Payment Card Industry Data Security Standard：支付卡行业数据安全标准

支付卡行业数据安全标准（Payment Card Industry Data Security Standard，PCI DSS）是一套广为接受的政策和程序，目的是为了优化信用卡，借记卡和现金卡交易的安全，保护持卡人的个人信息，已防被他人利用。支付卡行业数据安全标准于2004年由Visa卡，万事达卡，Discover卡和美国运通4个主要信用卡公司共同创建。

　　支付卡行业数据安全标准（PCI DSS）规定和阐述了六大目标：

　　第一，维持一个安全的网络，使网络上的交易可以进行。这一规定涉及防火墙的使用，它能在不给持卡人或供应商造成不便的同时也能非常有效地运行。专业防火墙可供无线局域网使用，但它非常容易被窃听和被恶意的网路黑客攻击。此外，身份验证数据，如个人识别码（PINs）和密码，不得包含供应商提供的默认值。而且用户应当能够方便﹑快捷地改变这些数据。

　　第二，持卡人信息无论存在哪，都必须受到保护。应确保存放的重要数据，如出生日期，母亲的婚前姓名，社会安全号，电话号码和邮寄地址不被破解。当持卡人的数据通过公共网络进行传送时，这些数据必须经过有效地加密。数字加密技术在各种形式的信用卡交易中都是很重要的，特别是在电子商务中。

　　第三，通过利用经常更新的反病毒软件，反间谍软件程序，和其他反恶意软件解决方案来保护系统免受恶意黑客的攻击。所有应用程序应该没有缺陷和漏洞，如果有，持卡人的数据可能被窃取或篡改。软件和操作系统（OS）厂商所提供的补丁应定期安装，以确保尽可能高的漏洞管理。

　　第四，获得系统信息和操作应当加以限制和控制。持卡人不需为企业提供信息，除非这些企业需要知道这些信息来保护自己和进行有效地交易。在该系统中每个计算机用户，必须指定一个唯一且保密的身份验证姓名或号码。

　　第五，必须不断监测和定期检查网络，以确保所有的安全措施和程序到位，正常运作并保持更新。例如，向防病毒和反间谍软件程序提供最新的定义和签名。这些程序应经常扫描所有更改的数据，应用程序，随机存取存储器（RAM）和存储介质。

　　第六，一个正式的信息安全政策必须被所有参与实体所定义，维护和遵循。对不遵守者所采取的审计和处罚等执法措施是必要的。

最近更新时间：2009-05-17 翻译：曾芸芸EN