版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、SeojrttyStandards CouncilSecurityStandards Council支付卡行業(yè)(PCI)資料安全標(biāo)準(zhǔn)自我評(píng)估問卷說明和指南2.0版2010年10月文件變更記錄日期版本描述2008年10月1日1.2版根據(jù)新的PCI DSS v1.2 調(diào)整相關(guān)內(nèi)容,並實(shí)施自原始v1.1以來所註明的 次要變更。2010 年 10 月 28日2.0版根據(jù)新的PCI DSS v2.0 要求調(diào)整相關(guān)內(nèi)容,闡明SAQ環(huán)境類型和資格標(biāo) 準(zhǔn)。為使用基於Web之虛擬終端機(jī)的商戶新增SAQ C-VTPCI DSS自我評(píng)估問卷說明和指南,V2.0版權(quán)所有 2010 PCI Security Stand
2、ards Council LLC2010年10月第13頁(yè)目錄說明和指南2.0版2010年10月 文件變更記錄 2關(guān)於本文件 4PCI DSS自我評(píng)估:整體架構(gòu) 5PCI資料安全標(biāo)準(zhǔn):相關(guān)文件 6SAQ概要 7遵從PCI DSS的重要性? 8準(zhǔn)備合規(guī)驗(yàn)證的一般技巧與策略 9選擇最適合您組織的SAQ和證明 12SAQ A -不岀示實(shí)卡,夕卜包所有持卡人資料功能 12SAQ B -僅使用刷卡機(jī)或獨(dú)立撥岀終端機(jī)的商戶。不儲(chǔ)存電子格式的持卡人資料。13SAQ C-VT -使用基於 Web的虛擬終端機(jī)且不儲(chǔ)存電子格式持卡人資料的商戶 13SAQ C -支付應(yīng)用程式連接到網(wǎng)際網(wǎng)路且不儲(chǔ)存電子格式持卡人資料的
3、商戶14SAQ D -所有其他商戶,以及所有由支付品牌定義為符合完成 SAQ資格條件的服務(wù)提供商 14關(guān)於某些特定要求不適用性的指南 16完成SAQ的說明 16哪種SAQ最適合我的環(huán)境? 17關(guān)於本文件認(rèn)真內(nèi)本文件旨在協(xié)助商戶和服務(wù)提供商理解支付卡行業(yè)資料安全標(biāo)準(zhǔn)(PCI DSS)和自我評(píng)估問卷(SAQ)。閲讀全部説明和指南文件,瞭解PCI DSS對(duì)您組織的重要性,您的組織可使用何種策略促進(jìn)合規(guī)性驗(yàn)證 以及您的組織具備完成哪一個(gè)精簡(jiǎn)版SAQ的資格條件。以下部分將概述您需要瞭解的 PCI DSS SAQ容。PCI DSS自我評(píng)估:整體架構(gòu)PCI DSS :相關(guān)文件SAQ概要遵從PCI DSS的重
4、要性?準(zhǔn)備合規(guī)驗(yàn)證的一般技巧與策略選擇最適合您組織的 SAQ和證明關(guān)於某些特定要求不適用性的指南完成SAQ的說明哪個(gè)SAQ最適合我的環(huán)境?PCI DSS自我評(píng)估:整體架構(gòu)PCI DSS和支援文件是一套常用的行業(yè)工具和量測(cè)標(biāo)準(zhǔn),有助確保以安全的方式處理敏感資訊。該標(biāo)準(zhǔn)為開發(fā)可靠的帳戶資料安全程序(包括預(yù)防、偵測(cè)和回應(yīng)安全事故)提供了一個(gè)可行的框架 。為降低漏洞風(fēng)險(xiǎn)及發(fā)生威脅時(shí)所產(chǎn)生的影響 ,所有儲(chǔ)存、處理或傳輸持卡人資料的實(shí)體都必須遵守該標(biāo)準(zhǔn)。下圖列出了一些可以幫助組織實(shí)現(xiàn) PCI DSS合規(guī)和完成自我評(píng)估的工具 。這些文件以及其他相關(guān)文件可以從以下位址找到:www.pcisecuritysta
5、 。PCI DSS目笄押茁瞞和UMPCI資料安全標(biāo)準(zhǔn):相關(guān)文件以下文件旨在協(xié)助商戶和服務(wù)提供商理解PCI DSS和PCI DSS SAQ文件適用對(duì)象PCI資料安全標(biāo)準(zhǔn): 要求和安全評(píng)估程序所有商戶和服務(wù)提供商導(dǎo)覽 PCI DSS :理解資料安全要求的目的所有商戶和服務(wù)提供商PCI資料安全標(biāo)準(zhǔn): 自我評(píng)估問卷說明和指南所有商戶和服務(wù)提供商PCI資料安全標(biāo)準(zhǔn): 自我評(píng)估問卷A和證明符合資格的商戶PCI資料安全標(biāo)準(zhǔn): 自我評(píng)估問卷B和證明符合資格的商戶PCI資料安全標(biāo)準(zhǔn):自我評(píng)估問卷C-VT和證明符合資格的商戶若要確定正確的自我評(píng)估問卷,請(qǐng)參閲本文件第12頁(yè)選擇最適合您組織的 S
6、AQ和證明部分PCI資料安全標(biāo)準(zhǔn): 自我評(píng)估問卷C和證明符合資格的商戶PCI資料安全標(biāo)準(zhǔn): 自我評(píng)估問卷D和證明符合資格的商戶和服務(wù)提供商1PCI資料安全標(biāo)準(zhǔn)與支付應(yīng)用程式資料安全標(biāo)準(zhǔn): 術(shù)語(yǔ)、縮寫和首字縮寫所有商戶和服務(wù)提供商SAQ概要PCI DSS自我評(píng)估問卷(SAQ)是一種驗(yàn)證工具,可以幫助商戶和服務(wù)提供商對(duì)支付卡行業(yè)資料安全標(biāo)準(zhǔn)(PCI DSS)合規(guī)性狀況進(jìn)行自我評(píng)估 。PCI DSS SAQ 有多個(gè)版本,可以滿足各種不同的情況 。本文件可以 幫助組織確定最適合他們的SAQ。PCI DSS SAQ 作為一種驗(yàn)證工具,適用於那些不要求根據(jù)PCI DSS要求和安全評(píng)估程序提交現(xiàn)場(chǎng)資料安全合
7、規(guī)性報(bào)告(ROC)的商戶和服務(wù)提供商,但收單機(jī)構(gòu)或支付品牌所可能要求該報(bào)告。請(qǐng)咨詢您的收單機(jī)構(gòu)或支付品牌,瞭解有關(guān)PCI DSS驗(yàn)證要求的詳情。PCI DSS SAQ 由以下部分組成:1. 與PCI DSS要求關(guān)聯(lián)、適合於服務(wù)提供商和商戶的問題:請(qǐng)參閱本文件中 選擇最適合您組織的SAQ和證明。2. 合規(guī)證明:該證明可印證您有資格執(zhí)行並已執(zhí)行PCI DSS自我評(píng)估的自我證書 。遵從PCI DSS的重要性?PCI安全標(biāo)準(zhǔn)協(xié)會(huì)的成員(American Express 、Discover、JCB、MasterCard 和Visa) 直在監(jiān)控各種帳戶資料威脅。這些威脅可能會(huì)影響各種類型的組織,從很小的商
8、戶及服務(wù)提供商至很大的商戶及服務(wù)提供商均有涉及。安全性缺口和後續(xù)的支付卡資料威脅會(huì)對(duì)受害組織造深遠(yuǎn)的影響,包括:1. 監(jiān)管通知要求,2. 聲譽(yù)損失,3. 客戶流失,4. 潛在的財(cái)務(wù)責(zé)任(例如,法律和其他費(fèi)用及罰款),以及5. 訴訟。事後威脅分析顯示PCI DSS雖已給出處理一般安全漏洞的對(duì)策,但在威脅實(shí)際發(fā)生時(shí)組織並未能執(zhí)行到位。正因?yàn)槿绱耍覀儾胖贫?PCI DSS和各項(xiàng)詳細(xì)的要求,目的是最大程度地降低發(fā)生威脅的機(jī)率並減 輕發(fā)生威脅時(shí)所產(chǎn)生的影響。威脅發(fā)生後進(jìn)行的調(diào)查不斷揭示岀常見的PCI DSS違規(guī)形式,包括但不限於:儲(chǔ)存磁條資料(要求3.2)。需注意的是,衆(zhòng)多受威脅的實(shí)體並未意識(shí)到其系
9、統(tǒng)正在儲(chǔ)存此類資料。因未正確安裝商戶 POS系統(tǒng)而導(dǎo)致存取控制不足,使惡意之人可以透過 POS供應(yīng)商路徑侵入(要求 7.1、7.2、8.2 和 8.3)設(shè)定系統(tǒng)時(shí)未變更預(yù)設(shè)系統(tǒng)設(shè)定和密碼(要求2.1)設(shè)定系統(tǒng)時(shí)未移除或修復(fù)非必要和非安全的服務(wù)(要求2.2.2和2.2.4)編碼不良的 Web應(yīng)用程式會(huì)導(dǎo)致 SQL插入和其他漏洞,使得可以直接從網(wǎng)站存取儲(chǔ)存持卡人資料 的資料庫(kù)(要求6.5)未進(jìn)行安全修補(bǔ)及安全修補(bǔ)程式已過期(要求6.1)缺少記錄(要求10)缺少監(jiān)控(透過記錄審查、入侵偵測(cè)/預(yù)防、季度漏洞掃描和檔案完整性監(jiān)控系統(tǒng) )(要求10.6、11.2、11.4 和 11.5)網(wǎng)路缺少區(qū)段劃分,
10、則網(wǎng)路中其他未根據(jù)PCI DSS安全處理部分的漏洞會(huì)使持卡人資料環(huán)境在不知情情況下遭受威脅(例如,透過員工電子郵件和網(wǎng)路瀏覽引用的非安全無綫存取點(diǎn)和漏洞)(要求1.2、1.3 和 1.4)準(zhǔn)備合規(guī)驗(yàn)證的一般技巧與策略以下是您在準(zhǔn)備 PCI DSS合規(guī)驗(yàn)證時(shí)可以使用的一些一般技巧與策略。這些秘訣可能幫助您消除您不需要的資料,隔離您需要的資料至定義且控制的中央集中區(qū)域,並且可能允許您限制PCI DSS合規(guī)驗(yàn)證努力的範(fàn)圍。例如,透過刪除不需要的資料和/或?qū)⑦@些資料隔離在規(guī)定的受控區(qū)域內(nèi),您可以將那些不再儲(chǔ)存、處理或傳輸持卡人資料的系統(tǒng)與網(wǎng)路從您的自我評(píng)估範(fàn)圍中刪除。1. 敏感驗(yàn)證資料(包括磁條或晶片
11、上的全部磁軌內(nèi)容、卡驗(yàn)證碼和值、PIN和PIN資料塊):a. 確保您絕對(duì)沒有儲(chǔ)存這些資料。b. 如果不能確定,可以諮詢您的POS供應(yīng)商,詢問您使用的軟體產(chǎn)品和版本是否會(huì)儲(chǔ)存此類資料。此外,可以考慮僱用合格安全性評(píng)估商協(xié)助您決定是否將敏感驗(yàn)證資料儲(chǔ)存、記錄或擷取到您的系統(tǒng)。2. 如果您是商戶,建議透過以下問題,就您的系統(tǒng)安全性事宜諮詢您的POS供應(yīng)商:a. 我的POS軟體是否通過了支付應(yīng)用程式資料安全標(biāo)準(zhǔn)(PA-DSS)驗(yàn)證?(請(qǐng)參閲PCI SSC的驗(yàn)證支付應(yīng)用程式清單。)?b. 我的POS軟體是否儲(chǔ)存磁條資料(磁軌資料)或PIN區(qū)塊??jī)?chǔ)存這些資料是不允許的,那麼您可以在多長(zhǎng)時(shí)間內(nèi)幫我移除這些資
12、料?c. 我的POS軟體是否會(huì)儲(chǔ)存主帳戶號(hào)碼(PAN) ?此類儲(chǔ)存必須受到保護(hù) ,那麼POS如何保護(hù)此類資料?d. 您是否記錄關(guān)於應(yīng)用程式所寫檔案的清單並概要記錄每個(gè)檔案的內(nèi)容,以驗(yàn)證上述禁止儲(chǔ)存的資料未儲(chǔ)存?e. 您的POS系統(tǒng)是否需要安裝防火牆,以便保護(hù)我的系統(tǒng)免遭未授權(quán)存???f. 存取我的系統(tǒng)時(shí)是否需要使用複雜且唯一的密碼?您在我的系統(tǒng)以及您支援的其他商戶系統(tǒng)中是否沒有使用常見的或預(yù)設(shè)的密碼?g. 是否已變更組成 POS系統(tǒng)的系統(tǒng)與資料庫(kù)預(yù)設(shè)設(shè)定和密碼?h. 所有非必要和非安全服務(wù)是否已從POS系統(tǒng)組成部分的系統(tǒng)和資料庫(kù)中移除?i. 您是否會(huì)從遠(yuǎn)端存取我的POS系統(tǒng)?如果會(huì),您是否已實(shí)施
13、了適當(dāng)?shù)目刂?,以防止他人存取我的POS系統(tǒng)?例如,使用安全的遠(yuǎn)端存取方法、不使用常見的或預(yù)設(shè)密碼。您多久從遠(yuǎn)端評(píng)估一次我的POS裝置以及進(jìn)行評(píng)估的原因?誰(shuí)有權(quán)從遠(yuǎn)端存取我的POS裝置?j. 是否已利用所有適用的安全更新對(duì)組成POS系統(tǒng)的所有系統(tǒng)和資料庫(kù)進(jìn)行修補(bǔ)?k. 是否已為組成POS系統(tǒng)的系統(tǒng)和資料庫(kù)開啟了記錄功能?l. 如果我以前的POS軟體版本會(huì)儲(chǔ)存磁軌資料,當(dāng)前對(duì)POS軟體的更新是否已移除此項(xiàng)功能?移除這些資料時(shí)是否使用了安全擦除公用程式?3. 持卡人資料一如果您不需要,請(qǐng)不要儲(chǔ)存!a. 支付品牌規(guī)允許儲(chǔ)存?zhèn)€人帳戶號(hào)碼(PAN)、到期日期、持卡人名稱和服務(wù)代碼 。b. 記錄您儲(chǔ)存這些資
14、料的所有原因和地點(diǎn)。如果資料未用於有價(jià)值的業(yè)務(wù)用途,須考慮消除資料。c. 考量?jī)?chǔ)存這些資料及其支援的業(yè)務(wù)流程是否值得付出以下代價(jià):i. 資料遭洩露的風(fēng)險(xiǎn)。ii. 為保護(hù)這些資料必須針對(duì)PCI DSS付岀的額外努力。iii. 為始終遵從PCI DSS需付出的持續(xù)性維護(hù)努力。4. 持卡人資料一如果您需要,請(qǐng)將其合併和隔離。您可以透過在定義環(huán)境內(nèi)合併資料儲(chǔ)存並使用正確的網(wǎng)路區(qū)段劃分隔離資料,限制PCI DSS評(píng)估範(fàn)疇。例如,如果您的員工瀏覽網(wǎng)際網(wǎng)路 ,在同一機(jī)器或網(wǎng)路區(qū)段接收電子郵件作爲(wèi)持卡人資料,考慮劃分(隔離)持卡人資料到其自有機(jī)器或網(wǎng)路區(qū)段(例如,透過路由器或防火墻)。如果您能有效隔離持卡人資
15、料,則僅須專注於隔離部分的 PCI DSS合規(guī)性,而不必關(guān)注所有的機(jī)器 。5. 補(bǔ)償性控制當(dāng)組織無法滿足 PCI DSS要求的技術(shù)規(guī)範(fàn),但已透過替代控制措施大幅降低相關(guān)風(fēng)險(xiǎn)時(shí),可以考慮使用補(bǔ)償性控制措施來滿足大部分PCI DSS要求。如果您的公司沒有採(cǎi)用與PCI DSS規(guī)定完全相同的控制,但是已制定了符合 PCI DSS 補(bǔ)償性控制定義(請(qǐng)參閱適用的SAQ附錄和PCI DSS與PA-DSS術(shù)語(yǔ)、縮寫和首字縮寫文件中對(duì)補(bǔ)償性控制的定義,文件位於:a. 對(duì)SAQ問題回答是,並在特殊說明欄位中註明為滿足要求而使用的各項(xiàng)補(bǔ)償性控 制。b. 審查適用SAQ附錄B中的補(bǔ)償性控制,並填寫SAQ附錄C的補(bǔ)償性
16、控制工作表,記錄補(bǔ)償性控制的使用狀況。c. 針對(duì)各項(xiàng)透過補(bǔ)償性控制獲得滿足的要求,填寫補(bǔ)償性控制工作表。d. 根據(jù)收單機(jī)構(gòu)或支付品牌的説明,提交所有完成的補(bǔ)償性控制工作表 以及SAQ及/或證明。6. 專業(yè)協(xié)助和培訓(xùn)a. 如果您希望在安全專家的指導(dǎo)下實(shí)現(xiàn)合規(guī)並填寫SAQ ,我們表示鼓勵(lì)。但請(qǐng)注意,雖然您可以自由選擇安全專家,但是只有PCI SSC合格安全評(píng)估機(jī)構(gòu)(QSA)清單中的機(jī)構(gòu)才是獲得認(rèn)可的QSA,並已得到PCI SSC的訓(xùn)練。該清單可以從以下位址找到:。b. PCI安全標(biāo)準(zhǔn)協(xié)會(huì)(SSC)提供各種教育資源,旨在強(qiáng)化支付卡
17、行業(yè)的安全意識(shí)。這些資源包括內(nèi)部安全性評(píng)估商(ISA)的PCI DSS培訓(xùn)和標(biāo)準(zhǔn)培訓(xùn)。PCI SSC網(wǎng)站還是其他更多資源的主要來源,包括:註:資訊補(bǔ)充是PCI DSS 的補(bǔ)充材料,可確定有助滿足 PCI DSS要求的額外考慮因素 與建議,但不會(huì)變更、消除或 取代PCI DSS要求或其中任何 內(nèi)容。 導(dǎo)覽PCI DSS文件PCI DSS術(shù)語(yǔ)、縮寫和首字縮寫 FAQ (常見問題) 線上研討會(huì)*資訊補(bǔ)充與指南 合規(guī)性證明請(qǐng)參閲 www.pcise 瞭解更多內(nèi)容選擇最適合您組織的 SAQ和證明根據(jù)支付品牌規(guī)則,所有商戶和服務(wù)提供商均須嚴(yán)格遵守PCI DSS。SA
18、Q類別共有五種,簡(jiǎn)要顯示在下表內(nèi),而更詳細(xì)的描述請(qǐng)參閱後文 。使用該表判斷哪種 SAQ適用於您的組織,然後查閱詳細(xì)描述,確保能滿 足該SAQ的所有要求。SAQ描述A不出示實(shí)卡(電子商務(wù)或郵購(gòu)/電話訂購(gòu))的商戶,所有持卡人資料處理事宜均外包。這永不適用於面對(duì)面交易的商戶。B未儲(chǔ)存電子格式持卡人資料的刷卡機(jī)商戶或者未儲(chǔ)存電子格式持卡人資料的獨(dú)立撥出終 端機(jī)商戶C-VT僅使用基於Web的虛擬終端機(jī)而不儲(chǔ)存電子格式持卡人資料的商戶C擁有連接到網(wǎng)際網(wǎng)路的支付應(yīng)用程式系統(tǒng)而不儲(chǔ)存電子格式持卡人資料的商戶D所有其他商戶(不包括在上述SAQ A-C的描述中),以及所有由支付品牌定義為符合完 成SAQ的資格條件
19、的服務(wù)提供商。對(duì)於選擇您的SAQ類型的圖表 指導(dǎo),請(qǐng)參閲第17頁(yè)哪個(gè) SAQ最適合我的環(huán)境?。SAQ A -不出示實(shí)卡,外包所有持卡人資料功能SAQ A中提及的要求適用於以下商戶:僅保留包含持卡人資料的書 面報(bào)告或收據(jù),而不儲(chǔ)存電子格式的持卡人資料,且不在自己的系 統(tǒng)或經(jīng)營(yíng)場(chǎng)所處理或傳輸任何持卡人資料的商戶 。SAQ A商戶不儲(chǔ)存電子格式的持卡人資料,不在自己的系統(tǒng)或經(jīng)營(yíng)場(chǎng)所處理或傳輸任何持卡人資料,並且透過填寫SAQ A和相關(guān)的合規(guī)證明來驗(yàn)證合規(guī)性,同時(shí)確認(rèn)以下內(nèi)容:您的公司僅接受離卡 (電子商務(wù)或郵購(gòu)/電話訂購(gòu))交易;您的公司不在自己的系統(tǒng)和經(jīng)營(yíng)場(chǎng)所儲(chǔ)存、處理或傳輸任何持卡人資料,而是完全
20、依賴第三方服務(wù)提供商來處理這些事宜 ;您的公司已經(jīng)確認(rèn),負(fù)責(zé)處理持卡人資料的儲(chǔ)存、處理和/或傳輸事宜的第三方服務(wù)提供商符合PCI DSS 規(guī)定;您的公司僅保留包含持卡人資料的書面報(bào)告或收據(jù),而不會(huì)以電子方式接收這些文件;並且您的公司不儲(chǔ)存任何電子格式的持卡人資料。此選項(xiàng)永不適用於在面對(duì)面POS交易環(huán)境中的商戶。SAQB -僅使用刷卡機(jī)或獨(dú)立撥出終端機(jī)的商戶。不儲(chǔ)存電子格式的持卡人資料SAQ B中提及的要求適用於以下商戶:僅透過刷卡機(jī)或獨(dú)立撥出終端機(jī)處理持卡人資料的商戶關(guān)於如何利用圖表指導(dǎo)選擇SAQ類型,請(qǐng)參閲第17頁(yè) 哪種SAQ最適合我的環(huán) 境?。SAQ B商戶僅透過刷卡機(jī)或獨(dú)立撥出終端機(jī)處理
21、持卡人資料,既可以是實(shí)體(實(shí)卡)商戶,也可以是電子商務(wù)或郵購(gòu) /電話訂購(gòu)(離卡)商 戶。此類商戶必須完成 SAQ B和相關(guān)的合規(guī)證明,確認(rèn)以下內(nèi)容, 以便驗(yàn)證其合規(guī)性:您的公司僅使用刷卡機(jī)及 /或獨(dú)立撥號(hào)終端(透過電話綫連接至 公司處理器)處理客戶支付卡資料;獨(dú)立撥號(hào)終端沒有連接到您環(huán)境中的任何其他系統(tǒng);獨(dú)立撥號(hào)終端沒有連接到網(wǎng)際網(wǎng)路;您的公司沒有透過網(wǎng)路(內(nèi)部網(wǎng)路或網(wǎng)際網(wǎng)絡(luò))傳輸持卡人資料你的公司僅保留包含持卡人資料的書面報(bào)告或書面收據(jù)複本,而不會(huì)以電子方式接收這些文件;並且 您的公司不儲(chǔ)存電子格式的持卡人資料SAQ C-VT -使用基於Web的虛擬終端機(jī)且不儲(chǔ)存電子格式持卡人資料的商戶SA
22、Q C-VT中提及的要求適用於以下商戶:僅透過連接至網(wǎng)際網(wǎng)路之個(gè)人電腦上的隔離虛擬終端機(jī)來處理 持卡人資料的商戶。關(guān)於如何利用圖表指導(dǎo)選擇 SAQ類型,請(qǐng)參閲第17頁(yè)哪種SAQ最適合我的環(huán) 境?。虛擬終端機(jī)是一種基於網(wǎng)路瀏覽器的存取方式,針對(duì)收單機(jī)構(gòu)、處理機(jī)構(gòu)或第三方服務(wù)提供商網(wǎng)站而設(shè),其可授權(quán)支付卡交易,並讓商戶透過安全連接的網(wǎng)路瀏覽器手動(dòng)輸入支付卡資料。不同於實(shí)體終端機(jī),虛擬終端機(jī)不會(huì)直接讀取支付卡資料。由於支付卡交易是手動(dòng)輸入的,交易量小的商戶環(huán)境通常使用虛擬終端機(jī),而不是實(shí)體終端機(jī)。這些商戶僅透過虛擬終端機(jī)處理持卡人資料,但不在任何電腦系統(tǒng)上儲(chǔ)存持卡人資料。這些虛擬終端機(jī)連接至網(wǎng)際網(wǎng)路
23、,以存取托管虛擬終端機(jī)支付處理功能之第三方。第三方可以是透過儲(chǔ)存、處理及/或傳輸持卡人資料來授權(quán)及/或結(jié)算商戶虛擬終端機(jī)支付交易的收單機(jī)構(gòu)、處理機(jī)構(gòu)或第三方服務(wù)提供商。本SAQ問卷僅適用於每次透過鍵盤手動(dòng)輸入單個(gè)交易至基於網(wǎng)際網(wǎng)路的虛擬終端機(jī)解決方案的商戶。SAQ C-VT商戶透過與網(wǎng)際網(wǎng)路連接之個(gè)人電腦上的虛擬終端機(jī)處理持卡人資料,但不在任何電腦系統(tǒng)上儲(chǔ)存持卡人資料;其可以是實(shí)體(實(shí)卡)商戶,也可以是電子商務(wù)或郵購(gòu) /電話訂購(gòu)(離卡)商戶。此類商戶 必須完成SAQ C-VT和相關(guān)的合規(guī)證明,確認(rèn)以下內(nèi)容,以便驗(yàn)證其合規(guī)性:您公司為完成支付處理,僅採(cǎi)用透過網(wǎng)際網(wǎng)路連接式網(wǎng)路瀏覽器進(jìn)行存取的虛擬
24、終端機(jī);您公司之虛擬終端機(jī)解決方案由PCI DSS驗(yàn)證之第三方服務(wù)提供商提供並託管;您公司透過隔離在單獨(dú)位置之電腦存取符合PCI DSS的虛擬終端機(jī)解決方案,此電腦未連接到您環(huán)境中其他位置或系統(tǒng)(這可透過防火墻或網(wǎng)路區(qū)段劃分將此電腦與其他系統(tǒng)隔離開);您公司的電腦未安裝可儲(chǔ)存持卡人資料的軟體(例如,無用於批次處理或儲(chǔ)存與轉(zhuǎn)寄之軟體);您公司的電腦未連接任何用於擷取或儲(chǔ)存持卡人資料的硬體裝置(例如,未連接連讀卡機(jī));您公司未透過任何渠道(例如,透過內(nèi)部網(wǎng)路或網(wǎng)際網(wǎng)路)以電子方式接收或傳輸持卡人資料 您的公司僅保留書面報(bào)告或書面收據(jù)複本;並且您的公司不儲(chǔ)存電子格式的持卡人資料。此選項(xiàng)決不適用於電子
25、商務(wù)商戶。SAQ C -支付應(yīng)用程式連接到網(wǎng)際網(wǎng)路且不儲(chǔ)存電子格式持卡人資料的商戶SAQ C中提及的要求適用於以下商戶:透過(例如經(jīng)由DSL、纜線數(shù)據(jù)機(jī)等)連接到網(wǎng)際網(wǎng)路的支付應(yīng)用 程式(例如POS系統(tǒng))處理持卡人資料,但不在任何電腦系統(tǒng)上儲(chǔ)存持卡人資料的商戶,連接的原因可能 是:關(guān)於如何利用圖表指導(dǎo)選擇 SAQ類型,請(qǐng)參閲第17頁(yè)哪 種SAQ最適合我的環(huán)境?。1. 支付應(yīng)用程式系統(tǒng)位於連接到網(wǎng)際網(wǎng)路的個(gè)人電腦上(例如電 子郵件或網(wǎng)路瀏覽),或者2. 爲(wèi)傳輸持卡人資料而將支付應(yīng)用程式系統(tǒng)連接到網(wǎng)際網(wǎng)路SAQ C商戶透過連接到網(wǎng)際網(wǎng)路的POS機(jī)或其它支付應(yīng)用程式系統(tǒng)處理持卡人資料,但不在任何電腦
26、系統(tǒng)上儲(chǔ)存持卡人資料 ,可以是實(shí)體(實(shí)卡)商戶,也可以是電子商務(wù)或郵購(gòu) /電話訂購(gòu)(離卡)商戶。此類 商戶必須完成SAQ C和相關(guān)的合規(guī)證明,確認(rèn)以下內(nèi)容,以便驗(yàn)證其合規(guī)性:您的公司在同一設(shè)備及 /或區(qū)域網(wǎng)路(LAN)上既有支付應(yīng)用程式系統(tǒng),又有網(wǎng)際網(wǎng)路或公用網(wǎng)路連 接;支付應(yīng)用程式/網(wǎng)際網(wǎng)路設(shè)備未連接至您環(huán)境內(nèi)任何其它系統(tǒng)(這可透過網(wǎng)路區(qū)段劃分實(shí)現(xiàn),將支付應(yīng)用程式系統(tǒng)/網(wǎng)際網(wǎng)路設(shè)備與所有其它系統(tǒng)隔離);您公司的商店未連接到其他商店的位置;並且任何LAN僅可用於單個(gè)商店;您的公司僅保留書面報(bào)告或書面收據(jù)複本 ;您的公司不儲(chǔ)存電子格式的持卡人資料;並且您公司的支付應(yīng)用程式供應(yīng)商使用安全的技術(shù),為
27、您的支付系統(tǒng)提供遠(yuǎn)端支援。SAQ D -所有其他商戶,以及所有由支付品牌定義為符合完成 SAQ資格條件的服務(wù) 提供商SAQ D適用於所有符合完成SAQ資格條件的服務(wù)提供商,以及所有不符合SAQ A-C類型描述但具備 SAQ資格的商戶。SAQ D服務(wù)提供商和商戶必須完成SAQ D和相關(guān)的合規(guī)證明,確認(rèn)以下內(nèi)容,以便驗(yàn)證其合規(guī)性。雖然許多完成 SAQ D的組織需要驗(yàn)證是否符合各項(xiàng)PCI DSS要求的規(guī)定,但是對(duì)於一些業(yè)務(wù)模式非常特殊的組織來說,某些要求可能不適用。例如,如果某公司在任何情況下均不會(huì)使用無線技術(shù),則對(duì)於,瞭解有關(guān)無線技PCI DSS中針對(duì)無線技術(shù)管理的部分,該公司不需要驗(yàn)證其合規(guī)性。請(qǐng)參閱下述指南 術(shù)及某些其他特定要求排除事項(xiàng)的資訊。關(guān)於某些特定要求不適用性的指南排除事項(xiàng):如果您需要回答 SAQ C或D以驗(yàn)證您的PCI DSS合規(guī)狀態(tài),則可能需要考量以下例外事項(xiàng)。請(qǐng)參閱下方的不適用性,瞭解相應(yīng)的SAQ回應(yīng)。要求123、2.1.1和4.1.1 (SAQ C 和D):僅當(dāng)您的網(wǎng)路中存在無線系統(tǒng)時(shí) ,才需要回答針對(duì)無線的 問題。請(qǐng)注意,要求11.1 (使用程序識(shí)別未經(jīng)授權(quán)的無綫存取點(diǎn) )仍必須作答,即使您的環(huán)境中沒有 無綫系統(tǒng),其原因在於程序可偵測(cè)到在您不知情時(shí)新增的任何惡意或未經(jīng)授權(quán)的設(shè)
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 買閥門合同范例
- 白酒買賣定金合同范例
- 中交碎石合同范例
- 揚(yáng)州土建工程監(jiān)理合同范例
- 學(xué)校股權(quán)轉(zhuǎn)讓合同范例
- 通訊服務(wù)類合同范例
- 個(gè)人簡(jiǎn)易租賃合同范例
- 小學(xué)課程設(shè)計(jì)與評(píng)價(jià)研究
- 裝飾木門制作安裝合同范例
- 幼兒園鳥窩搭建課程設(shè)計(jì)
- 30道計(jì)量員崗位常見面試問題含HR問題考察點(diǎn)及參考回答
- 2024年長(zhǎng)沙民政職業(yè)技術(shù)學(xué)院?jiǎn)握新殬I(yè)技能測(cè)試題庫(kù)及答案解析
- 電力安全工器具預(yù)防性試驗(yàn)規(guī)程2023版
- 漢字與中國(guó)古代文化常識(shí)智慧樹知到期末考試答案2024年
- 廣東省普通高中學(xué)生檔案
- 化學(xué)-福建廈門第一中學(xué)2023-2024學(xué)年高一上學(xué)期12月月考帶答案
- 全國(guó)古建筑行業(yè)現(xiàn)狀分析
- 廣東省深圳市2022-2023學(xué)年四年級(jí)上學(xué)期科學(xué)期末測(cè)試卷
- 《講好中國(guó)故事》作文
- 北師大版2024-2025學(xué)年六年級(jí)數(shù)學(xué)上冊(cè)典型例題系列第二單元:量率對(duì)應(yīng)問題“一般型”專項(xiàng)練習(xí)(原卷版+解析)
- 企業(yè)管理人員德能勤績(jī)廉考核細(xì)則
評(píng)論
0/150
提交評(píng)論