description-officialpcisecuritystandardscouncilsite.docVIP

支付卡行業 (PCI) 資料安全標準自我評估問卷 C和合規證明 支付應用程式連接到網際網路，不儲存電子格式的持卡人資料 2.0 版2010 年 10 月 文件變更記錄日期版本描述2008 年 10 月 1 日1.2 版根據新的 PCI DSS v1.2 調整相關內容，並實施自原始 v1.1 以來所註明的次要變更。 2010 年 10 月 28 日 2.0 版根據新的 PCI DSS v2.0 要求與測試程序調整相關內容。 目錄 文件變更記錄 i PCI 資料安全標準：相關文件 iii 開始之前 iv 完成自我評估問卷 iv PCI DSS 合規 – 完成步驟 v 關於某些特定要求不適用性的指南 v 合規證明，SAQ C 1 自我評估問卷 C 6 建立並維護安全網路 6 要求 1：安裝並維護防火牆設定，以保護資料 6 要求 2：對於系統密碼及其他安全參數，請勿使用供應商提供的預設值 6 保護持卡人資料 8 要求 3：保護儲存的持卡人資料 8 要求 4：加密透過開放的公用網路傳輸的持卡人資料 9 維護漏洞管理程式 10 要求 5：使用並定期更新防毒軟體或程式 10 要求 6：開發並維護安全系統和應用程式 10 實施嚴格的存取控制措施 11 要求 7：限制為只有業務需要知道的人才能存取持卡人資料 11 要求 8：為具有電腦存取權的每個人指定唯一的 ID 11 要求 9：限制對持卡人資料的實際存取 11 定期監控並測試網路 13 要求 11：定期測試安全系統和程序 13 維護資訊安全政策 15 要求 12：維護確保適用於所有工作人員的資訊安全政策 15 附錄 A：(未使用) 17 附錄 B：補償性控制 18 附錄 C：補償性控制工作表 19 補償性控制工作表 – 完成的範例 20 附錄 D：不適用性解釋 21 PCI 資料安全標準：相關文件 以下文件旨在協助商戶和服務提供商理解 PCI 資料安全標準和 PCI DSS SAQ。 文件 適用對象PCI 資料安全標準： 要求和安全評估程序 所有商戶和服務提供商 導覽 PCI DSS： 理解資料安全要求的目的 所有商戶和服務提供商 PCI 資料安全標準： 自我評估問卷說明和指南 所有商戶和服務提供商 PCI 資料安全標準： 自我評估問卷 A 和證明 符合資格的商戶1 PCI 資料安全標準： 自我評估問卷 B 和證明 符合資格的商戶1 PCI 資料安全標準： 自我評估問卷 C-VT 和證明 符合資格的商戶1 PCI 資料安全標準： 自我評估問卷 C 和證明 符合資格的商戶1 PCI 資料安全標準： 自我評估問卷 D 和證明 符合資格的商戶和服務提供商 PCI 資料安全標準與支付應用程式資料安全標準： 術語、縮寫和首字縮寫 所有商戶和服務提供商 開始之前 完成自我評估問卷 SAQ C 中提及的要求適用於以下商戶：透過 (例如經由 DSL、纜線數據機等) 連接到網際網路的支付應用程式 (例如 POS 系統) 處理持卡人資料，但不在任何電腦系統上儲存持卡人資料的商戶。這些支付應用程式連接到網際網路的原因是： 支付應用程式在連接到網際網路的個人電腦上，或 支付應用程式連接到網際網路，以便傳輸持卡人資料。 本文件及《PCI DSS 自我評估問卷說明和指南》均對 SAQ C 商戶作了明確定義。SAQ C 商戶透過連接到網際網路的 POS 機或其它支付應用程式系統處理持卡人資料，但不在任何電腦系統上儲存持卡人資料，其可以是實體 (實卡) 商戶，也可以是電子商務或郵購/電話訂購 (離卡) 商戶。此類商戶必須完成 SAQ C 和相關合規證明，確認以下事項，以便驗證其合規性： 您的公司在同一設備及/或區域網路 (LAN) 上既有支付應用程式系統，又有網際網路連接； 支付應用程式/網際網路設備未連接至您環境内任何其它系統 (這可透過網路區段劃分實現，將支付應用程式系統/網際網路設備與所有其它系統隔離開來)； 您公司的商店未連接到其他商店的位置；並且任何 LAN 僅可用於單個商店； 您的公司僅保留書面報告或書面收據複本； 您的公司不儲存電子格式的持卡人資料；並且 您公司的支付應用程式供應商使用安全的技術，為您的支付系統提供遠端支援。 本問卷各部分均以 PCI DSS 要求和安全評估程序為依據，並分別關注不同的特定安全領域。此精簡版 SAQ 包括的問題適用於上述資格標準定義的特定類型小商戶之環境。如果 PCI DSS 要求適用於您的環境，但本 SAQ 未將其包括，則表明本 SAQ 不適合您的環境。此外，還必須遵守所有適用的 PCI DSS 要求，以符合 PCI DSS 規定。 PCI DSS 合規 – 完成步驟 評估您環境的 PCI DSS