PCI-
支付卡行业数据安全标准 v4.0.1 4.0.1
控制项模式PCI DSS 是支付卡行业数据安全标准,用于保护持卡人数据并降低支付生态中的安全风险。
版本: 4.0.1•覆盖状态: 完整覆盖 (18/18)•控制项/量表/总计: 18/0/18•当前展示: 18 / 18•3 个分类
REQ-1.1边界控制配置控制项
安全网络与系统 / 网络边界防护
配置并维护网络边界控制,限制非授权流量。
评估
评估状态:
评估备注:
REQ-1.2分区与隔离控制项
安全网络与系统 / 网络边界防护
将持卡人数据环境与其他网络进行隔离。
评估
评估状态:
评估备注:
REQ-1.3流量审查控制项
安全网络与系统 / 网络边界防护
定期审查入站和出站规则并清理无效规则。
评估
评估状态:
评估备注:
REQ-2.1默认配置清理控制项
安全网络与系统 / 系统加固
更改默认口令与配置,移除不必要服务。
评估
评估状态:
评估备注:
REQ-2.2安全基线控制项
安全网络与系统 / 系统加固
建立并执行系统与容器的安全加固基线。
评估
评估状态:
评估备注:
REQ-2.3持续合规监测控制项
安全网络与系统 / 系统加固
持续监测配置偏差并触发整改。
评估
评估状态:
评估备注:
REQ-3.1数据最小化控制项
数据保护 / 存储数据保护
仅保留业务必要的持卡人数据。
评估
评估状态:
评估备注:
REQ-3.2强加密与脱敏控制项
数据保护 / 存储数据保护
采用强加密、截断或脱敏保护敏感数据。
评估
评估状态:
评估备注:
REQ-3.3密钥生命周期管理控制项
数据保护 / 存储数据保护
对密钥生成、存储、轮换和销毁进行全生命周期管理。
评估
评估状态:
评估备注:
REQ-4.1安全传输协议控制项
数据保护 / 传输数据保护
使用强加密协议保护传输数据。
评估
评估状态:
评估备注:
REQ-4.2不安全协议禁用控制项
数据保护 / 传输数据保护
禁用弱协议和弱加密套件。
评估
评估状态:
评估备注:
REQ-4.3端到端保护控制项
数据保护 / 传输数据保护
对关键支付链路实施端到端加密或同等保护。
评估
评估状态:
评估备注:
REQ-10.1日志全覆盖控制项
监控与测试 / 日志与监控
对关键系统和访问行为进行日志记录。
评估
评估状态:
评估备注:
REQ-10.2集中监控控制项
监控与测试 / 日志与监控
集中收集日志并对异常行为告警。
评估
评估状态:
评估备注:
REQ-10.3日志完整性保护控制项
监控与测试 / 日志与监控
保护日志不被篡改并保留取证链路。
评估
评估状态:
评估备注:
REQ-11.1定期漏洞扫描控制项
监控与测试 / 漏洞管理与测试
按计划开展内部与外部漏洞扫描。
评估
评估状态:
评估备注:
REQ-11.2渗透测试控制项
监控与测试 / 漏洞管理与测试
定期实施渗透测试并验证修复。
评估
评估状态:
评估备注:
REQ-11.3持续攻防验证控制项
监控与测试 / 漏洞管理与测试
结合自动化手段持续验证关键控制有效性。
评估
评估状态:
评估备注: