支付卡行业数据安全标准 (PCI DSS) 的制定旨在促进和增强支付卡账户数据的安全性,并推动全球范围内一致的数据安全措施的广泛采用。PCI DSS 提供了一套技术和操作要求的基线,旨在保护账户数据。虽然该标准专门针对包含支付卡账户数据的环境,但也可用于防范威胁并保护支付生态系统中的其他元素。
根据 PCI DSS,关于持卡人数据安全共有 12 项不同的要求。所有接受、存储、处理或传输卡信息的企业,无论在线还是离线,都必须遵循这些要求。请参阅以下摘要。
PCI DSS 概述
| 要求 | 要求描述 |
|---|---|
| 构建和维护安全的网络和系统 |
|
| 保护账户数据 |
|
| 维护漏洞管理程序 |
|
| 实施强访问控制措施 |
|
| 定期监控和测试网络 |
|
| 维护信息安全政策 |
|
Endpoint Central 满足的 PCI DSS 4.0.1 要求
ManageEngine Endpoint Central 作为统一的端点管理和安全解决方案,能够帮助组织遵守 PCI DSS 要求。本文档将帮助 IT 团队了解 ManageEngine 的 Endpoint Central 及其如何帮助满足 PCI DSS 要求。
下表概述了 Endpoint Central 满足的 PCI DSS 控制要求。所列要求描述取自 PCI 安全标准委员会网站: https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0_1.pdf
注意:带 # 标记的要求可通过 Endpoint Central 安全版 独有的高级功能满足。
| 要求 | 要求描述 | Endpoint Central 如何满足该要求? |
|---|---|---|
| 1.2.5 (#) | 所有允许的服务、协议和端口均已识别、批准且有明确的业务需求。 | SecOps 可以在其环境中执行 端口审计 ,在零日漏洞攻击情况下,利用 Endpoint Central 大幅减少攻击面。 |
| 1.2.6 (#) | 对所有正在使用且被认为不安全的服务、协议和端口,定义并实施安全功能,以降低风险。 | Endpoint Central 通过其威胁评估功能,识别网络中的脆弱入口(端口、易受攻击软件等),并应用修复措施。 |
| 1.3.2 (#) | 限制来自 CDE 的出站流量,具体如下:
| Endpoint Central 的高级数据丢失防护技术,结合其有效的邮件和云上传保护方案,仅允许关键企业数据通过邮件或云上传共享到受信任域。 |
| 1.4.1 | 在受信任网络和非受信任网络之间实施网络安全控制 (NSCs)。 | Endpoint Central 的网络中立架构允许管理员管理和保护即使与互联网隔离的 CDE 系统。 |
| 1.4.5 | 仅向授权方披露内部 IP 地址和路由信息。 | 管理员可为 Endpoint Central 服务器配置 NAT 设置 ,使管理端点能够通过 FQDN (全限定域名) 联系服务器。 |
| 1.5.1 (#) | 在连接到非受信任网络(包括互联网)和 CDE 的任何计算设备上实施安全控制,包括公司和员工自有设备:
| 通过 Endpoint Central 的设备控制模块,可以实现并自动执行零信任策略,确保所有端点数据免受未经授权的外设设备访问。Endpoint Central 还允许部署各种安全策略和配置到终端用户机器,限制其是否允许连接外部 USB 设备或连接非受信任网络。 参见: 零信任安全 (#) USB 设备安全 安全策略 安全浏览器配置(#) 恶意软件防护 |
| 2.2.1 (#) | 制定、执行并维护配置标准以:
| Endpoint Central 使您能识别网络中的脆弱攻击面,并在代理机器上应用相应的补救措施。管理员可以根据检测到的漏洞严重性安排补丁部署。 参见: 自动补丁部署 (#) 实现 CIS 合规 (#) |
| 2.2.2 | 供应商默认账户管理如下:
| 利用 Endpoint Central,可对终端用户机器应用严格密码策略,移除未使用账户。 参见: |
| 2.2.4 (#) | 仅启用必要服务、协议、守护进程和功能,所有不必要功能均被移除或禁用。 | 应用控制模块中的基于策略的阻止列表配置通过限制不必要进程增强安全性。可使用 Endpoint Central 应用安全配置如 USB 保护、权限管理、安全策略、防火墙配置。 参见: 应用阻止列表 (#) USB 设备安全 安全策略 安全浏览器配置 |
| 2.2.5 | 若存在任何不安全的服务、协议或守护进程: • 记录业务理由。 • 记录并实施额外安全措施,以降低使用不安全服务、协议或守护进程的风险。 | Endpoint Central 可帮助识别 安全配置错误,包括不安全的遗留协议的存在。 |
| 2.2.6 | 配置系统安全参数以防止滥用。 | 通过应用 Endpoint Central 对应配置,可修改注册表设置、账户、文件、目录权限及功能、端口、协议和远程连接的安全参数。
|
| 2.2.7 | 所有非控制台的管理访问均采用强加密。 | Endpoint Central 在远程故障排除操作中采用 256 位高级加密标准 (AES) 协议。Endpoint 还可运行在 FIPS 模式,确保安全运行。 |
| 3.3.2 | 在授权完成前电子存储的敏感认证数据 (SAD) 采用强加密。 | Endpoint Central 帮助管理员使用 Bitlocker 管理对 Windows 设备加密,及使用 FileVault 对 Mac 设备加密。 Android 和 iOS 设备 也可通过我们的 MDM 功能加密。 |
| 3.5.1 | 主账号 (PAN) 在任何存储位置均通过以下任一方式处理为不可读取: • 基于强加密的单向哈希处理完整 PAN。 • 截断(哈希不可替代 PAN 截断部分)。 — 在环境中若存在同一 PAN 的哈希与截断版,或不同截断格式,附加控制措施确保不同版本间不可关联以还原原始 PAN。 • 索引令牌。 • 采用强加密及相关密钥管理流程和程序。 | Endpoint Central 帮助管理员使用 Bitlocker 管理对 Windows 设备加密,及使用 FileVault 对 Mac 设备加密。Android 和 iOS 设备 也可通过我们的 MDM 功能加密。 |
| 3.5.1.2 | 若使用磁盘级或分区级加密(非文件、列或字段级数据库加密)来使 PAN 不可读,其实施仅限于: • 可移动电子介质 或 • 若用于不可移动电子介质,PAN 同时通过另一个满足要求 3.5.1 的机制实现不可读。 | Android 和 iOS 设备 及其 SD 卡 可通过我们的 MDM 功能加密。 |
| 3.5.1.3 | 若使用磁盘级或分区级加密(非文件、列或字段级数据库加密)使 PAN 不可读,其管理方式如下: • 逻辑访问独立于操作系统本地认证和访问控制机制单独管理。 • 解密密钥不与用户账户关联。 • 允许访问未加密数据的认证因素(密码、口令或加密密钥)安全存储。 | Endpoint Central 协助管理员使用 Bitlocker 管理对 Windows 设备加密,及用 FileVault 加密 Mac 设备。我们的 Bitlocker 管理功能 更加细粒度,符合此处提及的要求。 |
| 3.6.1 | 定义并实施保护加密密钥的程序,防止存储账户数据的密钥泄露和滥用,内容包括: • 限制访问密钥的管理人员数量至最少。 • 密钥加密密钥强度不少于其保护的数据加密密钥。 • 密钥加密密钥与数据加密密钥分开存储。 • 密钥以尽可能少的地点和形式安全存储。 Endpoint Central 的 Bitlocker 管理支持 | 恢复密钥 部署了反恶意软件解决方案于所有系统组件,除按要求 5.2.3 定期评估确定无恶意软件风险的系统组件外。 |
| 5.2.1 | Endpoint Central 内置 | 下一代防病毒引擎 (目前作为抢先体验版本提供),使用 AI 协助的实时行为检测和深度学习技术主动检测网络威胁。 部署的反恶意软件解决方案: |
| 5.2.2 | • 检测所有已知类型恶意软件。 • 删除、阻断或隔离所有已知类型恶意软件。 Endpoint Central 内置下一代防病毒引擎,凭借 AI 协助的实时行为检测和深度学习技术主动检测网络威胁。 除实时威胁检测外,Endpoint Central 还主动执行事故取证,帮助 SecOps 分析威胁的根本原因和严重性。 | 若下一代防病毒引擎检测到端点存在可疑行为,可隔离该端点,并在彻底取证分析后允许其重新投入生产。 Endpoint Central 还通过利用微软的卷影复制服务,每三小时提供网络中文件的即时且不可删除备份。 如果文件受勒索软件感染,可使用最新备份文件进行恢复。 Endpoint Central 配置为执行自动更新。 |
| 5.3.1 | The anti-malware solution(s) is kept current via automatic updates. | Endpoint Central is configured to perform automatic updates. |
| 5.3.2 | 防恶意软件解决方案: • 执行定期扫描以及主动或实时扫描。 或 • 对系统或进程执行持续的行为分析。 | Endpoint Central 的下一代杀毒软件(Next Gen Antivirus)可以在进程创建时、DLL 加载时或新文件下载或引入端点时进行实时扫描。 我们的 NGAV 还具有行为引擎,能够分析端点中的进程是否存在可疑活动。 |
| 5.3.3 (#) | 在媒体插入、连接或逻辑挂载时执行自动扫描。 | 每当任何外设设备尝试连接到端点时,无论是通过插入还是蓝牙,都会触发自动扫描过程,并根据创建的策略执行审核扫描。这是除了我们的 NGAV 启动扫描以检测任何恶意软件存在之外的功能。
|
| 5.3.4 | 防恶意软件解决方案的审核日志已启用,并按照要求 10.5.1 保留。 | 根据管理员配置的时间段(例如:12 个月),检测到的事件可以在控制台中保留至配置时间。我们的解决方案还与如 Eventlog Analyzer、Splunk、Rapid 7 等 SIEM 工具集成。 |
| 5.3.5 | 防恶意软件机制不得被用户禁用或更改,除非有明确文件说明,并经管理层在个别情况下有限期授权。 | 我们的 NGAV 是防篡改的,终端用户无法禁用。 Endpoint Central 还具备 基于角色的访问控制 以确保仅限部分管理员能够访问 Endpoint Central 控制台。 |
| 5.4.1 (#) | 配置流程和自动化机制以检测并保护人员免受钓鱼攻击。 | Endpoint Central 利用其 安全浏览器配置,特别是钓鱼过滤器,保护终端用户免受钓鱼攻击。 |
| 6.3.1 (#) | 安全漏洞的识别和管理如下:
| Endpoint Central 识别网络中的安全漏洞,并根据应优先处理的顺序列出漏洞。可根据产品控制台触发修复措施。
|
| 6.3.3 | 通过安装相关安全补丁/更新保护所有系统组件免受已知漏洞影响,如下所示:
| 利用漏洞评估和修复功能,Endpoint Central 确保网络中所有系统均对关键威胁完全防护。 自动补丁部署(APD)功能使系统管理员可以在无人干预的情况下,自动更新所有缺失补丁。 参见: |
| 7.2.1 (#) | 执行岗位职能所需的最小权限(例如用户、管理员) | 应用控制模块中的最小权限原则(PoLP)功能支持将广泛的权限降至仅执行功能所需的最低限度。该功能不仅限于用户,系统、应用程序和服务同样受益。
|
| 7.3.1 (#) | 配置访问控制系统,基于用户的知情需求限制访问,覆盖所有系统组件。 | Endpoint Central 的应用控制模块允许管理员 许可名单/阻止名单 管理系统中的软件应用。 它执行 条件访问策略,确保只有授权用户才能访问关键业务系统和敏感数据。 Endpoint Central 还具备 及时访问(Just-in-time) 功能,管理员可授权终端用户临时/特定访问权限。 |
| 8.2.5 | 终止用户的访问权限立即撤销。 | Endpoint Central 协助管理员执行 远程擦除 以确保企业数据安全。 |
| 8.2.6 | 非活跃用户账户在 90 天内未使用时被删除或禁用。 | Endpoint Central 使 IT 管理员能够查找并删除非活跃用户账户。 |
| 8.2.8 | 如果用户会话空闲超过 15 分钟,用户需要重新认证以重新激活终端或会话。 | Endpoint Central 通过其电源管理配置,能设定终端用户设备执行诸如调暗或关闭显示、计算机从睡眠状态恢复时提示输入密码等活动。
|
| 8.3.1 | 用户和管理员对系统组件的访问通过以下至少一种身份验证因素认证:
| Endpoint Central 能辅助创建和配置强密码,保护设备安全,防止未经授权访问组织端点。
|
| 8.3.4 (#) | 限制无效认证尝试:
| Endpoint Central 的漏洞管理功能允许 IT 管理员设置密码输入次数阈值,超出即限制账户访问,以防止未授权访问。同时支持管理员设置 移动设备密码策略 适用于 Android、Apple 和 Windows 设备,确保终端用户创建强密码。 参见: 账户锁定持续时间 (#) |
| 8.3.7 | 不允许用户设置的新密码与最近四个密码相同。 | Endpoint Central 的移动设备管理功能支持维护多个密码历史记录,管理员可设定历史密码数量,防止用户重新使用旧密码。 参见: |
| 8.3.9 | 如果密码/口令作为唯一认证因素(即单因素认证),则: • 密码/口令至少每 90 天更换一次; 或 • 账户安全状态进行动态分析,并实时自动决定资源访问。 | Endpoint Central 的 MDM 功能可配置密码策略,如密码长度、最大密码期限等,并能生成即将过期密码用户的自定义报告。 参见: |
| 9.2.3 | 设施内对无线接入点、网关、网络/通信硬件及电信线路的物理访问受限。 | Endpoint Central 具备 Wifi 策略, 限制措施 以及 基于证书的认证 (用于无线接入点访问)针对移动设备。 |
| 9.4.1 (#) | 所有包含持卡人数据的媒介均受到物理安全保护。 | 一旦数据被识别并分类为包含 PCI 相关信息的敏感数据,Endpoint Central 利用数据丢失防护技术,限制关键企业数据通过可移动存储媒介暴露、泄漏、打印甚至通过剪贴板方式复制。 |
| 9.4.2 (#) | 所有包含持卡人数据的媒介均根据数据敏感性进行分类。 | 借助 Endpoint Central 简化而有效的数据规则,识别包含银行代码、ABA 路由号码、IBAN(国际银行账号)和信用卡号的企业关键数据更为准确和高效。 |
| 11.3.1 (#) | 内部漏洞扫描执行如下:
|
Endpoint Central 识别网络中的安全漏洞,并根据应优先处理的顺序列出漏洞。可根据产品控制台触发修复措施。 参见: 漏洞管理 (#) |
| 12.2.1 | 终端用户技术的可接受使用政策已编制并实施,包括: • 经授权方明确批准。 • 技术的可接受使用范围。 • 公司批准员工使用的产品清单,包括硬件和软件。 |
Endpoint Central 可启用 使用条款 文档部署到员工设备上,仅在员工同意后才开始管理设备,实际获得用户对设备管理的授权。 |
| 12.3.4 (#) | 分发组织的可接受 IT 使用政策。
| 记录获得高级管理层批准的过时技术修复计划,包括厂商宣布“终止支持”计划的技术。
|
| 12.5.1 (#) | 审核寿命终止软件 | 维护并更新针对 PCI DSS 范围内的系统组件清单,包括功能/用途描述。
|
库存管理
PCI DSS 合规的核心在于厂商必须展示对系统和流程的严格安全措施以保护持卡人信息。不遵守 PCI DSS 可能导致品牌和声誉受损,以及在数据泄露影响客户支付卡数据时可能面临高额罚款。
