PCI DSS要求

大型机持卡人环境(CDE)

1. 安装并维护防火墙配置，以保护持卡人数据

使用和配置系统网络架构（SNA）、SNA子集以确保CDE从非PCI环境分隔的网络安全性

2. 不要使用供应商提供的默认系统密码和其他安全参数

所有大型机系统软件有供应商提供的默认参数，例如zOS、ESM产品、数据库、工作调度、OLTP等

3. 保护存储的持卡人数据

对持卡人数据加密使用的密钥的PAN扫描、PAN/SAD/Track Data/PIN存储、保护和管理

4. 加密跨开放、公共网络的持卡人数据传输

保护、加密和监控跨外部网络传输CHD的RJE/ NJE、TELNET、SFTP和VPN通道

5. 保护所有系统抵御恶意软件，并定期更新杀毒软件或程序

虽然这似乎不存在，但历史证明很多系统工具、模块、出口和特权程序很可能被拦截，绕过ESM和zOS控制

6. 开发并维护安全系统和应用程序

安全编码标准在Web或.NET环境并不是新鲜事。Cobol、C、 C++、COBOL、 PL/I、Fortran语言和汇编语言(BAL)应用。还需要变更控制。

7. 按业务需要限制对持卡人数据

自1970年代以来，RBAC、SOD（职责分离）和最小特权原则一直是大型机方面的术语，现在依然存在。

8. 确定并验证对系统组件的访问

I-A-A：身份识别、身份验证、授权。针对每个人、的独特标示符、问责制和审计跟踪完整性。

9. 限制对持卡人数据的物理访问

托管、内部数据中心、物理安全和环境控制

10. 跟踪和监控对网络资源以及持卡人数据的访问

SMF日志、系统日志、应用日志、跟踪日志、数据库日志、网络嗅探器和相关监控及跟进

11. 定期测试安全系统和流程

zOS技术审查、CICSIMS网上交易系统审查、zOS系统软件审查、DB2/IMS数据库审查

12. 维持为所有人员解决信息安全的政策

包含所有人员的企业安全政策，大型机人员也不例外。