的要求.
为帮助完成评估流程,已提供了就PCIDSS要求和如何完成自我评估调查问卷予以指导的其他资源.
下面概述了其中的一些资源:文档内容:PCIDSS(PCI数据安全标准要求和安全评估程序)有关范围界定的指导有关所有PCIDSS要求意图的指导测试程序详情有关补偿性控制的指导SAQ说明和指南文档所有SAQ及其适用标准的相关信息如何确定哪项SAQ适用于您所在组织PCIDSS和PA-DSS术语、缩略词和首字母缩略词词汇表PCIDSS和自我评估调查问卷中所使用的术语的说明和定义上述资源和一些其他资源可在PCISSC网站(www.
pcisecuritystandards.
org)上找到.
建议组织在开始评估之前先浏览PCIDSS和其他支持文档.
预期测试"预期测试"列中包含的说明基于PCIDSS中的测试程序,提供了有关认证已满足要求所必须执行的测试活动类型的高级说明.
有关针对各项要求的测试程序的完整详情,请参见PCIDSS.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
02018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第vi页完成自我评估调查问卷对于每个问题,可以选择一个回复选项来表明您所在公司针对该要求的状态.
对于每个问题,只能选择一个回复.
下表说明了各项回复的含义:回复此回复的适用情况:是已执行预期测试,且已按照相关说明满足该要求的所有元素.
是,已填写CCW(补偿性控制工作表)已执行预期测试,且已采用补偿性控制满足该要求.
如果选择此列中的回复,则必须在SAQ附录B中填写补偿性控制工作表(CCW).
要了解如何使用补偿性控制和填写该工作表,请参见PCIDSS.
否该要求的部分或所有元素尚未满足或正处于实施状态,或者需要进一步测试才能确定是否满足.
N/A(不适用)该要求不适用于相关组织所在环境.
(有关示例,参见下面的某些特定要求的不适用性指南.
)如果选择此列中的回复,则必须在SAQ附录C中提供支持说明.
未测试该要求未包含在本次评估的考虑范围内,且未以任何形式进行测试.
(有关此选项的适用情况示例,参见下面的不适用和未测试之间的区别说明.
)如果选择此列中的回复,则必须在SAQ附录D中提供支持说明.
某些特定要求的不适用性指南由于许多完成SAQD的组织需要认证其对于每项PCIDSS要求的遵从性,因此一些具有特定业务模式的组织可能会发现某些要求不适用.
举例来说,如果一家公司在任何方面都不使用无线技术,则无需认证对于特定于管理无线技术的PCIDSS章节的遵从性.
同样地,从未以电子方式存储任何持卡人数据的组织无需认证对有关安全存储持卡人数据的要求的遵从性(有关示例,参见第3.
4条要求).
具有特定适用性的要求包括:除非您的网络中使用了无线技术,否则无需回答针对安全无线技术的问题(例如要求1.
2.
3、2.
1.
1和4.
1.
1).
请注意,即使您的网络中未使用无线技术,也仍必须针对要求11.
1(使用流程识别未经授权的无线接入点)提供回复,因为该流程可检测出任何可能在您不知情的情况下添加的欺诈或无授权设备.
除非您所在组织开发了专有自定义应用程序,否则无需回答特定于应用程序开发和安全编码的问题(要求6.
3和6.
5).
除非是对于位于"敏感区域"(定义如下)的设施,否则无需回答针对要求9.
1.
1和9.
3的问题:"敏感区域"指任何数据中心、服务器室或任何存储、处理或传输持卡人数据的系统所在区域.
这不包括仅有销售点终端的区域(例如零售店的收银区),但包括存储持卡人数据的零售店后端办公服务器室以及存储了大量持卡人数据的区域.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
02018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第vii页如果您认为任何要求不适用于您所在环境,请针对该特定要求选择"N/A"选项,然后在附录C为所有"N/A"条目填写"不适用性说明".
不适用和未测试之间的区别说明视为不适用于相关环境的要求必须获得相应认证.
以上述无线技术为例,如果某个组织想要针对要求1.
2.
3、2.
1.
1和4.
1.
1选择"N/A",则必须先确认其持卡人数据环境(CDE)中未使用或连接到任何无线技术.
经过确认后,该组织便可针对这些特定要求选择"N/A",如果在审核过程中未经任何考虑便将某项要求完全排除在适用范围之外,则应选择"未测试"选项.
此类情况可能包括:某组织的收单机构可能要求其验证是否遵从特定要求部分,例如使用优先方法验证是否达到特定里程碑.
某组织可能想要验证仅会影响特定要求部分的新安全控制,例如实施新的加密方法需要针对PCIDSS要求2、3和4进行评估.
某服务供应商组织提供的某项服务可能只涉及有限部分的PCIDSS要求,例如某物理存储供应商可能只想要针对PCIDSS要求9为其存储设施进行物理安全控制验证.
在上述情况下,相关组织只想要验证特定PCIDSS要求,即使其他要求可能也适用于其所在环境.
法律规定的例外情况如果您所在组织因受到相关法律限制约束而无法满足PCIDSS要求,请针对该要求选择"否"列,然后在第3部分填写相关证明书.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第1节:评估信息2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第1页第1节:评估信息提交说明服务提供商必须填写此文档,以声明其按照支付卡行业数据安全标准(PCIDSS)要求和安全评估程序所做的自我评估的结果.
填写所有章节:服务提供商应负责确保相关方(如果有)填写所有章节.
联系申请的支付品牌以确定报告和提交程序.
第1部分服务提供商和合格安全性评估商信息第1a部分服务提供商组织信息公司名称:DBA(经营别称):联系人姓名:职务:电话:电子邮件地址:公司地址:城市:州/省:国家/地区:邮编:网址:第1b部分合格安全性评估商公司信息(如果有)公司名称:QSA主要联系人姓名:职务:电话:电子邮件地址:公司地址:城市:州/省:国家/地区:邮编:网址:适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第1节:评估信息2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第2页第2部分实施概要第2a部分范围验证属于PCIDSS评估范围内的服务(选中所有合适的选项):受评估服务名称:受评估服务类型:托管服务提供商:应用程序/软件硬件基础架构/网络物理空间(主机托管)存储Web安全服务3-D安全托管服务提供商共享托管服务提供商其他托管服务(请指明):管理服务(请指明):系统安全服务IT支持物理安全终端管理系统其他服务(请指明):支付处理:POS/实卡互联网/电子商务MOTO/呼叫中心ATM其他处理(请指明):客户管理欺诈和退款支付网关/开关后勤服务发卡机构处理预付服务帐单管理忠诚计划记录管理清算与结算商户服务税务/政府支付网络服务提供商其他(请指明):注:这些类别仅供参考,并非用于限制或预先提供实体的服务说明.
如果您认为这些类别均不符合您的服务情况,请填写"其他".
如果您不确定某类别是否符合您的服务情况,请咨询相应的支付品牌.

适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第1节:评估信息2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第3页第2部分实施概要(续)第2a部分范围验证(续)服务提供商所提供的不属于PCIDSS评估范围的服务(选中所有合适选项):未受评估服务名称:未受评估服务类型:托管服务提供商:应用程序/软件硬件基础架构/网络物理空间(主机托管)存储Web安全服务3-D安全托管服务提供商共享托管服务提供商其他托管服务(请指明):管理服务(请指明):系统安全服务IT支持物理安全终端管理系统其他服务(请指明):支付处理:POS/实卡互联网/电子商务MOTO/呼叫中心ATM其他处理(请指明):客户管理欺诈和退款支付网关/开关后勤服务发卡机构处理预付服务帐单管理忠诚计划记录管理清算与结算商户服务税务/政府支付网络服务提供商其他(请指明):请简要说明任何选中服务未包含在本次评估范围内的原因:第2b部分支付卡业务说明说明您所在企业如何存储、处理和/或传输持卡人数据,以及支持的数据大小.
说明您所在企业如何以其他方式影响或潜在影响持卡人数据安全性,以及影响的程度.
第2c部分地点列出PCIDSS审核中包含的场所类型(例如,零售店、公司办公室、数据中心、呼叫中心等等)以及所在地点概要.
场所类型此类场所数量场所所在地点(城市、国家/地区)示例:零售店3美国马萨诸塞州波士顿适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第1节:评估信息2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第4页第2部分实施概要(续)第2d部分支付应用程序该组织是否使用一款或多款支付应用程序是否提供有关您所在组织使用的支付应用程序的下列信息:支付应用程序名称版本号应用程序供应商该应用程序是否获得PA-DSS认证PA-DSS认证失效日期(如果有)是否是否是否是否是否是否是否是否第2e部分环境说明提供有关此评估所涵盖的环境的高级说明.
例如:对持卡人数据环境(CDE)的输入和输出连接.
该CDE中的关键系统组件(例如POS设备、数据库、网络服务器等)以及其他任何必要的支付组件(如果有).
您所在企业是否使用网络分段来影响PCIDSS环境范围(有关网络分段的指南,请参见PCIDSS的"网络分段"章节.
)是否第2f部分第三方服务提供商您的公司是否出于验证服务的目的与合格集成商和经销商(QIR)建立了合作关系是否如果是的话:QIR公司名称:QIR个人名称:QIR所提供服务的说明:适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第1节:评估信息2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第5页第2部分实施概要(续)第2f部分第三方服务提供商(续)您的公司是否出于验证服务的目的与一家或多家第三方服务提供商有关联(例如,合格集成商和经销商(QIR)、网关、支付处理商、支付服务提供商(PSP)、网络托管公司、航班订票代理商、忠诚计划代理商等)是否如果是的话:服务提供商名称:所提供服务的说明:注:要求12.
8适用于上述列表中的所有条目.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第1节:评估信息2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第6页第2部分实施概要(续)第2g部分受测试要求概述对于每项PCIDSS要求,选择以下某个选项:完整–该要求的主要求和所有子要求均已评估,且所有子要求均未在本SAQ中标记为"未测试"或"不适用".
部分–该要求的一项或多项子要求在本SAQ中标记为"未测试"或"不适用".
无–该要求的所有子要求均在本SAQ中标记为"未测试"和/或"不适用".
对于所有标为"部分"或"无"的要求,请在"方法理由"列中提供相关详情,包括:本SAQ中标为"未测试"和/或"不适用"的特定子要求的详情相关子要求未测试或不适用的理由注:本AOC要求针对每项服务填写此表单.
本章节的其他副本可在PCISSC网站上获取.
受评估服务名称:PCIDSS要求受评估要求详情完整部分无方法理由(要求所有"部分"和"无"回复.
确定未验证副要求以及原因.
)要求1:要求2:要求3:要求4:要求5:要求6:要求7:要求8:要求9:要求10:要求11:要求12:附录A1:附录A2:适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第7页第2节:适用于服务提供商的自我评估调查问卷D注:以下问题的编号与PCIDSS要求和安全评估程序文档中说明的PCIDSS要求和测试程序顺序相符.
自我评估实施日期:构建和维护安全网络和系统要求1:安装和维护防火墙配置以保护数据PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试1.
1是否已建立和实施了包括以下方面的防火墙和路由器配置:1.
1.
1是否建立了用于批准和测试所有网络连接以及防火墙和路由器配置变更的正式流程审核已记录的流程.
与工作人员面谈.
检查网络配置1.
1.
2(a)是否已存在当前网络图且该图记录了持卡人数据环境与包括任何无线网络在内的其他网络之间的所有连接审核当前网络图.
检查网络配置(b)是否有相应流程以确保该图及时更新与负责人面谈.
1.
1.
3(a)是否存在显示系统和网络间所有持卡人数据流的当前图审核当前数据流图.
检查网络配置(b)是否有相应流程以确保该图及时更新与工作人员面谈.
1.
1.
4(a)各互联网连接以及任何非军事区(DMZ)和内部网络区域间是否要求和实施了防火墙审核防火墙配置标准.
查看网络配置以确认是否部署了防火墙.
(b)当前网络图是否与防火墙配置标准相符对比防火墙配置标准和当前网络图是否相符.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第8页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试1.
1.
5防火墙和路由器配置标准中是否分配和记录了网络组件逻辑管理的群组、角色和责任审核防火墙和路由器配置标准.
与工作人员面谈.
1.
1.
6(a)防火墙和路由器配置标准是否包含服务、协议和端口的文档记录列表(包括各自的业务理由和审批)审核防火墙和路由器配置标准.
(b)是否已识别出所有不安全的服务、协议和端口且已针对识别出的所有服务记录和实施了安全功能审核防火墙和路由器配置标准.
检查防火墙和路由器配置.
1.
1.
7(a)防火墙和路由器配置标准是否要求至少每半年审核一次防火墙和路由器规则集审核防火墙和路由器配置标准.
(b)是否至少每半年审核了一次防火墙和路由器规则集检查有关防火墙审核的文档记录.
1.
2防火墙和路由器配置是否按照下述要求限制了不可信网络和持卡人数据环境中任何系统间的连接:注:"不可信网络"指受审核实体所属网络之外的任何网络,和/或不受该实体控制或管理的任何网络.
1.
2.
1(a)输入和输出流量是否限制在持卡人数据环境所需的范围审核防火墙和路由器配置标准.
检查防火墙和路由器配置.
(b)是否明确拒绝(例如,使用明确的"拒绝所有"或在允许声明后含蓄地表达拒绝之意)其他所有输入和输出流量审核防火墙和路由器配置标准.
检查防火墙和路由器配置.
1.
2.
2路由器配置文件是否禁止未经授权的访问且已同步,例如运行(或活动)配置与启动配置(启动电脑时使用)相匹配审核防火墙和路由器配置标准.
检查路由器配置文件和路由器配置.
1.
2.
3是否在所有无线网络和持卡人数据环境间安装了外围防火墙,并将这些防火墙配置为拒绝流量或(如果出于业务目的而需要流量)仅允许无线环境和持卡人数据环境间的授权流量审核防火墙和路由器配置标准.
检查防火墙和路由器配置.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第9页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试1.
3是否按照下述要求禁止了互联网与持卡人数据环境中任何系统组件之间的直接公共访问:1.
3.
1是否已实施了DMZ以将输入流量限制为仅支持提供授权公共访问服务、协议和端口的系统组件检查防火墙和路由器配置.
1.
3.
2是否已限制为仅向DMZ内的IP地址输入互联网流量检查防火墙和路由器配置.
1.
3.
3是否实施了反欺骗措施以检测并阻止伪造的源IP地址进入该网络(例如,阻止具有内部地址的互联网流量.
)检查防火墙和路由器配置.
1.
3.
4从持卡人数据环境输出到互联网的流量是否具有明确授权检查防火墙和路由器配置.
1.
3.
5是否仅允许已建立的连接进入该网络检查防火墙和路由器配置.
1.
3.
6存储持卡人数据的系统组件(例如数据库)是否放置在与DMZ和其他不可信网络隔离的内部网络区域中检查防火墙和路由器配置.
1.
3.
7(a)是否已实施相应方法来阻止私有IP地址和路由信息泄漏到互联网注:掩盖IP地址的方法包括但不限于:网络地址转换(NAT)将包含持卡人数据的服务器放置在代理服务器/防火墙中,删除或过滤针对采用注册地址的专用网络的路由器广告,在内部使用RFC1918地址空间而非注册地址.
检查防火墙和路由器配置.
(b)面向外部实体的任何私有IP地址和路由信息泄漏是否都经过授权检查防火墙和路由器配置.
与工作人员面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第10页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试1.
4(a)是否在位于该网络外连接到互联网且可用于访问CDE的任意便携式计算设备(包括公司和/或员工所有的便携式计算设备,例如,员工使用的笔记本电脑)上安装和激活了个人防火墙软件(或类似功能)审核相关政策和配置标准.
检查移动设备和/或员工自有设备.
(b)个人防火墙软件(或类似功能)是否配置为特定配置设置、积极运行且无法由移动设备用户和/或员工自有设备用户更改审核相关政策和配置标准.
检查移动设备和/或员工自有设备.
1.
5针对防火墙管理的安全政策和操作程序是否:已记录处于使用中为所有相关方了解审核安全政策和操作程序.
与工作人员面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第11页要求2:不要使用供应商提供的默认系统密码和其他安全参数PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试2.
1(a)是否始终于在该网络中安装系统之前更改供应商提供的默认值此要求适用于所有默认密码,包括但不限于操作系统、提供安全服务的软件、应用程序和系统帐户、销售点(POS)终端、支付应用程序、简单网络管理协议(SNMP)社区字符串等使用的默认密码.
审核相关政策和程序.
检查供应商文档.
查看系统配置和帐户设置.
与工作人员面谈.
(b)是否已于在该网络中安装系统之前删除或禁用不必要的默认帐户审核相关政策和程序.
审核供应商文档.
检查系统配置和帐户设置.
与工作人员面谈.
2.
1.
1对于连接到持卡人数据环境或传输持卡人数据的无线环境,是否按照下述要求在安装时更改了所有无线供应商提供的默认值:(a)是否在安装以及知道密钥的任何人离职或更换岗位时更改了默认的加密密钥审核相关政策和程序.
审核供应商文档.
与工作人员面谈.
(b)是否在安装时更改了无线设备上的默认SNMP社区字符串审核相关政策和程序.
审核供应商文档.
与工作人员面谈.
检查系统配置.
(c)是否在安装时更改了接入点的默认密码/口令审核相关政策和程序.
与工作人员面谈.
检查系统配置.
(d)是否已更新无线设备的固件来支持通过无线网络进行的验证和传输的强效加密审核相关政策和程序.
审核供应商文档.
检查系统配置.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第12页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试(e)是否已更改其他与安全有关的无线供应商默认值(如果适用)审核相关政策和程序.
审核供应商文档.
检查系统配置.
2.
2(a)配置标准是否为针对所有系统组件制定的,以及是否与行业认可的系统强化标准一致行业认可的系统强化标准来源包括但不限于:美国系统网络安全协会(SANS)、国家标准与技术研究所(NIST)、国际标准化组织(ISO)和互联网安全中心(CIS).
审核系统配置标准.
审核行业认可的强化标准.
审核相关政策和程序.
与工作人员面谈.
(b)是否已按照要求6.
1在发现新的安全漏洞问题时更新了系统配置标准审核相关政策和程序.
与工作人员面谈.
(c)是否已在配置新系统时应用了系统配置标准审核相关政策和程序.
与工作人员面谈.
(d)系统配置标准是否包含以下所有说明:-更改所有供应商提供的默认值并删除不必要的默认帐户-每台服务器仅执行一项主要功能以免需要不同安全级别的功能并存于同一台服务器上-仅启用系统功能所需的必要服务、协议、守护进程等-对于任何被视为不安全的必要服务、协议或守护进程,均执行附加安全功能-配置系统安全参数以防滥用-删除所有非必要功能,例如脚本、驱动程序、特性、子系统、文件系统和不必要的网络服务器审核系统配置标准.
2.
2.
1(a)是否仅在每台服务器执行了一项主要功能,以免需要不同安全级别的功能并存于同一台服务器上例如,网络服务器、数据库服务器和DNS均应在单独的服务器上执行.
检查系统配置.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第13页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试(b)如果采用了虚拟化技术,那么每个虚拟系统组件或设备是否仅执行了一项主要功能检查系统配置.
2.
2.
2(a)是否仅启用了系统功能所需的必要服务、协议、守护进程等(并非执行设备特定功能所直接需要的服务和协议已禁用)审核配置标准.
检查系统配置.
(b)是否已根据书面配置标准判断所有已启用的不安全服务、守护进程或协议是否合理审核配置标准与工作人员面谈.
检查配置设置.
对比已启用的服务等和理由记录是否相符.
2.
2.
3是否已针对任何被视为不安全的必要服务、协议或守护进程记录和执行了附加安全功能审核配置标准.
检查配置设置.
2.
2.
4(a)系统管理员和/或负责配置系统组件的工作人员是否了解适用于这些系统组件的常用安全参数设置与工作人员面谈.
(b)常用系统安全参数设置是否包含在系统配置标准中审核系统配置标准.
(c)适用于系统组件的安全参数设置是否适当检查系统组件.
检查安全参数设置.
对比设置和系统配置标准是否相符.
2.
2.
5(a)是否删除了所有非必要功能,例如脚本、驱动程序、特性、子系统、文件系统和不必要的网络服务器检查适用于系统组件的安全参数.
(b)已启用的功能是否已记录,且是否支持安全配置审核相关文档.
检查适用于系统组件的安全参数.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第14页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试(c)系统组件是否只适用具有文档记录的功能审核相关文档.
检查适用于系统组件的安全参数.
2.
3是否按照下述要求对非控制台管理访问进行了加密:(a)是否已对所有非控制台管理访问应用强效加密法,且在要求提供管理员密码前已调用强效加密法检查系统组件.
检查系统配置.
查看管理员登录.
(b)系统服务和参数文件是否已配置为阻止使用Telnet和其他不安全的远程登录命令检查系统组件.
检查服务和文件.
(c)是否已采用强效加密法对管理员进入基于web的管理界面的访问权进行加密检查系统组件.
查看管理员登录.
(d)是否已按照行业最优方法和/或供应商建议对所使用的技术实施强效加密检查系统组件.
审核供应商文档.
与工作人员面谈.
2.
4(a)是否已保留PCIDSS范围内的系统组件清单,其中包含软硬件组件列表以及各自的功能/用途描述检查系统清单.
(b)书面清单是否及时更新与工作人员面谈.
2.
5用于管理供应商默认值和其他安全参数的安全政策和操作程序是否:已记录处于使用中为所有相关方了解审核安全政策和操作程序.
与工作人员面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第15页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试2.
6如果您是一名共享托管服务提供商,您的系统是否配置为保护每个实体(您的客户)的托管环境和持卡人数据参见附录A1:有关必须满足的特定要求的《针对共享托管服务提供商的PCIDSS附加要求》.
完成附录A1测试程序.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第16页保护持卡人数据要求3:保护存储的持卡人数据PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试3.
1数据保留和处理政策、程序与流程是否按照下述要求实施:(a)数据存储量和保留时间是否限制在法律、法规和/或业务需求所需的范围内审核数据保留和处理政策、程序.
与工作人员面谈.
(b)是否制定了特定流程来在不再因法律、法规和/或业务原因而需要时安全删除持卡人数据审核相关政策和程序.
与工作人员面谈.
检查删除机制.
(c)是否存在针对持卡人数据的具体保留要求例如因Y业务原因,需将持卡人数据保留X的时间.
审核相关政策和程序.
与工作人员面谈.
检查保留要求.
(d)是否制定了特定流程来按季度查找并安全删除所存储的超过规定保留期限要求的持卡人数据审核相关政策和程序.
与工作人员面谈.
查看删除流程.
(e)是否所有存储的数据均满足数据保留政策中规定的要求检查文件和系统记录.
3.
2(a)对于发卡机构和/或支持发卡服务并存储敏感验证数据的公司,是否具备存储敏感验证数据的业务理由文档记录审核相关政策和程序.
与工作人员面谈.
审核业务理由文档记录.
(b)对于发卡机构和/或支持发卡服务并存储敏感验证数据的公司:数据是否得到保护检查数据存储和系统配置文件.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第17页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试(c)对于其他所有实体:完成授权流程后,是否删除了敏感验证数据或使其不可恢复审核相关政策和程序.
检查系统配置.
检查删除流程.
(d)是否所有系统均已遵循以下有关授权后不存储敏感验证数据(即使已经加密)的要求:3.
2.
1授权后不存储任意磁道上的完整内容(位于卡背面的磁条中、芯片上或其他位置).
此类据也可称为全磁道、磁道、磁道1、磁道2和磁条数据.
注:在正常业务过程中,以下磁条数据元素可能需要保留:持卡人姓名,主帐户(PAN),失效日,以及业务码为将风险降至最低,只存储业务所需的数据元素.
检查数据来源,其中包括:-输入的交易数据-所有日志-存档文件-跟踪文件-数据库架构-数据库内容3.
2.
2授权后不存储卡验证代码或值(印在支付卡正面或背面的三位或四位数值)检查数据来源,其中包括:-输入的交易数据-所有日志-存档文件-跟踪文件-数据库架构-数据库内容适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第18页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试3.
2.
3授权后不存储个人识别码(PIN)或经加密的PIN数据块检查数据来源,其中包括:-输入的交易数据-所有日志-存档文件-跟踪文件-数据库架构-数据库内容3.
3PAN是否在显示时被掩盖(只有前六位和后四位数字可以显示),以便仅有正当业务需要者才能看到除前六位/后四位以外的PAN注:该要求不能取代现行更严格的有关持卡人数据显示的要求,例如法律或支付卡品牌对销售点(POS)收据的要求.
审核相关政策和程序.
审核需要能够查看完整PAN的角色.
检查系统配置.
查看PAN的显示.
3.
4是否已通过采取下列任一方法使所有位置(包括数据储存库、便携式数字媒介、备份媒介和检查日志中)存储的PAN均不可读基于强效加密法的单向散列函数(散列必须要有完整的PAN)截词(不能用散列代替PAN被截词的部分)索引令牌与索引簿(索引簿必须安全地存储)具有相关密钥管理流程和程序的强效加密法.
注:对恶意个人而言,如果能访问被截词和散列的PAN,要重建原始PAN数据是件相当轻松的事.
如果在实体环境中出现同一个PAN的散列版本和截词版本,则须采取额外控制措施,确保散列版本和截词版本不能被相互关联,用于重建原始PAN.
检查供应商文档.
检查数据储存库.
检查可移动媒介.
检查检查日志,包括支付应用程序日志.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第19页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试3.
4.
1如果使用了磁盘加密(而非文件级或列级数据库加密),访问权限管理是否符合下述说明:注:除了所有其他PCIDSS加密和密钥管理要求外,此要求也适用.
(a)对已加密文件系统的逻辑访问是否得到单独管理,并独立于本地操作系统的验证和访问控制机制(例如,不使用本地用户帐户数据库或通用网络登录凭证)检查系统配置.
查看验证流程.
(b)加密密钥是否已安全存储(例如存储在通过严格访问控制提供充分保护的可移动媒介上)查看流程.
与工作人员面谈.
(c)存储在可移动媒介上任何位置的持卡人数据是否均已加密注:如果未使用磁盘加密法对可移动媒介加密,则需通过一些其他方法使存储在该媒介上的数据实现不可读.
检查系统配置.
查看流程.
3.
5是否按照下述要求使用密钥以保护存储的持卡人数据不被泄露和滥用:注:此要求适用于用来为存储的持卡人数据加密的密钥,也适用于用来保护数据加密密钥的密钥加密密钥.
此类密钥加密密钥至少要与数据加密密钥一样强效.
3.
5.
1仅针对服务提供商:所维护的加密架构的记录说明是否包含:用于保护持卡人数据的所有算法、协议和密钥的详情,包括密钥强度和到期日;每个密钥主要用途的说明;用于进行密钥管理的任何HSM和其他SCD的清单与工作人员面谈.
审核相关文档.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第20页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试3.
5.
2是否只有极少数必需的保管人具有密钥访问权限检查用户访问列表.
3.
5.
3是否始终以下面的一种(或多种)形式存储用于加密/解密持卡人数据的机密密钥和私人密钥使用至少与数据加密密钥一样强效且与数据加密密钥分开存储的密钥加密密钥进行加密在安全加密设备(例如,硬件(主机)安全模块(HSM)或PTS批准的交互点设备)内根据行业认可的方法,采用至少两个全长密钥组分或密钥共享.
注:公共密钥不要求以这些形式存储.
审核程序文档记录.
检查系统配置和密钥存储位置(包括加密密钥存储位置).
3.
5.
4是否已尽量减少密钥存储位置检查密钥存储位置.
查看流程.
3.
6(a)是否已针对用于加密持卡人数据的密钥完全记录和实施了所有密钥管理流程和程序审核密钥管理程序.
(b)仅针对服务提供商:如果与客户共享传输或存储持卡人数据的密钥,是否根据下文要求3.
6.
1至3.
6.
8向客户提供了相关文档,其中包含有关安全传输、存储和更新客户密钥的指南审核提供给客户的文档.
(c)是否已按照下述要求实施了密钥管理流程和程序:3.
6.
1密钥程序是否包括生成强效密钥的程序审核密钥管理程序.
查看密钥生成程序.
3.
6.
2密钥程序是否包括密钥安全分配的程序审核密钥管理程序.
查看密钥分配方法.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第21页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试3.
6.
3密钥程序是否包括密钥安全存储的程序审核密钥管理程序.
查看安全存储密钥的方法.
3.
6.
4密钥程序是否包括在密钥周期结束时(例如,指定期限过后和/或给定密钥产生一定量的密文后)根据相关应用程序供应商或密钥所有人的规定并基于行业最优方法和指南(例如,《NIST特别出版物800-57》)变更密钥的程序审核密钥管理程序.
与工作人员面谈.
3.
6.
5(a)密钥程序是否包括在密钥的完整性变弱(例如,知道明文密钥部分的员工离职)时注销或替换(例如,存档、销毁和/或撤销)密钥的程序审核密钥管理程序.
与工作人员面谈.
(b)密钥程序是否包括替换确定或怀疑受到威胁的密钥的程序审核密钥管理程序.
与工作人员面谈.
(c)如果保留了已注销或替换的密钥,这些密钥是否仅用于进行解密/验证,而不再用于加密操作审核密钥管理程序.
与工作人员面谈.
3.
6.
6如果使用手动明文密钥管理操作,密钥程序是否按照下述要求包含密钥的分割知识和双重控制程序:分割知识程序是否要求密钥的组成部分至少由两个人控制,且每个人只知道自己那部分的密钥以及双重控制程序是否要求至少需要两个人执行任何密钥管理操作且他们无法访问对方的验证材料(例如,密码或密钥)注:手动密钥管理操作包括但不限于:密钥生成、传输、加载、存储和销毁.

审核密钥管理程序.
与工作人员面谈和/或.
查看流程.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第22页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试3.
6.
7密钥程序是否包括防止无授权替换密钥的程序审核程序.
与工作人员面谈和/或查看流程.
3.
6.
8密钥保管人是否需要正式确认(以书面或电子形式)理解并接受密钥保管责任审核程序.
审核文档或其他证据.
3.
7用于保护存储的持卡人数据的安全政策和操作程序是否:已记录处于使用中为所有相关方了解审核安全政策和操作程序.
与工作人员面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第23页要求4:加密持卡人数据在开放式公共网络中的传输PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试4.
1(a)是否使用了强效加密法和安全协议来保护经由公开、公共网络传输的敏感持卡人信息.
注:在PCIDSS的范围内,公开、公共的网络包括但不限于,互联网、无线技术(包括802.
11和蓝牙)、蜂窝技术(例如,全球移动通信系统(GSM)、码分多址(CDMA))以及通用分组无线业务(GPRS).
审核书面标准.
审核相关政策和程序.
审核传输或接收CHD的所有地点.
检查系统配置.
(b)是否只接受可信密钥和/或证书查看输入和输出传输.
检查密钥和证书.
(c)实施的安全协议是否仅使用安全配置且不支持非安全版本或配置检查系统配置.
(d)是否已根据所使用的加密方法实施了适当的加密强度(查看供应商建议/最优方法)审核供应商文档.
检查系统配置.
(e)对于TLS的实施,是否在传输或接收持卡人数据时始终启用了TLS例如,对于基于浏览器的实施:"HTTPS"作为浏览器统一记录定位器(URL)协议,且仅当"HTTPS"作为URL的一部分时才需要持卡人数据.
检查系统配置.
4.
1.
1传输持卡人数据或连接到持卡人数据环境的无线网络是否使用了行业最优方法来对验证和传输实施强效加密审核书面标准.
审核无线网络.
检查系统配置设置.
4.
2(a)PAN是否在通过终端用户通讯技术(例如,电子邮件、即时通讯、聊天等)传送的任意时刻均不可读或受强效加密法保护查看流程.
审核输出传输.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第24页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试(b)是否已制定政策来规定不会通过终端用户通讯技术传送不受保护的PAN审核相关政策和程序.
4.
3用于对持卡人数据传输进行加密的安全政策和操作程序是否:已记录处于使用中为所有相关方了解审核安全政策和操作程序.
与工作人员面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第25页维护漏洞管理计划要求5:为所有系统提供恶意软件防护并定期更新杀毒软件或程序PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试5.
1是否在经常受恶意软件影响的所有系统中部署了杀毒软件检查系统配置.
5.
1.
1杀毒程序是否能够检测、删除并阻止所有已知类型的恶意软件(例如,病毒、特洛伊木马、蠕虫病毒、间谍软件、广告软件和rootkit内核型病毒)审核供应商文档.
检查系统配置.
5.
1.
2是否执行了定期评估以确定并评估不断进化的恶意软件威胁,从而确认之前认为通常不受恶意软件影响的系统是否仍然如此与工作人员面谈.
5.
2是否按照下述要求保留了所有杀毒机制:(a)是否及时更新了所有杀毒软件和相关定义检查政策和程序.
检查杀毒配置(包括主体安装).
检查系统组件.
(b)是否已启用且正执行自动更新和定期扫描检查杀毒配置(包括主体安装).
检查系统组件.
(c)是否所有杀毒机制均可生成检查日志且按照PCIDSS要求10.
7保留日志检查杀毒配置.
审核日志保留流程.
5.
3是否所有杀毒机制均:积极运行无法被用户禁用或修改注:只有存在合理的技术需要且根据具体情况经管理人员批准时,才能暂时禁用杀毒解决方案.
如果出于特定目的需要禁用杀毒保护,必须获得正式授权.
杀毒保护禁用期间,可能还需要实施其他安全措施.
检查杀毒配置.
检查系统组件.
查看流程.
与工作人员面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第26页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试5.
4用于保护系统免遭恶意软件损害的安全政策和操作程序是否:已记录处于使用中为所有相关方了解审核安全政策和操作程序.
与工作人员面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第27页要求6:开发并维护安全的系统和应用程序PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试6.
1是否制定了包括以下方面的安全漏洞识别流程:使用可信外源获取安全漏洞信息为安全漏洞指定风险等级,包括对所有"高"风险和"重要"漏洞的识别注:风险等级应以行业最优方法和潜在影响考虑为依据.
例如,漏洞分级标准可能包括对CVSS基础得分的考虑和/或供应商的分类,及/或相关系统的类型.
根据组织的环境和风险评估策略不同,评估漏洞和指定风险等级的方法也不尽相同.
风险等级至少应标识出所有被视为对环境具有"高风险"的漏洞.
除风险等级外,如果安全漏洞即将对环境造成威胁、影响关键系统且/或如果不解决可能会造成潜在危害,则可被视为"重要".
关键系统可能包括安全系统、面向公众的设备和系统、数据库以及其他存储、处理或传输持卡人数据的系统.
审核相关政策和程序.
与工作人员面谈.
查看流程.
6.
2(a)是否已安装供应商提供的适用安全补丁,以确保所有系统组件和软件均杜绝已知漏洞审核相关政策和程序.
(b)是否在发布后一个月内安装了关键的安全补丁注:应按照要求6.
1中规定的风险分级流程标识关键安全补丁.
审核相关政策和程序.
检查系统组件.
对比安装的安全补丁列表和最新的供应商补丁列表是否相符.
6.
3(a)软件开发流程是否以行业标准和/或最优方法为基础审核软件开发流程.
查看流程.
与工作人员面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第28页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试(b)是否已将信息安全纳入软件开发的整个生命周期审核软件开发流程.
查看流程.
与工作人员面谈.
(c)软件应用程序的开发是否符合PCIDSS(例如,安全验证和记录)审核软件开发流程.
查看流程.
与工作人员面谈.
(d)软件开发流程是否确保满足6.
3.
1-6.
3.
2中的下述要求:6.
3.
1是否已在应用程序启动或向客户发布前删除了开发、测试和/或自定义应用程序帐户、用户ID和密码审核软件开发流程.
与工作人员面谈.
6.
3.
2是否已在发布到生产环境或向客户发布前按照下述要求检查了所有自定义代码,以识别任何潜在的编码漏洞(采用人工或自动流程):代码变更是否已由代码原作者以外人员以及熟悉代码审核方法和安全编码实践的人员进行了审核代码审核是否可确保代码的开发符合安全编码指南发布前是否已进行适当修正代码审查结果是否已在发布前由管理人员审核并批准注:这项代码审核要求适用于所有自定义代码(内部代码和面向公众的代码),可作为系统开发生命周期的组成部分.
代码审核可由经验丰富的内部人员或第三方执行.
面向公众的Web应用程序还应受到附加控制措施的约束,以应对实施后不断出现的威胁和漏洞,具体规定请参见PCIDSS要求6.
6.
审核相关政策和程序.
与工作人员面谈.
检查最新变更情况和变更记录.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第29页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试6.
4系统组件的所有变更是否均已遵守包括以下方面的变更控制流程和程序:6.
4.
1(a)开发/测试环境是否独立于生产环境审核变更控制流程和程序.
检查网络文档记录和网络设备配置.
(b)是否设置了访问控制以确保开发/测试环境和生产环境的分离审核变更控制流程和程序.
检查访问控制设置.
6.
4.
2是否对分配到开发/测试环境与生产环境中的人员的职责进行了分离审核变更控制流程和程序.
查看流程.
与工作人员面谈.
6.
4.
3是否未在测试或开发过程中使用生产数据(真实的PAN)审核变更控制流程和程序.
查看流程.
与工作人员面谈.
检查测试数据.
6.
4.
4是否已在系统激活/投入生产前删除了系统组件中的测试数据和帐户审核变更控制流程和程序.
查看流程.
与工作人员面谈.
检查生产系统.
6.
4.
5(a)变更控制程序是否已用文档记录且包括以下方面-影响记录-相关被授权方的变更控制审批记录-功能测试,以确认该变更未对系统安全造成不利影响-取消程序审核变更控制流程和程序.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第30页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试(b)是否已针对所有变更执行和记录了以下项:6.
4.
5.
1影响记录跟踪变更控制文档的变更情况.
检查变更控制文档.
6.
4.
5.
2相关被授权方的变更控制审批记录跟踪变更控制文档的变更情况.
检查变更控制文档.
6.
4.
5.
3(a)功能测试,以确认该变更未对系统安全性造成不利影响跟踪变更控制文档的变更情况.
检查变更控制文档.
(b)对于自定义代码变更,确认在将其部署到生产环境前,所有更新均经过测试符合PCIDSS要求6.
5跟踪变更控制文档的变更情况.
检查变更控制文档.
6.
4.
5.
4取消程序跟踪变更控制文档的变更情况.
检查变更控制文档.
6.
4.
6完成重要变更后,是否对所有新的或已更改的系统及网络实施了相关的PCIDSS要求,并在适当情况下更新了文档跟踪变更控制文档的变更情况.
检查变更控制文档.
与工作人员面谈.
查看受影响的系统或网络.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第31页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试6.
5(a)软件开发过程中能否修复常见编码漏洞审核软件开发政策和程序.
(b)每年是否至少对开发人员进行一次最新安全编码技术(包括如何避免常见编码漏洞)方面的培训检查软件开发政策和程序.
检查培训记录.
(c)是否根据安全编码指南开发应用程序以保护其不受以下漏洞危害:注:在本版本PCIDSS发布时,已采用行业最优方法将6.
5.
1到6.
5.
10中列举的漏洞保持为最新.
但当有关漏洞管理的行业最优方法(例如开放式Web应用程序安全项目(OWASP)指南、前25大高危软件错误、CERT安全编码等)出现更新时,这些要求必须采用当下最新的最优方法.
6.
5.
1编码技术能否解决注入攻击(尤其是SQL注入)注:同时还须考虑OS命令注入、LDAP、XPath等其他注入攻击.
检查软件开发政策和程序.
与负责人面谈.
6.
5.
2编码技术能否解决缓冲区溢出漏洞检查软件开发政策和程序.
与负责人面谈.
6.
5.
3编码技术能否解决非安全加密存储检查软件开发政策和程序.
与负责人面谈.
6.
5.
4编码技术能否解决非安全通信检查软件开发政策和程序.
与负责人面谈.
6.
5.
5编码技术能否解决不正确的错误处理检查软件开发政策和程序.
与负责人面谈.
6.
5.
6编码技术能否解决漏洞识别流程中确认的所有"高风险"漏洞(具体规定请参见PCIDSS要求6.
1)检查软件开发政策和程序.
与负责人面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第32页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试对于基于web的应用程序和应用程序接口(内部或外部),是否根据安全编码指南开发应用程序以保护其不受以下其他漏洞危害:6.
5.
7编码技术能否解决跨站点脚本(XSS)漏洞检查软件开发政策和程序.
与负责人面谈.
6.
5.
8编码技术能否解决不正确的访问控制(例如不安全的直接对象引用、未能限制URL访问和目录遍历以及未能限制用户的功能访问)检查软件开发政策和程序.
与负责人面谈.
6.
5.
9编码技术能否解决跨站请求伪造(CSRF)检查软件开发政策和程序.
与负责人面谈.
6.
5.
10编码技术能否解决失效的验证和会话管理检查软件开发政策和程序.
与负责人面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第33页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试6.
6对于面向公众的web应用程序,是否已不断解决新的威胁和漏洞,并通过以下任一方法确保这些应用程序不会受到已知攻击按照下述要求利用手动或自动应用程序漏洞安全评估工具或方法审核面向公众的web应用程序:-至少每年执行一次-在任意变更之后-由专注于应用程序安全的组织进行-至少要求6.
5中的所有漏洞均包含在评估中-所有漏洞均已修复-修复漏洞后重新评估应用程序注:本评估与要求11.
2中规定执行的漏洞扫描不同.
–或者–安装如下所述的可检测并预防基于Web的攻击的自动化技术解决方案(例如,Web应用程序防火墙):-位于面向公众的web应用程序之前,用以检查并防范网页式攻击.
-积极运行且为最新(若适用).
-可生成检查日志.
-配置为阻止网页式攻击,或生成需立即调查的警报.
审核流程文档记录.
与工作人员面谈.
检查应用程序安全评估记录.
检查系统配置设置.
6.
7用于开发和维护安全系统和应用程序的安全政策和操作程序是否:已记录处于使用中为所有相关方了解审核安全政策和操作程序.
与工作人员面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第34页实施强效访问控制措施要求7:按业务知情需要限制对持卡人数据的访问PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试7.
1是否如下所述只有具有相应工作需要的个人才能访问系统组件和持卡人数据:是否制定了针对访问控制的书面政策且其中包含以下方面-为每个角色定义访问需要和权限分配-将特权用户ID的访问权限限制为执行工作所需的最小权限,-基于个人的工作分类和职能分配访问权限-被授权方对所有访问的审批记录(电子或书面形式),包括获批的特定权限列表检查书面访问控制政策.
7.
1.
1是否为每个角色定义了访问需要,包括:每个角色依据工作职能需要访问的系统组件和数据资源访问资源所需的权限级别(例如用户、管理员等)检查角色和访问需求.
7.
1.
2是否按照下述要求对特权用户ID的访问权限进行了限制:限制为执行工作所需的最小权限只分配给明确需要此类特权访问的角色与工作人员面谈.
与管理人员面谈.
审核特权用户ID.
7.
1.
3是否基于个人的工作分类和职能分配了访问权限与管理人员面谈.
审核用户ID.
7.
1.
4是否需要由指定所需权限的被授权方作出书面批准审核用户ID.
与书面批准进行对比.
对比分配的权限与书面批准是否相符.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第35页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试7.
2是否按照下述要求为系统组件建立了访问控制系统,以根据用户的知情需要限制访问,并将系统设为"全部拒绝"(特别允许访问时除外):7.
2.
1是否为所有系统组件建立了访问控制系统审核供应商文档.
检查配置设置.
7.
2.
2访问控制系统是否配置为基于工作分类和职能执行个人权限分配审核供应商文档.
检查配置设置.
7.
2.
3访问控制系统是否默认设为"全部拒绝"审核供应商文档.
检查配置设置.
7.
3用于限制对持卡人数据的访问的安全政策和操作程序是否:已记录处于使用中为所有相关方了解检查安全政策和操作程序.
与工作人员面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第36页要求8:识别并验证对系统组件的访问PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试8.
1是否按照下述要求针对所有系统组件中的非消费者用户和管理员规定并实施了用户识别管理控制政策和程序:8.
1.
1在允许任何用户访问系统组件或持卡人数据前,是否为他们分配了唯一的用户ID审核密码程序.
与工作人员面谈.
8.
1.
2是否已对用户ID、凭证和其他标识符对象的添加、删除和修改进行控制,以便只有授权人员(包括具有指定权限)才能执行用户ID操作审核密码程序.
检查特权和普通用户ID以及相关授权.
查看系统设置.
8.
1.
3是否已立即撤销或删除任何到期用户的访问权限审核密码程序.
检查到期用户帐户.
审核当前访问权限列表.
查看已退回的物理验证设备.
8.
1.
4是否在90天内删除或禁用了无活动的用户帐户审核密码程序.
查看用户帐户.
8.
1.
5(a)是否仅在需要的时间段启用并在不用时禁用第三方用于通过远程访问来访问、支持或维护系统组件的帐户审核密码程序.
与工作人员面谈.
查看流程.
(b)是否对处于使用中的第三方远程访问帐户进行了监控与工作人员面谈.
查看流程.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第37页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试8.
1.
6(a)是否通过在不超过6次尝试后锁定用户ID以限制反复访问尝试审核密码程序.
检查系统配置设置.
(b)仅针对服务提供商:是否会在不超过六次无效访问尝试后暂时锁定非消费者客户密码审核相关政策和程序.
审核相关文档.
查看流程.
8.
1.
7是否将用户帐户的锁定时间设为最少30分钟或直到管理员启用该用户ID审核密码程序.
检查系统配置设置.
8.
1.
8如果会话空闲时间超过15分钟,用户是否需要重新验证(例如,重新输入密码)或者重新激活终端或会话审核密码程序.
检查系统配置设置.
8.
2除了分配唯一ID以外,是否采用以下一种或多种方法来验证所有用户所知,如密码或口令等所有,如令牌设备或智能卡等个人特征,如生物特征审核密码程序.
查看验证流程.
8.
2.
1(a)是否使用了强效加密法以使所有验证凭证(例如密码/口令)在所有系统组件中传输和存储时均不可读审核密码程序.
审核供应商文档.
检查系统配置设置.
查看密码文件.
查看数据传输.
(b)仅针对服务提供商:是否使用了强效加密法以使所有非消费者客户的验证凭证(例如密码/口令)在所有系统组件中传输和存储时均不可读查看密码文件.
查看数据传输.
8.
2.
2是否在修改任何验证凭证(例如,执行密码重置、提供新令牌或生成新密钥)前验证了用户身份审核验证程序.
查看工作人员.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第38页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试8.
2.
3(a)用户密码参数是否配置为要求密码/口令满足以下要求-密码长度至少为七个字符-同时包含数字和字母字符或者,密码/口令必须具有至少与上面指定参数相当的复杂度和强度.
检查系统配置设置以验证密码参数.
(b)仅针对服务提供商:非消费者客户密码是否必须满足以下长度下限和复杂性要求-密码长度至少为七个字符-同时包含数字和字母字符审核客户/用户文档记录.
查看内部流程.
8.
2.
4(a)是否至少每90天变更一次用户密码/口令审核密码程序.
检查系统配置设置.
(b)仅针对服务提供商:是否要求定期变更非消费者客户密码,以及是否向非消费者客户提供了有关必须变更密码的情况的指南.
审核客户/用户文档记录.
查看内部流程.
8.
2.
5(a)个人提交的新密码/口令是否不得与最近所用的4个密码/口令相同审核密码程序.
系统组件采样.
检查系统配置设置.
(b)仅针对服务提供商:是否要求新的非消费者客户密码不得与最近所用的4个密码相同审核客户/用户文档记录.
查看内部流程.
8.
2.
6是否将每个用户的首次使用密码/口令和重置密码/口令设为唯一值,并要求每个用户在首次使用后立即变更审核密码程序.
检查系统配置设置.
查看安全人员.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第39页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试8.
3是否使用如下所述的多因素验证保护对CDE的所有单独非控制台管理访问和所有远程访问:注:多因素验证要求在验证过程中至少使用三种验证方法中的其中两种(有关验证方法的说明,请参见PCIDSS要求8.
2).
使用一个因素两次(例如,使用两个不同的密码)不视为多因素验证.
8.
3.
1是否针对所有非控制台访问在针对具有管理访问权限的工作人员的CDE中加入了多因素验证检查系统配置.
查看登录CDE的管理员.
8.
3.
2是否针对来自该实体网络外部的所有远程网络访问(针对用户和管理员,并包括出于支持或维护目的的第三方访问)加入了多因素验证检查系统配置.
查看远程连接工作人员.
8.
4(a)是否已为所有用户记录并向其传达了验证政策和程序审核相关政策和程序.
审核分配方法.
与工作人员面谈.
与用户面谈.
(b)验证政策和程序是否包含以下方面-选择强效验证凭证的指南-关于用户应如何保护其验证凭证的指南-关于不重用之前用过的密码的说明-关于用户如怀疑密码可能暴露则应修改密码的说明审核相关政策和程序.
审核提供给用户的文档.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第40页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试8.
5是否按照下述要求禁用了群组、共享或常规帐户、密码或其他验证方法:禁用或删除了常规用户ID;用于系统管理活动和其他重要功能的共享用户ID不存在;以及不使用共享和常规用户ID管理任何系统组件审核相关政策和程序.
检查用户ID列表.
与工作人员面谈.
8.
5.
1仅针对服务提供商:可远程访问客户所在地(例如为支持POS系统或服务器)的服务提供商是否针对每位客户使用了唯一验证凭证(例如密码/口令)注:本要求不适用于访问其本身托管环境(托管多个客户环境)的共享托管服务提供商.
审核相关政策和程序.
与工作人员面谈.
8.
6在使用其他验证机制(例如物理或逻辑安全令牌、智能卡、证书等)的情形下,是否按照下述要求分配了这些机制的用法验证机制必须分配到单个帐户,不得在多个帐户之间共享必须要有物理和/或逻辑控制,以确保仅既定帐户可使用该机制获得权限审核相关政策和程序.
与工作人员面谈.
检查系统配置设置和/或物理控制.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第41页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试8.
7是否按照下述要求限制了对任何包含持卡人数据的数据库的所有访问(包括应用程序、管理员和其他所有用户的访问):(a)用户对数据库的所有访问、查询和操作(例如,移动、复制、删除)是否都只能通过编程方法(例如,通过存储的程序)完成审核数据库验证政策和程序.
检查数据库和应用程序配置设置.
(b)是否只有数据库管理员拥有用户直接访问或查询数据库的权限审核数据库验证政策和程序.
检查数据库访问控制设置.
检查数据库应用程序配置设置.
(c)应用程序ID是否仅可由这些应用程序使用(个人用户或其他流程不能使用)审核数据库验证政策和程序.
检查数据库访问控制设置.
检查数据库应用程序配置设置.
8.
8用于识别和验证的安全政策和操作程序是否:已记录处于使用中为所有相关方了解检查安全政策和操作程序.
与工作人员面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第42页要求9:限制对持卡人数据的物理访问PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试9.
1是否实施了适当的场所入口控制,以对物理访问持卡人数据环境中的系统进行限制和监控查看物理访问控制.
查看工作人员.
9.
1.
1(a)是否已使用摄像头和/或访问控制机制监控对敏感区域的个人物理访问注:"敏感区域"指任何数据中心、服务器室或任何存储、处理或传输持卡人数据的系统所在区域.
这不包括仅有销售点终端的公共区域,例如零售店的收银区.
审核相关政策和程序.
查看物理监控机制.
查看安全功能.
(b)摄像头和/或访问控制机制是否受到安全保护以免遭到破坏或禁用查看流程.
与工作人员面谈.
(c)通过摄像头和/或访问控制机制采集的数据是否经过核查并与其他条目关联审核相关政策和程序.
与安全人员面谈.
(d)通过摄像头和/或访问控制机制采集的数据是否至少存储了三个月(除非法律另有规定)审核数据保留流程.
查看数据存储.
与安全人员面谈.
9.
1.
2是否已实施物理和/或逻辑控制,以限制对公共网络插座交换机的访问例如,位于公共区域和访客可进入区域的网络插座交换机可能被禁用,并且仅在明确授权进行网络访问时才能启用.
或者,也可以实施相应流程,以确保访客处在网络插座交换机正在运行的区域时始终有人陪同.
审核相关政策和程序.
与工作人员面谈.
查看位置.
9.
1.
3对无线接入点、网关、手持式设备、网络/通信硬件和电信线路的物理访问是否受到限制审核相关政策和程序.
与工作人员面谈.
查看设备.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第43页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试9.
2(a)是否制定了相关程序以轻松识别现场工作人员和访客,包括:-识别现场工作人员或访客(例如发放工卡),-修改访问要求,以及-废除已离职现场工作人员和过期访客的身份证件(例如工卡)在要求9中,"现场工作人员"指出现在实体经营场所的全职和兼职员工、临时工、承包商和顾问.
"访客"指供应商、任何现场工作人员的客人、服务工人,或任何需要短时进入经营场所的人员,停留时间通常不超过一天.
审核相关政策和程序.
与工作人员面谈.
查看识别方法(例如工卡).
查看访客流程.
(b)身份识别方法(例如工卡)能否清楚地识别访客并轻松区分现场工作人员和访客查看识别方法.
(c)是否只有授权人员拥有工卡系统的访问权限查看针对工卡系统的物理控制和访问控制.
9.
3是否按照下述要求对现场工作人员物理访问敏感区域进行了控制:访问权限是否经过授权且基于个人的工作职能是否在相关人员离职后立即撤销其访问权限是否在相关人员离职后退回或禁用所有物理访问机制(例如钥匙、访问卡等)与工作人员面谈.
检查访问控制列表.
查看现场工作人员.
对比离职人员名单和访问控制列表.
9.
4是否按照下述要求处理访客识别和访问权限:9.
4.
1访客在进入处理或维护持卡人数据的区域前是否需要获得批准且在进入后是否始终有人陪同审核相关政策和程序.
查看访客流程(包括访问控制方式).
与工作人员面谈.
查看访客和工卡使用情况.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第44页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试9.
4.
2(a)是否识别了访客并给访客发放了工卡或能识别访客为非现场工作人员的其他身份证件查看工作人员和访客的工卡使用情况.
检查识别情况.
(b)访客工卡或其他身份证件是否已到期查看流程.
检查识别情况.
9.
4.
3是否要求访客在离开场所或证件到期时交还工卡或其他身份证件查看流程.
查看离开场所的访客.
9.
4.
4(a)是否正在使用访客日志记录对经营场所以及存储或传输持卡人数据的计算机房和数据中心的物理访问审核相关政策和程序.
检查访客日志.
查看访客流程.
检查日志保留情况.
(b)访客日志中是否包含访客的姓名、代表的公司以及批准物理访问的现场工作人员姓名审核相关政策和程序.
检查访客日志.
(c)访客日志是否至少保留了三个月审核相关政策和程序.
检查访客日志保留情况.
9.
5是否已采取措施来保护所有媒介实体安全(包括但不限于计算机、可移动电子媒介、纸质收据、纸质报告和传真)在要求9中,"媒介"指所有包含持卡人数据的纸质和电子媒介.
审核用于保护媒介实体安全的政策和程序.
与工作人员面谈.
9.
5.
1是否至少每年审查一次存储媒体备份的位置,以确认存储的安全性审核针对检查非现场媒介位置的政策和程序.
与安全人员面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第45页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试9.
6(a)是否严格控制任何媒介的内部或外部分发审核针对媒介分发的政策和程序.
(b)相关控制是否包含以下方面:9.
6.
1是否已对媒介进行分类以便确定数据的敏感性审核针对媒介分类的政策和程序.
与安全人员面谈.
9.
6.
2媒介是否通过可靠的快递公司或可准确跟踪的其他投递方法发出与工作人员面谈.
检查媒介分发跟踪日志和文档.
9.
6.
3转移媒介时(尤其是将媒介分发给个人时)是否经过管理层的批准与工作人员面谈.
检查媒介分发跟踪日志和文档.
9.
7是否严格控制对媒介的存储和获取审核相关政策和程序.
9.
7.
1(a)是否适当维护了所有媒介的盘存记录检查盘存记录.
(b)是否定期盘点媒介(至少每年一次)检查盘存记录.
与工作人员面谈.
9.
8(a)是否销毁了因业务或法律原因而不再需要的所有媒介审核媒介定期销毁政策和程序.
(b)是否制定了包含下述要求的媒介定期销毁政策-硬拷贝材料必须粉碎、焚烧或打浆,以合理保证这些硬拷贝材料无法重建.
-用于存放待销毁材料的容器必须安全.
-须使电子媒介上的持卡人数据不可恢复(例如,通过符合行业认可的安全删除标准的安全擦除程序,或者通过销毁媒介实体来实现).
审核媒介定期销毁政策和程序.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第46页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试(c)是否按照下述要求销毁媒介:9.
8.
1(a)硬拷贝材料是否已被粉碎、焚烧或打浆以确保无法重建持卡人数据与工作人员面谈.
检查程序.
查看流程.
(b)是否已确保待销毁材料所用存储容器的安全性以免他人访问相关内容检查存储容器的安全性.
9.
8.
2电子媒介上的持卡人数据是否呈现不可恢复状态(例如,通过符合行业认可的安全删除标准的安全擦除程序,或者通过销毁媒介实体来实现),以确保无法重建持卡人数据查看流程.
与工作人员面谈.
9.
9是否已按照下述要求保护通过直接接触卡本身便可捕获支付卡数据的设备以免其被篡改和替换注:此要求适用于销售点实卡交易(即刷卡)中使用的读卡设备.
本要求不适用于手动密钥输入组件,如计算机键盘和POS机键盘.
(a)相关政策和程序是否要求维护此类设备列表审核相关政策和程序.
(b)相关政策和程序是否要求定期检查设备以查找篡改或替换迹象审核相关政策和程序.
(c)相关政策和程序是否要求培训工作人员,以确保其了解可疑行为和举报篡改或替换设备行为审核相关政策和程序.
9.
9.
1(a)设备列表是否包含以下方面-设备的外形、型号-设备位置(例如安放设备的现场或设施的地址)-设备的序列号或其他独特验证方法检查设备列表.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第47页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试(b)该列表是否准确且已及时更新查看设备及设备位置,并与该列表进行对比.
(c)设备列表是否随着设备的新增、更换位置、停用等进行更新与工作人员面谈.
9.
9.
2(a)是否按照下述要求定期检查设备表面,以查找篡改(例如为设备增加读卡器)或替换(例如通过检查序列号或其他设备特征确认其未被欺诈性设备调换)迹象注:设备可能被篡改或替换的迹象包括:不明或有线缆连接到设备,安全标签丢失或改变,外壳破损或颜色不同,序列号或其他外部标记改变.
与工作人员面谈.
查看检查流程并与规定的流程进行对比.
(b)工作人员是否了解设备的检查程序与工作人员面谈.
9.
9.
3是否已按照下述要求培训工作人员,使其了解尝试篡改或替换设备的行为(a)针对销售点所在地工作人员的培训材料是否包含以下方面-在允许对设备进行调整或修理之前,验证任何自称修理或维护人员的第三方人员的身份.
-在未经验证的情况下,不要安装、替换或退还设备.
-注意设备周围的可疑行为(例如,陌生人尝试拔掉设备插头或打开设备).
-向相关人员(例如,经理或安全人员)报告篡改或替换设备的可疑行为和迹象.
审核培训材料.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第48页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试9.
9.
3(续)(b)是否已培训销售点所在地的工作人员,使其了解用于检测和报告尝试篡改或替换设备行为的程序与POS所在地的工作人员面谈.
9.
10用于限制对持卡人数据的物理访问的安全政策和操作程序是否:已记录处于使用中为所有相关方了解检查安全政策和操作程序.
与工作人员面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第49页定期监控并测试网络要求10:跟踪并监控对网络资源和持卡人数据的所有访问PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试10.
1(a)系统组件的检查记录是否已启用且处于活动状态查看流程.
与系统管理员面谈.
(b)对系统组件的访问是否已链接到个人用户查看流程.
与系统管理员面谈.
10.
2是否对所有系统组件实施了自动检查记录以重建以下事件:10.
2.
1对持卡人数据的所有个人用户访问与工作人员面谈.
查看检查日志.
检查检查日志设置.
10.
2.
2任何具有root或管理员权限的个人执行的所有操作与工作人员面谈.
查看检查日志.
检查检查日志设置.
10.
2.
3对所有检查记录的访问与工作人员面谈.
查看检查日志.
检查检查日志设置.
10.
2.
4无效的逻辑访问尝试与工作人员面谈.
查看检查日志.
检查检查日志设置.
10.
2.
5识别和验证机制的使用和变更(包括但不限于新建帐户和提升权限)以及具有root或管理员权限帐户的所有变更、添加或删除与工作人员面谈.
查看检查日志.
检查检查日志设置.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第50页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试10.
2.
6检查日志的初始化、关闭或暂停与工作人员面谈.
查看检查日志.
检查检查日志设置.
10.
2.
7系统级对象的创建和删除与工作人员面谈.
查看检查日志.
检查检查日志设置.
10.
3是否已针对每次事件记录所有系统组件的以下检查记录条目:10.
3.
1用户识别与工作人员面谈.
查看检查日志.
检查检查日志设置.
10.
3.
2事件类型与工作人员面谈.
查看检查日志.
检查检查日志设置.
10.
3.
3日期和时间与工作人员面谈.
查看检查日志.
检查检查日志设置.
10.
3.
4成功或失败指示与工作人员面谈.
查看检查日志.
检查检查日志设置.
10.
3.
5事件的起因与工作人员面谈.
查看检查日志.
检查检查日志设置.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第51页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试10.
3.
6受影响的数据、系统组件或资源的特性或名称与工作人员面谈.
查看检查日志.
检查检查日志设置.
10.
4是否已使用最新的时间同步技术来同步所有关键系统的时钟和时间注:网络时间协议(NTP)便是一种时间同步技术.
审核时间配置标准和流程.
10.
4.
1是否实施了以下流程以确保关键系统的时间正确且一致:(a)是否只有指定的中央时间服务器能接收外来的时间信号,且外来的时间信号以国际原子时或UTC为基础审核时间配置标准和流程.
检查与时间相关的系统参数.
(b)当存在多个指定时间服务器时,这些时间服务器是否会相互同步以保持时间准确审核时间配置标准和流程.
检查与时间相关的系统参数.
(c)系统是否只会接收来自指定中央时间服务器的时间信息审核时间配置标准和流程.
检查与时间相关的系统参数.
10.
4.
2是否按照下述要求保护时间数据:(a)是否只有具有相应业务需要的人员才能访问时间数据检查系统配置和时间同步设置.
(b)是否已记录、监控并审核关键系统中时间设置的任何变更检查系统配置和时间同步设置及记录.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第52页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试10.
4.
3时间设置是否来自行业认可的特定时间来源(这是为了防止恶意个人更改时钟.
)可选择性地使用对称密钥加密此类更新,并创建访问控制列表指定客户端计算机(会接收时间更新)的IP地址(以防止内部时间服务器的非授权使用).
检查系统配置.
10.
5是否已按下述要求保护检查记录以防被更改:10.
5.
1是否只允许有工作需要的人查看检查日志与系统管理员面谈.
检查系统配置和许可.
10.
5.
2是否已通过访问控制机制、物理隔离和/或网络隔离保护检查记录文件免遭非授权修改与系统管理员面谈.
检查系统配置和许可.
10.
5.
3是否已即时将检查记录文件备份到难以更改的中央日志服务器或媒介中与系统管理员面谈.
检查系统配置和许可.
10.
5.
4是否已将向外技术的日志写入安全的内部中央日志服务器或媒介中与系统管理员面谈.
检查系统配置和许可.
10.
5.
5是否已对日志使用文件完整性监控或变更检测软件,以确保未生成警报时无法变更现有日志数据(虽然新增数据不应生成警报)检查设置、受监控文件和监控活动结果.
10.
6是否已按照下述要求审核所有系统组件的日志和安全事件以识别异常情况或可疑活动注:可使用日志搜集、分析和告警工具来满足要求10.
6.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第53页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试10.
6.
1(a)是否手动或通过日志工具制定了书面政策和程序,以至少每天审核一次以下内容-所有安全事件-存储、处理或传输CHD和/或SAD的所有系统组件的日志-所有关键系统组件的日志-执行安全功能的所有服务器和系统组件(例如,防火墙、入侵检测系统/入侵防御系统(IDS/IPS)、验证服务器、电子商务重定向服务器等)的日志审核安全政策和程序.
(b)是否至少每天审核一次上述日志和安全事件查看流程.
与工作人员面谈.
10.
6.
2(a)是否手动或通过日志工具制定了书面政策和程序,以根据组织的政策和风险管理策略定期审核所有其他系统组件的日志审核安全政策和程序.
(b)是否已根据组织的政策和风险管理策略审核所有其他系统组件审核风险评估文档.
与工作人员面谈.
10.
6.
3(a)是否制定了书面政策和程序,以跟进审核过程中所发现的例外和异常情况审核安全政策和程序.
(b)是否已跟进例外和异常情况查看流程.
与工作人员面谈.
10.
7(a)是否制定了检查日志政策和程序并要求保留检查记录至少一年,且其中最少3个月的记录可立即访问以供分析(例如,在线、存档或可从备份恢复)审核安全政策和程序.
(b)检查记录是否保留了至少一年与工作人员面谈.
检查检查日志.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第54页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试(c)是否有最少3个月的记录可立即访问以供分析与工作人员面谈.
查看流程.
10.
8仅针对服务提供商:是否按照下述要求实施流程,以便及时检测和报告关键安全控制系统故障:(a)是否实施流程,以便及时检测和报告关键安全控制系统故障,包括但不限于以下方面故障:-防火墙-IDS/IPS-FIM-杀毒-物理访问控制-逻辑访问控制-检查日志机制-分段控制(如使用)审核相关政策和程序.
(b)关键安全控制故障是否会导致生成警报查看流程.
与工作人员面谈.
10.
8.
1仅针对服务提供商:是否按照下述要求及时响应了任何关键安全控制故障:适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第55页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试(a)是否定义并实施了响应关键安全控制故障的流程,其中包括:-恢复安全功能-识别并记录安全故障持续时间(日期以及从开始到结束的时间)-识别并记录故障原因(包括根本原因),并记录解决根本原因所需的补救措施-识别并解决故障期间引发的任何安全问题-实施控制,以防故障原因再次发生-恢复安全控制监控审核相关政策和程序.
与工作人员面谈.
(b)是否记录了关键安全控制中的故障,其中包括:-识别故障原因(包括根本原因)-安全故障的持续时间(日期以及从开始到结束的时间)-解决根本原因所需补救措施的详情检查安全控制故障记录.
10.
9用于监控所有网络资源和持卡人数据访问的安全政策和操作程序是否:已记录处于使用中为所有相关方了解审核安全政策和操作程序.
与工作人员面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第56页要求11:定期测试安全系统和流程PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试11.
1(a)是否已实施了流程以按季度检测和识别所有授权和非授权的无线接入点注:可用于该流程的方法包括但不限于无线网络扫描、系统组件和基础架构的物理/逻辑检查、网络访问控制(NAC)或无线IDS/IPS.
无论使用何种方法,都必须足以检测并识别任何非授权设备.
审核相关政策和程序.
(b)所用方法是否能够检测并识别任何非授权无线接入点(其中至少包括以下项)-插入系统组件中的WLAN卡;-连接到系统组件以创建无线接入点(例如通过USB等)的便携或移动设备;以及-连接到网络端口或网络设备的无线设备.
评估该方法.
(c)如果使用无线扫描来识别授权和非授权无线访问点,是否至少每季度扫描一次所有系统组件和设施检查最近的无线扫描结果.
(d)如果采用自动监控(例如无线IDS/IPS、NAC等),是否配置为会发出警报来通知工作人员检查配置设置.
11.
1.
1是否已保留一份授权无线接入点清单,且所有授权无线接入点均具有业务理由记录检查清单记录.
11.
1.
2(a)是否制定了事故响应计划,且其中要求在检测到非授权无线接入点时需做出响应检查事故响应计划(参见要求12.
10).
(b)是否已在发现非授权无线接入点时采取措施与负责人面谈.
检查最近的无线扫描和相关响应.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第57页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试11.
2是否按照下述要求至少每个季度运行一次内部和外部网络漏洞扫描,并在网络发生任何重大变化(例如安装新的系统组件、更改网络拓朴、修改防火墙规则、产品升级)时也运行漏洞扫描:注:可在季度扫描流程中综合多次扫描报告,以表明所有系统均已扫描,且所有漏洞均已解决.
可能需要其他文档记录来确认解决过程中有未修复的漏洞.
如果评估商确认1)最近的扫描结果为通过,2)实体具备要求每季度扫描一次的书面政策和程序,3)扫描结果中指出的漏洞在重新扫描中显示为已修复,则不要求四次季度扫描均通过才能认定最初PCIDSS合规.
在最初PCIDSS审核后的几年里,必须出现四次季度扫描结果均为通过的情况.
11.
2.
1(a)是否每个季度运行了一次内部漏洞扫描审核扫描报告.
(b)每季度一次的内部扫描流程能否解决所有"高风险"漏洞,并包含重新扫描,以确认所有"高风险"漏洞(见PCIDSS要求6.
1中的定义)均得到解决审核扫描报告.
11.
2.
1(续)(c)每季度一次的内部扫描是否由合格的内部人员或合格的外部第三方执行,且(如果适用)确保测试者的组织独立性(不要求是QSA或ASV)与工作人员面谈.
11.
2.
2(a)是否每个季度运行了一次外部漏洞扫描注:季度外部漏洞扫描必须由支付卡行业安全标准委员会(PCISSC)认证的授权扫描服务商(ASV)执行.
如需了解扫描客户的责任、扫描准备等,请参阅PCISSC网站上发布的《ASV计划指南》.
审核最近四个季度的外部漏洞扫描结果.
(b)每个季度的外部扫描和重复扫描结果是否符合ASV计划指南对扫描通过的要求(例如不存在CVSS评级为4.
0或以上的漏洞或无自动故障)审核每个季度的外部扫描和重复扫描结果.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第58页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试(c)季度外部漏洞扫描是否由PCISSC认证的授权扫描服务商(ASV)执行审核每个季度的外部扫描和重复扫描结果.
11.
2.
3(a)是否在发生任何重要变更后执行内部和外部扫描,并视需要执行重复扫描注:必须由合格人员执行扫描.
检查并关联变更控制文档和扫描报告.
(b)扫描流程是否包括重复扫描,直至:-外部扫描不存在CVSS评级为4.
0或以上的漏洞,-内部扫描获得扫描通过,或PCIDSS要求6.
1中定义的所有"高风险"漏洞均得以解决审核扫描报告.
(c)扫描是否由合格的内部人员或合格的外部第三方执行,且(如果适用)确保测试者的组织独立性(不要求是QSA或ASV)与工作人员面谈.
11.
3穿透测试法是否包括以下方面以行业认可的穿透测试法为基础(例如NISTSP800-115)覆盖整个CDE环境和关键系统来自网络内部和外部的测试用于验证任何网段和范围缩小控制的测试定义应用层穿透测试,至少包括要求6.
5中列出的漏洞定义网络层穿透测试,包括支持网络功能和操作系统的组件审核并考虑过去12个月内遇到的威胁和漏洞指明保留穿透测试结果和修复活动结果检查穿透测试法.
与负责人面谈.
11.
3.
1(a)是否每年至少按照规定的方法执行一次外部穿透测试,并在环境发生任何重大的基础架构或应用程序变更时(例如操作系统升级、环境新增子网络或环境新增网络服务器)也执行该测试检查工作范围.
检查最近一次外部穿透测试的结果.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第59页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试(b)测试是否由合格的内部人员或合格的外部第三方执行,且(如果适用)确保测试者的组织独立性(不要求是QSA或ASV)与负责人面谈.
11.
3.
2(a)是否每年至少按照规定的方法执行一次内部穿透测试,并在环境发生任何重大的基础架构或应用程序变更时(例如操作系统升级、环境新增子网络或环境新增网络服务器)也执行该测试检查工作范围.
检查最近一次内部穿透测试的结果.
(b)测试是否由合格的内部人员或合格的外部第三方执行,且(如果适用)确保测试者的组织独立性(不要求是QSA或ASV)与负责人面谈.
11.
3.
3在穿透测试中发现的可利用漏洞是否已得到修复,且已通过重复执行的测试确认修复检查穿透测试结果.
11.
3.
4如果利用网络分段将CDE与其他网络隔离:(a)是否已规定用于测试所有分段方法的穿透测试程序以确认其行之有效,并已将所有范围外系统与CDE内的系统隔离检查分段控制.
审核穿透测试法.
(b)用于验证分段控制的穿透测试是否满足下述要求-至少每年执行一次,且在分段控制/方法发生任何变更后也执行.
-覆盖使用中的所有分段控制/方法.
-确认分段方法行之有效并隔离所有范围外系统与CDE内的系统.
检查最近一次穿透测试的结果.
(c)测试是否由合格的内部人员或合格的外部第三方执行,且(如果适用)确保测试者的组织独立性(不要求是QSA或ASV)与负责人面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第60页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试11.
3.
4.
1仅针对服务提供商:如果采用分段方法:(a)是否通过至少每半年对分段控制进行一次穿透测试,以及在对分段控制/方法进行任何变更后进行穿透测试来确认PCIDSS的范围检查分段控制穿透测试的结果.
(b)穿透测试是否涵盖了正在使用的所有分段控制/方法检查分段控制穿透测试的结果.
(c)分段测试是否确认分段控制/方法行之有效,并隔离了所有范围外系统与CDE内的系统检查分段控制穿透测试的结果.
(d)测试是否由合格的内部人员或合格的外部第三方执行,且(如果适用)确保测试者的组织独立性(不要求是QSA或ASV)与负责人面谈.
11.
4(a)是否已采用用于检测和/或防御网络入侵的入侵检测和/或入侵防御技术以监控所有流量:-持卡人数据环境周围,和-持卡人数据环境中的关键点.
检查系统配置.
检查网络图.
(b)入侵检测和/或入侵防御技术是否配置为会在发现可疑威胁时向工作人员发出警报检查系统配置.
与负责人面谈.
(c)是否已及时更新所有入侵检测和防御引擎、基线和签名检查IDS/IPS配置.
检查供应商文档.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第61页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试11.
5(a)是否部署了变更检测机制(例如文件完整性监控工具),以检测关键系统文件、配置文件或内容文件的非授权修改(包括更改、添加和删除)应受监控的文件包括:系统可执行文件应用程序可执行文件配置和参数文件集中存储文件、历史或归档文件、日志和检查文件由实体(例如,通过风险评估或其他方法)确定的其他重要文件查看系统设置和受监控文件.
检查系统配置设置.
(b)变更检测机制是否已配置为可在重要的系统文件、配置文件或内容文件出现非授权修改时(包括更改、添加和删除)警示工作人员,并至少每周执行一次重要文件比对注:在变更检测中,重要文件通常指那些不经常变更但一旦变更即表示系统受到威胁或面临威胁风险的文件.
变更检测机制(例如文件完整性监控产品)通常预先配置了相关操作系统的重要文件.
其他重要文件(例如自定义应用程序的重要文件)必须由该实体(即商户或服务提供商)评估和定义.
查看系统设置和受监控文件.
审核监控活动结果.
11.
5.
1是否已实施流程,以针对变更检测解决方案发出的任何警报做出响应检查系统配置设置.
11.
6用于安全监控和测试的安全政策和操作程序是否:已记录处于使用中为所有相关方了解检查安全政策和操作程序.
与工作人员面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第62页维护信息安全政策要求12:维护针对所有工作人员的信息安全政策注:在要求12中,"工作人员"指"常驻"实体经营场所或能够以其他方式访问该公司的持卡人数据环境现场的全职和兼职员工、临时工和工作人员、承包商和顾问.
PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试12.
1是否已建立、公布、维护并向所有相关人员宣传安全政策审核相关信息安全政策.
12.
1.
1是否至少每年审核一次安全政策,并在环境发生变更时进行更新审核相关信息安全政策.
与负责人面谈.
12.
2(a)是否已实施每年一次的风险评估流程以-确定重要资产、威胁和漏洞,并-形成正式的书面风险分析风险评估方法包括但不限于OCTAVE、ISO27005和NISTSP800-30.
审核每年一次的风险评估流程.
与工作人员面谈.
(b)是否至少每年执行一次风险评估流程,并在环境发生重大变更时(例如收购、合并、迁址等)也执行评估审核风险评估文档.
与负责人面谈.
12.
3是否已制定关键技术的使用政策,以规定这些技术的正确用法并包含以下方面:注:关键技术包括但不限于,远程访问和无线技术、笔记本电脑、平板电脑、可移动电子媒介以及电子邮件和互联网的使用.
12.
3.
1被授权方明确允许使用这些技术审核使用政策.
与负责人面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第63页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试12.
3.
2技术使用验证审核使用政策.
与负责人面谈.
12.
3.
3一份列出所有此类设备和具有访问权的工作人员的列表审核使用政策.
与负责人面谈.
12.
3.
4一种确定负责人、联系信息和用途(例如设备的贴标、编码和/或盘存)的准确方便的方法审核使用政策.
与负责人面谈.
12.
3.
5可接受的技术使用方式审核使用政策.
与负责人面谈.
12.
3.
6技术可接受的网络位置审核使用政策.
与负责人面谈.
12.
3.
7公司批准的产品列表审核使用政策.
与负责人面谈.
12.
3.
8非活跃状态持续一定时间后自动中断远程访问技术的会话审核使用政策.
与负责人面谈.
12.
3.
9仅在供应商和业务合作伙伴需要时为其激活远程访问技术,并在使用后立即停用审核使用政策.
与负责人面谈.
12.
3.
10(a)对于通过远程访问技术访问持卡人数据的工作人员,政策是否指明除非因规定的业务需要获得明确许可,否则禁止将持卡人数据复制、移动和存储到本地硬盘及可移动电子媒介上如果有经批准的业务需要,使用政策必须规定应按照所有适用的PCIDSS要求保护数据.
审核使用政策.
与负责人面谈.
(b)对于获得适当授权的工作人员,政策是否规定必须按照PCIDSS要求保护持卡人数据审核使用政策.
与负责人面谈.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第64页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试12.
4安全政策和程序是否明确规定所有工作人员的信息安全责任审核信息安全政策和程序.
抽样选取部分负责人员进行面谈.
12.
4.
1仅针对服务提供商:行政管理人员是否根据下述要求确立了保护持卡人数据和PCIDSS遵从性计划的责任:(a)行政管理人员是否指定了维护实体PCIDSS遵从性的整体责任制检查文档.
(b)行政管理人员是否定义了PCIDSS遵从性计划以及与行政管理人员的沟通章程检查PCIDSS章程.
12.
5(a)是否已将信息安全职责正式分配给首席安全官或其他具有丰富安全知识的管理人员审核信息安全政策和程序.
(b)是否已将下列信息安全管理职责正式分配给个人或团队:12.
5.
1制定、记录并分发安全政策和程序审核信息安全政策和程序.
12.
5.
2监控和分析安全警报及信息,以及向适当的人员分发信息审核信息安全政策和程序.
12.
5.
3建立、记录并分发安全事故响应和逐级上报程序,以确保及时有效地处理所有情况审核信息安全政策和程序.
12.
5.
4管理用户帐户,包括添加、删除和修改审核信息安全政策和程序.
12.
5.
5监控并控制所有数据访问审核信息安全政策和程序.
12.
6(a)是否已实施正式的安全意识计划,以使所有工作人员了解持卡人数据安全政策和程序审核安全意识计划.
(b)安全意识计划程序是否包括以下方面:适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第65页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试12.
6.
1(a)安全意识计划是否提供了多种传达意识和培训工作人员的方法(例如,海报、信函、备忘录、基于网络的培训、会议和宣传)注:根据工作人员的角色及其对持卡人数据的访问级别,可采用不同的方法.
审核安全意识计划.
审核安全意识计划程序.
审核安全意识计划出席纪录.
(b)人员是否一经录用即进行培训,且此后每年至少培训一次检查安全意识计划程序和文档.
(c)员工是否已完成安全意识培训且已意识到持卡人数据安全的重要性与工作人员面谈.
12.
6.
2是否要求工作人员每年至少确认一次自己已阅读并了解安全政策和程序检查安全意识计划程序和文档.
12.
7是否在录用人员(参见上文的"工作人员"定义)前筛选应征者,以最大程度地降低内部攻击的风险背景调查包括以往的工作经历、犯罪记录、信用记录以及证明人调查.
注:对于可能被录用为门店收银员等特定职位的应征者,本要求仅作为建议,因为他们在交易时一次只能访问一个卡号.
与人力资源部管理人员面谈.
12.
8是否已按照下述要求实施并维护政策和程序以管理共享持卡人数据或可能影响持卡人数据安全的服务提供商:12.
8.
1已维护服务提供商列表(包括所提供服务的说明)审核相关政策和程序.
查看流程.
审核服务提供商名单.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第66页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试12.
8.
2是否维护书面协议,其中确认服务提供商负责其处理或者代表客户以其他方式存储、处理或传输的持卡人数据的安全性以及他们可能会影响客户持卡人数据环境的安全性注:"确认"的确切措辞取决于双方协议、所提供服务的详情以及分配给每一方的责任.
"确认"不一定要包含与本要求完全相同的措辞.
查看书面协议.
审核相关政策和程序.
12.
8.
3是否已建立雇用服务提供商的流程(包括雇用前的相应尽职调查)查看流程.
审核政策、程序和支持文档.
12.
8.
4是否已维护相应计划来至少每年监控一次服务提供商的PCIDSS遵从性状态查看流程.
审核政策、程序和支持文档.
12.
8.
5是否已维护有关分别由各服务提供商和实体管理的PCIDSS要求的信息查看流程.
审核政策、程序和支持文档.
12.
9仅针对服务提供商:服务提供商是否以书面形式向客户确认其负责自己处理或者代表客户以其他方式存储、处理或传输的持卡人数据的安全性以及他们可能会影响客户持卡人数据环境的安全性注:"确认"的确切措辞取决于双方协议、所提供服务的详情以及分配给每一方的责任.
"确认"不一定要包含与本要求完全相同的措辞.
审核服务提供商的政策和程序.
查看书面协议模板.
12.
10是否已按照下述要求实施随时准备立即响应系统漏洞的事故响应计划:12.
10.
1(a)是否已建立在出现系统漏洞时实施的事故响应计划审核事故响应计划.
审核事故响应计划程序.
(b)该计划是否至少包括以下内容:-出现威胁时的角色、责任以及沟通和联系策略审核事故响应计划程序.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第67页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试12.
10.
1(b)(续)(至少包括支付品牌通知)-详细的事故响应程序审核事故响应计划程序.
-业务恢复和继续程序审核事故响应计划程序.
-数据备份流程审核事故响应计划程序.
-报告威胁的法律要求分析审核事故响应计划程序.
-所有关键系统组件的范围和响应审核事故响应计划程序.
-支付品牌对事故响应程序的参考或应用审核事故响应计划程序.
12.
10.
2是否至少每年对计划进行一次审核,包括要求12.
10.
1中列出的所有元素审核事故响应计划程序.
与负责人面谈.
12.
10.
3是否指定了可全天候响应警报的特定人员查看流程.
审核政策.
与负责人面谈.
12.
10.
4是否为具有安全漏洞响应责任的员工提供了恰当的培训查看流程.
审核事故响应计划程序.
与负责人面谈.
12.
10.
5事故响应计划中是否包含来自安全监控系统的警报查看流程.
审核事故响应计划程序.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第68页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试12.
10.
6是否已根据以往的经验教训并结合行业发展情况,制定了修改和改进事故响应计划的流程查看流程.
审核事故响应计划程序.
与负责人面谈.
12.
11仅针对服务提供商:是否至少每季度进行一次审查,以确保工作人员将依照下述安全政策和操作程序行事:(a)进行涵盖以下流程的审查:-日常日志审查-防火墙规则集审查-将配置标准应用于新系统-响应安全警报-更改管理流程检查执行季度审查的政策和程序.
与工作人员面谈.
(b)是否至少每季度进行一次审查与工作人员面谈.
检查审查记录.
12.
11.
1仅针对服务提供商:是否对季度审查流程进行了维护,使其包括:-记录审查结果-由指定负责PCIDSS遵从性计划的工作人员审查并签核结果通过季度审查检查文档.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第69页附录A:PCIDSS附加要求附录A1:针对共享托管服务提供商的PCIDSS附加要求PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试A1是否根据A1.
1至A1.
4,按照下述要求保护每个实体(即商户、服务提供商或其他实体)的托管环境和数据:托管服务提供商必须满足这些要求以及PCIDSS中所有其他相关章节的要求.
注:即使托管服务提供商满足这些要求,也不能保证雇用该托管服务提供商的实体的遵从性.
每个实体均必须遵从PCIDSS并验证其遵从性(如果适用).
A1.
1是否每个实体都运行了仅能访问该实体的持卡人数据环境的流程,且使用该实体的唯一ID来运行这些应用程序流程例如:系统中的任何实体均不得使用共享的网络服务器用户ID.
实体使用的所有CGI脚本必须作为该实体的唯一用户ID创建和运行检查托管实体的系统配置和相关唯一ID.
A1.
2每个实体的访问权限和特权是否按照下述要求仅限于其自身的持卡人数据环境:(a)应用程序流程的用户ID是否不属于特权用户(root权限/管理员权限)检查应用程序用户ID的系统配置.
(b)每个实体拥有的读取、写入或执行权限是否仅适用于其自身的文件和目录或者必要的系统文件(通过文件系统权限、访问控制列表、chroot作业系统、jailshell等加以限制)注意:实体的文件不能与群组共享.
检查托管实体的系统配置和文件权限.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第70页PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试A1.
2(续)(c)是否所有实体用户均没有共享系统二进制文件的写入权限检查针对共享系统二进制文件的系统配置和文件权限.
(d)是否只有拥有日志条目的实体才能查看这些条目检查针对查看日志条目的系统配置和文件权限.
(e)是否存在有关使用这些系统资源的限制-磁盘空间,-带宽,-内存,-CPU这可确保各实体无法独占服务器资源来而利用漏洞(例如,错误、争用和重启会导致缓冲区溢出等情况).
检查针对使用以下项的系统配置和文件权限:磁盘空间带宽内存CPUA1.
3(a)是否已启用日志记录和检查记录,并且这些记录对于每个实体的持卡人数据环境唯一且符合PCIDSS要求10检查日志设置.
(b)是否已按照下述要求针对所有商户和服务提供商环境启用日志记录:-启用常见第三方应用程序的日志检查日志设置.
-默认情况下,日志处于活动状态检查日志设置.
-日志可供其所属实体审核检查日志设置.
-日志位置已清楚传达给其所属实体检查日志设置.
A1.
4是否已启用书面政策和流程,以确保在任何托管商户或服务提供商受到威胁时及时提供取证调查审核书面政策和程序.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第71页附录A2:针对使用SSL/早期TLS进行实卡POSPOI终端连接的实体的PCIDSS附加要求PCIDSS问题预期测试回复(为每个问题选中一个回复)是是,已填写CCW否N/A未测试A2.
1针对使用SSL/早期TLS的POSPOI终端(商户或支付接受点):是否已证实这些设备不易受到任何已知SSL/早期TLS漏洞的影响注:本要求适用于拥有POSPOI终端的实体(例如商户).
本要求不适用于作为POSPOI终端的终端点或连接点的服务提供商.
要求A2.
2和A2.
3适用于POSPOI服务提供商.
查看证明POSPOI设备不受任何已知SSL/早期TLS使用影响的文档(例如供应商文档、系统/网络设置详情等).
A2.
2仅针对服务提供商:对于使用SSL和/或早期TLS(如A2.
1中所述)的POSPOI终端的所有服务提供商连接点,是否存在正式的风险缓解和迁移计划,包括:使用说明,包括传输的数据、使用和/或支持SSL/早期TLS的系统的类型和数量、环境类型;风险评估结果和适当的风险降低控制;对用于监控SSL/早期TLS相关漏洞的流程的说明;对实施以确保SSL/早期TLS未实施到新环境的变更控制流程的说明;在未来日期替换SSL/早期TLS的迁移项目计划概述查看记录的风险降低和迁移计划.
A2.
3仅针对服务提供商:是否提供了适当的安全服务检查系统配置和支持文档.
附录A3:指定实体补充认证(DESV)此附录仅适用于支付品牌或收单机构要求对现有PCIDSS要求进行补充认证时指定的实体.
要求验证此附录的实体应使用DESV补充报告模板和报告遵从性补充证明书,并咨询适当的支付品牌和/或收单机构了解提交程序事宜.

适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第72页附录B:补偿性控制工作表使用本工作表为任何选中"是,已填写CCW"的要求定义补偿性控制.
注:只有已采取风险分析并具有合理的技术限制或书面业务限制的公司才能考虑使用补偿性控制来实现遵从性.
有关补偿性控制和如何填写本工作表的信息,请参见PCIDSS的附录B、C和D.
要求编号和定义:所需信息解释1.
限制列出导致无法遵守最初要求的限制.
2.
目的定义最初控制的目的;确定通过补偿性控制实现的目的.
3.
已确定的风险确定由于缺少最初控制而导致的任何其他风险.
4.
补偿性控制的定义定义补偿性控制并解释其如何实现最初控制的目的并解决增加的风险(若有).
5.
补偿性控制的验证定义如何验证并测试补偿性控制.
6.
维护规定流程和控制措施以维护补偿性控制.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第73页附录C:不适用性说明如果在此调查问卷中选中了"N/A"(不适用)列,请使用本工作表说明相关要求为何不适用于您所在组织.

要求理由要求不适用示例:3.
4持卡人数据从未以电子方式存储适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第2节:自我评估调查问卷2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第74页附录D:未测试的要求说明如果在此调查问卷中选中了"未测试"列,请使用本工作表说明为何未在评估过程中审核相关要求.

要求说明相关要求的哪个部分未进行测试说明为何未测试要求示例:要求12仅测试了要求12.
2.
要求12中的其他所有要求均被排除.
本次评估仅涵盖优先方法的里程碑1中的要求.
要求1-8、10-12本次评估仅审核了要求9.
其他所有要求均被排除.
相关公司为物理托管服务供应商(CO-LO),因此本次评估仅考虑物理安全控制方面.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第3节:认证和证明书详情2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第75页第3节:认证和证明书详情第3部分PCIDSS认证此AOC基于(SAQ填写日期)填写的SAQD(第2节)中的结果.
基于上述SAQD中记录的结果,第3b-3d部分中指明的签署者(如果适用)针对本文档第2部分中指明的实体声明以下遵从性状态:(选中一个选项):遵从:已填写PCIDSSSAQ的所有章节且已针对所有问题提供积极回复,从而获得了总体遵从评分;因此(服务提供商公司名称)已证明其完全遵从PCIDSS.
未遵从:未填写PCIDSSSAQ的部分章节或未针对所有问题提供积极回复,从而获得了总体未遵从评分,因此(服务提供商公司名称)未证明其完全遵从PCIDSS.
遵从目标日期:如果某实体提交的本表单具有未遵从状态,则可能需要填写本文档第4部分中的行动计划.
在填写第4部分之前,请先咨询相应的支付品牌.
遵从但包含法律规定的例外情况:由于受到阻止满足相关要求的法律限制,因此一项或多项要求选为了"否".
此选项要求收单机构或支付品牌进行附加审核.
如果选中此选项,请填写以下内容:相关要求有关法律限制如何阻止满足相关要求的详情第3a部分确认状态签署者确认:(选中所有合适选项)已根据本文中的说明填写第(SAQ版本)版PCIDSS自我评估调查问卷D.
上述引用的SAQ和本证明书中的所有信息在一切重要方面均完全代表本次评估的结果.

已向相应的支付应用程序供应商确认自己的支付系统未在验证后存储敏感验证数据.

已阅读PCIDSS且了解必须始终遵从适用于所在环境的PCIDSS.
了解如果所在环境发生变化则必须重新评估所在环境,并实施任何适用的PCIDSS附加要求.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第3节:认证和证明书详情2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第76页第3部分PCIDSS验证(续)第3a部分确认状态(续)未在本次评估所审核的ANY系统中发现交易授权后仍存储完整磁道数据1、CAV2、CVC2、CID、CVV2数据2或PIN数据3的迹象.
ASV扫描正由PCISSC认证的授权扫描服务商(ASV名称)完成.
第3b部分服务提供商证明书服务提供商执行官签名日期:服务提供商执行官姓名:职务:第3c部分合格安全性评估商(QSA)确认(如适用)如果QSA参与了或帮助完成本次评估,请说明其执行的角色:QSA公司正式授权管理人员签名日期:正式授权管理人员姓名:QSA公司:第3d部分内部安全性评估商(ISA)参与(如适用)如果ISA参与了或帮助完成本次评估,请确认该ISA工作人员,并说明其执行的角色:1实卡交易中用于授权的磁条编译数据或芯片上的类似数据.
实体不得在交易授权后保留完整磁道数据.
唯一可保留的磁道数据部分为主帐户(PAN)、失效日期和持卡人姓名.
2用于验证非实卡交易而印于支付卡签名条或正面的三位或四位数值.
3持卡人在实卡交易中输入的个人识别码,和/或交易消息中包含的加密PIN数据块.
适用于服务提供商的PCIDSS3.
2.
1版SAQD,修订版1.
0–第3节:认证和证明书详情2018年6月2006-2018PCI安全标准委员会版权所有.
保留所有权利.
第77页第4部分针对未遵从要求的行动计划针对每项要求的"PCIDSS要求遵从性"选择合适的回复.
如果您针对任一要求回复了"否",则需要提供您所在公司预计遵从该要求的日期,并简要说明为满足该要求所采取的行动.