了解哪些是(以及哪些不是)支付卡数据是了解如何遵守 PCI DSS 的重要第一步。通常,该法规仅适用于支付卡的主要帐号(PAN)。如果其他数据元素(例如持卡人姓名、过期日期和/或安全代码)没有任何 PAN,则 PCI DSS 不适用。然而,如果这些其他数据元素是 使用 PAN 存储、处理或传输的,或者以其他方式存在于持卡人数据环境 (CDE) 中,则必须根据 PCI 安全标准委员会网站的适用 PCI DSS 要求进行保护。 。
当存储 PAN 时,根据 PCI 法规,通过加密、截断、令牌化或单向哈希将其变为不可读 (PCI FAQ 1222)。无论该卡是否已加密或密钥化,PCI 要求仍适用于存放该号码的系统,因为如果加密密钥或密钥查找表泄露,PAN 可能会被撤销。但是,如果号码被截断(未屏蔽),使系统仅存储最多 PAN 的前 6 位或后 4 位,则该号码不再被视为 PAN (PCI FAQ 1091),无需以便该系统符合 PCI 要求。
Zendesk 如何帮助我满足 PCI 合规要求?
Zendesk 有一个称为 PCI 合规工单字段的功能。它允许您将主要帐号 (PAN) 放入 Zendesk 专员界面的自定义工单字段中。然后,在将数据提交到用户界面 之前 ,此号码将被标记为密文的最后 4 位。这符合 PCI 合规性的支付卡保护要求。请记住,此 PCI DSS 合规功能仅适用于 Support 产品。要了解更多关于 Zendesk 所采用的安全和隐私控制措施的信息,包括那些有助于支持 PCI 合规性的控制措施,请参阅 “Zendesk 是否符合 PCI 规定”。
请求合规证明 (AoC) 副本 (在“项目”下)
如果我不希望终端用户将完整的 PAN 放入 Zendesk 实例中,该怎么办?
我们强烈建议仅通过 PCI 合规工单字段输入 PAN 以确保符合 PCI 标准,但如果在此专用字段之外输入此数据,您可以实施一些缓解措施,以减少数据泄露。
自动标记为密文
Zendesk 有一个名为“自动标记为密文”的功能。在管理中心启用后,您可以使用它来将新的与支付卡相关的数据标记为密文。这将允许系统搜索 12 到 16 个字符之间的数字,并将其标记为密文 前 6 位数和后 4 位数。从而减少敏感数据被过度共享或滥用的机会。它还支持消息传送工单。请注意,自动标记为密文不适用于帮助中心、Zendesk Chat 或其它 Zendesk 产品。
手动标记为密文(使用 API 工具)
要使用数据丢失防护 (DLP) 和 API 工具,您需要将 Zendesk 工单数据导出到安全的位置。要了解如何操作,请参阅 通过 CSV 或 XML 文档导出工单数据。然后您可以使用 增量 API 提取特定日期范围内的工单,或使用 列表评论 APII 从工单提取工单评论。隔离必要的支付卡数据后,您可以应用多种开源工具中的一种来识别敏感数据,例如 PAN。使用标记为 密文 API,您可以将此信息从工单评论中移除。
使用和存储空间控制
您还可以通过仅在绝对必要且作为合法业务需要的一部分存储支付卡数据,最大程度地减少敏感帐户持有人数据的暴露。还应避免通过电邮、即时消息、在线交谈或其他公报共享未受保护的 PAN,以遵守 PCI DSS。
同样,PAN 在存储时应始终不可读,包括在备份位置、日志和便携式设备中。也可使用单向哈希加密、仅显示 PIN 的最后四位数字的截断,以及加密、屏蔽和/或截断的类似存储控制方法。
作为一般的安全最佳实践,您还应培训员工识别并报告您的系统或日常运营中支付卡数据的任何不合规暴露、使用或分发。
如何确定应用程序或系统是否在 PCI 合规范围内?
系统是否存储、传输或处理支付卡数据?如果是这样,则它在 PCI 的范围内。每家公司都有责任识别其环境中适用 PCI DSS 要求的系统。在进行此评估时,请务必记住,PCI 不仅要求所有存储、传输或处理支付卡数据的基准系统在 PCI 范围内, 还 要求任何直接连接到这些基准系统的系统都在 PCI 范围内。可使用以下步骤探索范围界定:
- 首先,识别并记录所有 可能 传输、处理和/或存储支付卡数据的已知数据流和系统。这些系统构成了您的基准 CDE。
- 其次,记录所有 直接连接 到基准环境的系统组件。这些系统也被视为 CDE 的一部分。
- 第三,探索您有理由相信 可能 正在传输、处理和/或存储支付卡数据的 CDE 以外的系统。记录您找到的任何内容,并跟踪其路径回到 CDE。一些最常见的例子可能包括电邮系统、服务台、人力资源库、财务报告系统、公司电子表格等。
注意:存储空间例外包括 MIME 编码的电邮和被阻止工单中的自定义工单字段,但我们预计很快会发布移除这两个例外的功能。
如何使 PCI DSS 合规性更易于管理?
要使 PCI DSS 合规性更易于管理,您需要缩小总体 PCI 范围。审阅您的 CDE,并仔细检查任何传输、处理或存储支付卡数据的界面。遵守数据保护最佳实践,仅获取和使用对您的运营至关重要的敏感数据。问问自己以下问题:
- 我们的业务流程是否需要使用支付卡?我们如何使用 PAN?
- 我们是将完整的 PAN 存储为参考号,还是用于支持其他业务流程(例如自动帐单结算或拒付)?如果我们使用完整的 PAN 作为参考号码,是否可以通过截断来限制使用和存储空间?
- 我们是否可以控制卡号是否进入特定的系统?例如,系统是否与网络表格、电邮、 服务台或其他面向客户的界面关联?如果是这样,我们是否可以开发一种方法,在数据进入系统时将其删除或标记为密文?
- 是否有我们并不真正需要的连接到 CDE 的辅助系统?我们是否可以通过防火墙规则对这些系统进行细分,甚至完全移除这些界面?
- 我们的关键业务流程在架构上是否可靠?我们是否可以简化一些流程,并将系统从 PCI 范围中移除?
- 我们存储支付卡数据是为了方便起见吗?存储用例是否已得到内部利益相关者的明确同意和理解,或者存储用例是否为将来可能出现的需求做准备?
- 访问完整的 PAN 是边缘情况还是常见做法?我们的架构是否过度适应了这些边缘情况?
缩小 PCI 范围的好处是减少适用 PCI 要求的系统数量,降低审计流程的成本,并限制环境中的攻击面数量。根据您的经验、资源和可用时间,最好聘请 PCI 专家来指导您完成范围界定工作。
法律声明
Zendesk 为使用信用卡字段的 Zendesk 服务台和帮助中心服务的订阅者维护支付卡行业 合规性证明(“AoC”),不包括 Zendesk 提供的任何其他服务或产品。AoC 表明 Zendesk 符合支付卡行业安全标准委员会制定的支付卡行业数据安全标准(以下简称“PCI DSS”)3.1 版。使用 Enterprise Subscription 服务模式的 Zendesk 订阅者可按照本文所述流程从 Zendesk 的 AoC 中受益。 完成本文章所述程序后,您的 Zendesk 帐户可能需要最多 5 个工作日才能移到符合 PCI 标准的环境中。
本文章不可替代从您所在司法辖区获得许可或授权执业的专业人士那里获得建议。对于任何特定的法律或合规问题,您应始终咨询具有适当资格的专业人员。本文章中的任何内容均不构成法律建议。
术语表
收购方 – 也称为“商业银行”、“收单银行”或“收单金融机构”。 发起并维护与商家关系以便接受支付卡的实体。收单行通常负责监测其商户帐户的 PCI 合规情况。
AoC – Attestation of Compliance 的首字母缩写词。这是显示组织是否以及如何合规 PCI 的审核报告。
持卡人数据 – 持卡人数据至少包含完整的主要帐号 (PAN)。持卡人数据也可能以完整的 PAN 以及以下任意形式显示:持卡人姓名、到期日期和/或服务代码。
CDE – 持卡人数据环境。存储、处理或传输持卡人数据或敏感身份验证数据的人员、流程和技术。
DLP – 数据丢失防护。数据丢失防护软件旨在检测潜在的数据泄露或数据丢失事件。
加密 – 将信息转为难以理解的形式,特定密钥的持有者除外。使用加密可保护加密过程和解密过程(与加密相反)之间的信息免遭未经授权的泄露。
Luhn 检查 – 也称为“Mod 10”算法,它是一个简单的校验和公式,用于验证各种标识号,例如信用卡号。大多数信用卡都使用该算法作为区分有效号码和输入错误或不正确号码的简单方法。
屏蔽 – 在显示或打印时隐藏数据段的方法。当没有查看整个 PAN 的业务要求时,使用屏蔽。屏蔽涉及 PAN 在显示或打印时的保护。
PCI 合规工单字段 – 此字段用于接受专员的信用卡号码,在数据提交到 Zendesk 平台之前,它将自动将信用卡号码标记为密文的最后 4 位。要从 Zendesk 的 AoC 中受益,必须启用此字段。
PCI-SSC ——支付卡行业安全标准委员会的首字母缩写。该委员会由五个信用卡品牌(Visa、MasterCard、American Express、Discover、JCB)于 2006 年成立。
PCI-DSS ——支付卡行业数据安全标准。PCI SSC 创建了一个统一的标准,所有的商家和服务提供商都应遵循该标准。
PAN – 主要帐号。也称为“帐号”。 用于识别发卡行和特定持卡人的唯一支付卡号(通常用于信用卡或借记卡)。
服务提供商 – 代表另一个实体直接参与处理、存储或传输持卡人数据的企业实体(不是支付卡发卡行)。这也包括提供控制或可能影响持卡人数据安全的服务的公司。例如提供托管防火墙、IDS 和其它服务的托管服务提供商,以及托管服务提供商和其它实体。
QSA – 合格的安全评估员。PCI SSC 已获得认证公司,可进行 PCI 评估并协助进行 PCI 验证;指定为 QSA 公司,或者类似地,可以将 QSA 公司的个人认证为个人 QSA。
标记为密文 – 移除不需要的敏感信息,例如 PAN。
SAQ – 自我评估调查问卷。验证 PCI 合规性的实体将接受 QSA 的外部评估,或完成 SAQ 并将其提交给卡品牌或其商户银行。
标记化 —— 将有意义的文本流(如信用卡号)分解为称为标记的数据元素的过程,这些元素代表实际数据,但仅靠它是没有意义的。令牌化是一种从系统或数据库中移除信用卡数据的方法,从而缩小了 CDE 的范围。
截断 – 通过永久移除 PAN 数据段使整个 PAN 不可读的方法。当存储在文件、数据库等中时,截断涉及保护 PAN。
翻译免责声明:本文章使用自动翻译软件翻译,以便您了解基本内容。 我们已采取合理措施提供准确翻译,但不保证翻译准确性
如对翻译准确性有任何疑问,请以文章的英语版本为准。