支付卡行业数据安全标准 (PCI DSS) - V4 合规报告
此报告显示在您站点上发现的 PCI 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规,并且可能会被视为违反法律规定。
它为什么重要
PCI 数据安全标准提供单一方法来保障所有卡品牌的敏感数据。此标准是 Visa 和 MasterCard 协作的结果,并且设计用于创建公共的行业安全要求。在美国运营的其他卡公司(如 American Express®、Discover、JCB 和 Diners)也已在其各自的计划内认可了 PCI 数据安全标准。PCI DSS 漏洞
| ID | 名称 |
|---|---|
| 要求2 | 将安全配置应用于所有系统组件。 |
| 要求2.2.2 | 如果将使用供应商默认帐户,则根据要求 8.3.6 更改默认密码。如果不使用供应商默认帐户,则该帐户将被删除或禁用。 |
| 要求2.2.4 | 仅启用必要的服务、协议、守护程序和功能,并删除或禁用所有不必要的功能。 |
| 要求2.2.6 | 配置系统安全参数以防止误操作。 |
| 要求4 | 在开放的公共网络上传输期间,使用强大的加密技术保护持卡人数据。 |
| 要求5 | 保护所有系统和网络免受恶意软件的侵害。 |
| 要求6 | 开发和维护安全系统和应用程序。 |
| 要求6.2.1 | 定制和定制软件是安全开发的。 |
| 要求 6.2.4.1 | 软件开发人员定义并使用软件工程技术或其他方法来防止或减轻定制和自定义软件中的常见软件攻击和相关漏洞,包括但不限于注入攻击,包括 SQL、LDAP、XPath 或其他命令,参数、对象、故障或注入型缺陷。 |
| 要求 6.2.4.2 | 软件开发人员定义并使用软件工程技术或其他方法来防止或减轻定制和自定义软件中的常见软件攻击和相关漏洞,包括但不限于对数据和数据结构的攻击,包括尝试操纵缓冲区、指针、输入数据或共享数据。 |
| 要求 6.2.4.3 | 软件开发人员定义并使用软件工程技术或其他方法来防止或减轻定制和定制软件中的常见软件攻击和相关漏洞,包括但不限于对加密使用的攻击,包括尝试利用弱、不安全或不适当的加密实现、算法、密码套件或操作模式。 |
| 要求 6.2.4.4 | 软件开发人员定义并使用软件工程技术或其他方法来防止或减轻定制和自定义软件中的常见软件攻击和相关漏洞,包括但不限于对业务逻辑的攻击,包括尝试滥用或绕过应用程序功能和通过操纵 API、通信协议和通道、客户端功能或其他系统/应用程序功能和资源来实现功能。这包括跨站点脚本(XSS)和跨站点请求伪造(CSRF)。 |
| 要求 6.2.4.5 | 软件开发人员定义并使用软件工程技术或其他方法来防止或减轻定制和定制软件中的常见软件攻击和相关漏洞,包括但不限于对访问控制机制的攻击,包括尝试绕过或滥用身份识别,身份验证或授权机制,或尝试利用此类机制实施中的弱点。 |
| 要求 6.3 | 识别并解决安全漏洞。 |
| 要求6.3.3 | 通过安装适用的安全补丁/更新,所有系统组件都可以免受已知漏洞的影响。 |
| 要求 6.4 | 面向公众的 Web 应用程序受到保护,免受攻击。 |
| 要求 6.5.6 | 在系统投入生产之前,测试数据和测试帐户将从系统组件中删除。 |
| 要求7 | 根据业务需要限制对系统组件和持卡人数据的访问。 |
| 要求 7.1 | 将系统组件和持卡人数据的访问权限限制为只有工作需要此类访问权限的人员才能访问。 |
| 要求7.2.2 | 访问权限是根据以下条件分配给用户(包括特权用户)的: 工作分类和职能以及履行工作职责所需的最低权限。 |
| 要求7.2.6 | 所有用户对存储的持卡人数据的查询存储库的访问都受到如下限制:通过应用程序或其他编程方法,根据用户角色和最低权限进行访问和允许的操作。只有负责的管理员才能直接访问或查询存储的 CHD 的存储库。 |
| 要求8.2.8 | 如果用户会话空闲时间超过15分钟,则需要用户重新认证才能重新激活终端或会话。 |
| 要求8.3.1 | 用户和管理员对系统组件的所有访问都至少通过以下身份验证因素之一进行身份验证: 您知道的信息,例如密码或口令。您拥有的东西,例如令牌设备或智能卡。你是什么,比如生物识别元素。 |
| 要求8.3.2 | 强大的加密技术用于使所有身份验证因素在所有系统组件上的传输和存储过程中不可读。 |
| 要求 8.6.2 | 可用于交互式登录的任何应用程序和系统帐户的密码/口令都不会硬编码在脚本、配置/属性文件或定制和自定义源代码中。 |
| 要求 11.4 | 定期进行外部和内部渗透测试,并纠正可利用的漏洞和安全弱点。 |