合规性 > PCI DSS

使用 Endpoint Central 轻松满足 PCI DSS 标准

免费试用帮助我合规

为什么 Endpoint Central 对 PCI DSS 至关重要？

漏洞评估与补丁管理
应用与访问控制
强大的恶意软件防护

Endpoint Central 提供跨 Windows、Linux、macOS 及 Windows Server 环境的自动补丁管理和漏洞扫描。它还能识别网络设备中的漏洞，增强整体安全性。及时打补丁对于合规并防止已知漏洞被利用至关重要。

漏洞管理

借助 Endpoint Central，管理员可以实施应用白名单和黑名单，执行最小权限原则，移除不必要的管理员账户，并提供即时访问（JIT）。此方法在保持运营效率的同时尽量减少攻击面。

应用控制

Endpoint Central 通过强大的反恶意软件工具、一键数据恢复和终端隔离功能增强安全性。这些功能减少干扰，简化事件响应，并支持安全事件的快速恢复。

反恶意软件

查看全部功能

PCI DSS 4.0.1 有哪些新内容？

PCI DSS 4.0.1 引入了多项改进，以增强标准的可用性和清晰度。虽然未引入新的安全要求，但提供了关键更新以确保更精确的实施。

补丁管理澄清 恢复了 PCI DSS v3.2.1 的表述，指定 30 天的补丁要求仅适用于关键漏洞，确保组织有效聚焦高风险安全威胁。
支付页面脚本的增强指导 添加适用性说明，澄清支付页面第三方脚本的安全措施，加强对刷卡器和注入攻击的防护。
多因素身份验证（MFA）澄清 提供卡片数据环境中 MFA 要求的指导，帮助企业将认证控制与不断变化的安全需求保持一致。
通用的可用性和一致性更新 提高多个章节的可读性和清晰度，确保在不同环境下安全要求的一致解释。

使用 Endpoint Central 进行 PCI DSS 控制映射

我们已仔细将 Endpoint Central 的功能映射到 PCI DSS 4.0.1 中的安全要求。利用 Endpoint Central，您的组织可以有效地在 IT 基础设施中实施 PCI DSS 控制，确保支付卡数据的保护。此映射展示了我们解决方案如何与 PCI DSS 要求对齐，帮助您简化合规工作、强化安全并降低风险。需求描述摘自 PCI 安全标准委员会网站.

需求	需求描述	Endpoint Central 如何满足该需求？
1.2.5 (#)	所有允许的服务、协议和端口均已识别、批准且有明确的业务需求。	安全运营团队可进行端口审计并通过 Endpoint Central 大幅减少攻击面，以防零日漏洞利用。
1.2.6 (#)	定义并实施所有使用中且被视为不安全的服务、协议和端口的安全功能，从而降低风险。	Endpoint Central 利用其威胁评估能力，识别网络中脆弱的入口点（端口、易受攻击的软件等）并进行修复。参考：设备控制用于端口审计 (#) 软件审计 (#)
1.3.2 (#)	限制来自 CDE（持卡人数据环境）的出站流量如下：只允许必要的流量。明确拒绝所有其他流量。	Endpoint Central 的先进数据丢失防护技术，配合有效的电子邮件和云上传保护解决方案，限制关键企业数据仅共享至受信任域，无论是通过电子邮件还是云上传。参考：邮件安全 (#) 云保护 (#)
1.4.1	在受信任与不受信任网络之间实施网络安全控制（NSCs）。	Endpoint Central 的网络中立架构允许管理员管理和保护即便与互联网隔离的 CDE 系统。参考： Endpoint Central 的 DMZ 架构
1.4.5	限制内部 IP 地址和路由信息的披露，只允许授权方访问。	管理员可为 Endpoint Central 服务器配置 NAT 设置，使托管终端可通过 FQDN（完全限定域名）访问服务器。
1.5.1 (#)	针对连接至不受信任网络（包括互联网）和 CDE 的计算设备（包括公司和员工所有设备）实施安全控制如下：定义特定配置设置以防止威胁进入实体网络。安全控制处于活动运行状态。除非经管理层逐案授权且有限时，用户不得更改安全控制。	利用 Endpoint Central 的设备控制模块，可实施并自动化零信任策略，确保所有终端数据免受未经授权外围设备的访问和限制。Endpoint Central 还允许您向终端部署各种安全策略和配置，限制是否允许连接外部 USB 设备或接入不受信任网络。参考：零信任安全 (#) 保护 USB 设备安全策略安全浏览器配置(#) 恶意软件防护
2.2.1 (#)	制定、实施和维护配置标准，以：涵盖所有系统组件。解决所有已知安全漏洞。与行业接受的系统加固标准或供应商加固建议保持一致。根据需求 6.3.1，在识别新漏洞后进行更新。在新系统配置时应用，并在生产环境中连接系统组件之前或之后立即确认生效。	Endpoint Central 可帮助您识别网络中的脆弱攻击面，并对代理机执行相应修复步骤。管理员可根据检测到漏洞的严重性安排补丁部署。参考：自动补丁部署 (#) 实现 CIS 合规 (#)
2.2.2	供应商默认账户管理如下：若使用供应商默认账户，需根据要求 8.3.6 更改默认密码。若不使用供应商默认账户，则移除或禁用该账户。	使用 Endpoint Central，可以对终端应用严格密码策略，并删除未使用账户。参考：密码策略用户管理用户账户状态报告
2.2.4 (#)	仅启用必要的服务、协议、守护进程和功能，移除或禁用所有不必要的功能。	基于策略的黑名单配置（应用控制模块的部分）通过限制不必要进程辅助安全。使用 Endpoint Central 可应用安全配置，如 USB 保护、权限管理、安全策略、防火墙配置。参考：应用黑名单 (#) 保护 USB 设备安全策略安全浏览器配置
2.2.5	如存在不安全的服务、协议或守护进程： • 需有业务合理性文件证明。 • 实施并文件化额外安全功能，以降低使用这些不安全服务、协议或守护进程的风险。	Endpoint Central 可帮助识别安全配置错误，包括存在不安全的遗留协议。
2.2.6	配置系统安全参数以防止滥用。	可通过 Endpoint Central 应用相应配置，修改注册表设置、账户、文件、目录权限以及功能、端口、协议和远程连接的安全参数。参考：配置注册表设置
2.2.7	所有非控制台的管理访问均使用强加密保护。	Endpoint Central 在远程故障排除过程中采用 256 位高级加密标准（AES）协议。终端还可运行 FIPS 模式，确保安全运行。
3.3.2	在授权完成前电子存储的敏感认证数据（SAD）通过强加密保护。	Endpoint Central 可以帮助管理员使用 Bitlocker 管理加密 Windows 设备，以及使用 FileVault 加密 Mac 设备。 Android 和 iOS 设备也可通过我们的 MDM 功能加密。
3.5.1	PAN（主账号）在存储的任何地方均通过以下任一方法进行不可读化处理：基于强加密的单向哈希整个 PAN。截断（哈希不能替代截断的 PAN 段）。- 如果环境中存在相同 PAN 的哈希和截断版本，或不同的截断格式，则采取附加控制，避免不同版本的关联重构出原始 PAN。索引令牌。具备相关密钥管理流程和程序的强加密。	Endpoint Central 可以帮助管理员使用 Bitlocker 管理加密 Windows 设备，以及使用 FileVault 加密 Mac 设备。Android 和 iOS 设备也可通过我们的 MDM 功能加密。
3.5.1.2	如果使用磁盘级或分区级加密（而非文件、列或字段级数据库加密）使 PAN 不可读，则仅在以下情况下实施：在可移除电子媒介上或如果用于不可移除电子媒介，则通过另一满足需求 3.5.1 的机制使 PAN 不可读。	Android 和 iOS 设备及其 SD 卡可通过我们的 MDM 功能加密。
3.5.1.3	若使用磁盘级或分区级加密（非文件、列或字段级数据库加密）使 PAN 不可读，则管理如下：逻辑访问独立管理，区别于操作系统本地认证和访问控制机制。解密密钥不与用户账户相关联。允许访问未加密数据的身份验证因素（密码、短语或加密密钥）被安全存储。	Endpoint Central 可以帮助管理员使用 Bitlocker 管理加密 Windows 设备，以及使用 FileVault 加密 Mac 设备。我们的 Bitlocker 管理功能更加细粒度，能满足此处提及的要求。
3.6.1	已定义并实施保护用于保护存储账户数据的加密密钥免受泄露和滥用的程序，包括： include: 访问密钥的权限限制在必要的最少数量的管理人员范围内。密钥加密密钥至少与其保护的数据加密密钥一样强。密钥加密密钥与数据加密密钥分开存储。密钥以尽可能少的位置和形式安全存储。	Endpoint Central 的 Bitlocker 管理提供了恢复密钥
5.2.1	除周期性评估中根据需求 5.2.3 结论确认不受恶意软件风险影响的系统组件外，所有系统组件均部署了反恶意软件解决方案。	Endpoint Central 内置了下一代防病毒引擎（目前作为抢先体验提供），通过 AI 辅助的实时行为检测和深度学习技术，主动检测网络威胁。
5.2.2	部署的反恶意软件解决方案：检测所有已知类型的恶意软件。移除、阻止或隔离所有已知类型的恶意软件。	Endpoint Central 内置的下一代防病毒引擎通过 AI 辅助的实时行为检测和深度学习技术，主动检测网络威胁。除实时威胁检测外，Endpoint Central 还积极执行事件取证，以便安全运营人员分析威胁的根本原因和严重程度。如果下一代防病毒引擎在端点检测到可疑行为，可以隔离这些端点，经过彻底的取证分析后再部署回生产环境。 Endpoint Central 还利用微软的卷影复制服务，每三小时提供网络中文件的即时、不可擦除备份。如果文件被勒索软件感染，可以通过最近的备份副本恢复该文件。
5.3.1	反恶意软件解决方案通过自动更新保持最新状态。	Endpoint Central 配置为执行自动更新。
5.3.2	反恶意软件解决方案：执行定期扫描和主动或实时扫描。或持续对系统或进程进行行为分析。	Endpoint Central 的下一代防病毒可以在进程创建、DLL 加载或新文件下载/导入端点时进行实时扫描。我们的下一代防病毒还拥有行为引擎，分析端点进程中的可疑活动。
5.3.3 (#)	执行媒体插入、连接或逻辑挂载时的自动扫描。	只要任何外部设备试图通过插入或蓝牙连接端点，即会触发自动扫描过程，并根据创建的策略执行审计扫描。除此之外，我们的下一代防病毒也会主动启动扫描检测恶意软件。参考：设备扫描和审计 (#)
5.3.4	反恶意软件解决方案的审计日志已启用，并根据需求 10.5.1 保留。	根据管理员配置的时间周期（如 12 个月），检测到的事件可以在控制台中保留至该期限。我们的解决方案还集成了 SIEM 工具，如 Eventlog Analyzer、Splunk、Rapid 7 等。
5.3.5	反恶意软件机制不可被用户禁用或更改，除非有明确文档并经管理层逐案授权且期限有限。	我们的下一代防病毒具备防篡改功能，终端用户无法禁用。Endpoint Central 还具备基于角色的访问控制确保只有有限的管理员可访问 Endpoint Central 控制台。
5.4.1 (#)	已建立流程和自动机制检测并保护人员免受网络钓鱼攻击。	Endpoint Central 利用其安全浏览器配置尤其是钓鱼过滤器，保护终端用户免受钓鱼攻击。
6.3.1 (#)	安全漏洞的识别与管理如下：通过行业认可的安全漏洞信息来源，包括国际和国家计算机应急响应团队（CERT）发布的警报，识别新的安全漏洞。根据行业最佳实践和潜在影响，漏洞被分配风险等级。风险等级至少确定所有被视为对环境高风险或关键的漏洞。定制和第三方软件（例如操作系统和数据库）的漏洞都包含在内。	Endpoint Central 识别网络中的安全漏洞，并按优先级列出需解决的漏洞。可以从产品控制台触发修复。参考：漏洞管理 (#)
6.3.3	通过安装适用的安全补丁/更新保护所有系统组件免受已知漏洞影响，具体如下：针对关键漏洞（根据需求 6.3.1 风险评估进程确定的）发布后一个月内安装补丁/更新。其他适用的安全补丁/更新根据实体评估的环境风险关键性，在适当时间内安装。	利用漏洞评估和修复能力，Endpoint Central 确保网络内所有系统完全覆盖关键威胁。自动补丁部署（APD）功能允许系统管理员自动更新所有或部分缺失补丁，无需人工干预。参考：补丁部署过程
7.2.1 (#)	执行工作职能所需的最低权限（例如用户、管理员）	应用控制模块中的最小权限原则（PoLP）功能支持将广泛权限降低到仅足以执行职能的最低程度。该功能不仅限于用户，也适用于系统、应用和服务。参考：权限管理 (#)
7.3.1 (#)	设有基于用户知情需求限制访问的访问控制系统，并覆盖所有系统组件。	Endpoint Central 的应用控制模块允许管理员白名单/黑名单系统中的软件应用。它执行条件访问策略确保只有授权用户能够访问关键业务系统和敏感数据。 Endpoint Central 还提供即时访问允许管理员为终端用户授权临时或特定访问权限。
8.2.5	终止用户的访问权限立即被撤销。	Endpoint Central 帮助管理员执行远程擦除以确保企业数据安全。
8.2.6	非活跃用户账户在连续不活跃 90 天后被删除或禁用。	Endpoint Central 使 IT 管理员能够查找并删除非活跃用户账户。参考：用户管理活动目录用户报告
8.2.8	如果用户会话空闲超过 15 分钟，用户需重新认证以重新激活终端或会话。	Endpoint Central 配合其电源管理配置，可设置终端执行屏幕变暗或关闭、恢复时提示输入密码等操作。参考：电源管理
8.3.1	所有用户和管理员对系统组件的访问均通过以下至少一种认证因素进行认证：你知道的东西，如密码或口令。你拥有的东西，如令牌设备或智能卡。你是的东西，如生物识别元素。	Endpoint Central 可以帮助创建和配置强密码，保护设备安全，防止入侵者访问组织端点。参考：密码策略移动设备管理（MDM）配置文件的密码设置
8.3.4 (#)	限制无效认证尝试：用户 ID 不超过 10 次尝试后锁定。锁定时间至少为 30 分钟，或直至用户身份确认。	Endpoint Central 的漏洞管理功能允许 IT 管理员指定限制密码输入次数，防止未经授权访问。它还允许管理员设置密码政策适用于运行 Android、Apple 和 Windows 的移动设备，确保终端用户创建强密码。参考：账户锁定持续时间 (#)
8.3.7	不允许提交与最近四个密码/口令相同的新密码/口令。	Endpoint Central 的移动设备管理功能可维护多个密码历史记录，允许 IT 管理员指定需保存的历史密码数，防止用户重复使用。参考： MDM 密码
8.3.9	如果密码/口令作为唯一认证因素使用（即单因素认证），则：密码/口令至少每 90 天更改一次，或动态分析账户安全状态，并根据分析结果自动确定实时资源访问权限。	Endpoint Central 的 MDM 功能可配置密码策略，允许设定密码长度、最大密码年龄等特征。还可生成密码即将过期用户的自定义报告。参考： MDM 密码
9.2.3	设施内无线接入点、网关、网络/通信硬件和电信线路的物理访问被限制。	Endpoint Central 具有 Wifi 策略, 限制及基于证书的认证（用于访问无线接入点）针对移动设备。
9.4.1 (#)	所有包含持卡人数据的介质均实现物理安全。	当数据被识别并归类为包含 PCI 相关敏感信息时，Endpoint Central 通过数据防泄漏技术限制关键企业数据通过可移动存储介质泄露、打印或使用剪贴板复制。参考：设备控制（#）内部威胁 (#)
9.4.2 (#)	所有包含持卡人数据的介质均根据数据敏感性进行分类。	通过 Endpoint Central 简化且高效的数据规则，更有效、精确地识别包含银行代码、ABA 路由号码、国际银行账号（IBAN）和信用卡号码的企业关键数据。参考：数据发现（#）数据分类 (#)
11.3.1 (#)	内部漏洞扫描执行如下：至少每三个月一次。解决所有高风险或关键漏洞（根据需求 6.3.1 所定义的风险级别）。重新扫描确认所有高风险和关键漏洞已被解决。扫描工具保持最新漏洞信息更新。由具备资质的人员执行扫描，且测试人员具有组织独立性。	Endpoint Central 识别网络中的安全漏洞，并按优先级列出需解决的漏洞。可以从产品控制台触发修复。参考：漏洞管理（#）
12.2.1	终端用户技术的可接受使用政策被记录和实施，包括：经授权方的明确批准。技术的可接受使用范围。公司批准供员工使用的硬件和软件产品清单。	Endpoint Central 可以启用使用条款文档部署到员工设备，只有获得员工同意后，Endpoint Central 才开始管理设备，有效获取用户设备管理同意。管理员还可以通过其内容目录.
12.3.4 (#)	发布组织的可接受 IT 使用政策。使用的硬件和软件技术每 12 个月至少审查一次，包括以下内容：供应商是否及时提供安全修复。技术支持实体的 PCI DSS 合规性（且不妨碍合规）。任何供应商宣布技术“生命终止”计划的行业公告或趋势。	经高级管理层批准的旧技术修复计划，包括供应商声明的“生命终止”技术。参考： Endpoint Central 持续监控实体网络中软件的生命周期终止，并在必要时应用安全补丁。 (#)
12.5.1 (#)	审计寿终正寝软件	维护并保持最新的 PCI DSS 范围内系统组件清单，包括功能/用途描述。参考： Endpoint Central 管理 IT 资产清单，并映射至对应 IT 组件。结合其先进数据防泄漏技术，保护敏感数据免受日益增长的威胁。 (#) 扫描、管理和保护数据

需求

需求描述

Endpoint Central 如何满足该需求？

1.2.5 (#)

所有允许的服务、协议和端口均已识别、批准且有明确的业务需求。

安全运营团队可进行端口审计并通过 Endpoint Central 大幅减少攻击面，以防零日漏洞利用。

1.2.6 (#)

定义并实施所有使用中且被视为不安全的服务、协议和端口的安全功能，从而降低风险。

Endpoint Central 利用其威胁评估能力，识别网络中脆弱的入口点（端口、易受攻击的软件等）并进行修复。

参考：
设备控制用于端口审计 (#)
软件审计 (#)

1.3.2 (#)

限制来自 CDE（持卡人数据环境）的出站流量如下：

只允许必要的流量。
明确拒绝所有其他流量。

Endpoint Central 的先进数据丢失防护技术，配合有效的电子邮件和云上传保护解决方案，限制关键企业数据仅共享至受信任域，无论是通过电子邮件还是云上传。

参考：
邮件安全 (#)
云保护 (#)

1.4.1

在受信任与不受信任网络之间实施网络安全控制（NSCs）。

Endpoint Central 的网络中立架构允许管理员管理和保护即便与互联网隔离的 CDE 系统。

参考：
Endpoint Central 的 DMZ 架构

1.4.5

限制内部 IP 地址和路由信息的披露，只允许授权方访问。

管理员可为 Endpoint Central 服务器配置 NAT 设置，使托管终端可通过 FQDN（完全限定域名）访问服务器。

1.5.1 (#)

针对连接至不受信任网络（包括互联网）和 CDE 的计算设备（包括公司和员工所有设备）实施安全控制如下：

定义特定配置设置以防止威胁进入实体网络。
安全控制处于活动运行状态。
除非经管理层逐案授权且有限时，用户不得更改安全控制。

利用 Endpoint Central 的设备控制模块，可实施并自动化零信任策略，确保所有终端数据免受未经授权外围设备的访问和限制。Endpoint Central 还允许您向终端部署各种安全策略和配置，限制是否允许连接外部 USB 设备或接入不受信任网络。

参考：
零信任安全 (#)
保护 USB 设备
安全策略
安全浏览器配置(#)
恶意软件防护

2.2.1 (#)

制定、实施和维护配置标准，以：

涵盖所有系统组件。
解决所有已知安全漏洞。
与行业接受的系统加固标准或供应商加固建议保持一致。
根据需求 6.3.1，在识别新漏洞后进行更新。
在新系统配置时应用，并在生产环境中连接系统组件之前或之后立即确认生效。

Endpoint Central 可帮助您识别网络中的脆弱攻击面，并对代理机执行相应修复步骤。管理员可根据检测到漏洞的严重性安排补丁部署。

参考：
自动补丁部署 (#)
实现 CIS 合规 (#)

2.2.2

供应商默认账户管理如下：

若使用供应商默认账户，需根据要求 8.3.6 更改默认密码。
若不使用供应商默认账户，则移除或禁用该账户。

使用 Endpoint Central，可以对终端应用严格密码策略，并删除未使用账户。

参考：

密码策略
 用户管理
 用户账户状态报告

2.2.4 (#)

仅启用必要的服务、协议、守护进程和功能，移除或禁用所有不必要的功能。

基于策略的黑名单配置（应用控制模块的部分）通过限制不必要进程辅助安全。使用 Endpoint Central 可应用安全配置，如 USB 保护、权限管理、安全策略、防火墙配置。

参考：
应用黑名单 (#)
保护 USB 设备
安全策略
安全浏览器配置

2.2.5

如存在不安全的服务、协议或守护进程：
• 需有业务合理性文件证明。
• 实施并文件化额外安全功能，以降低使用这些不安全服务、协议或守护进程的风险。

Endpoint Central 可帮助识别安全配置错误，包括存在不安全的遗留协议。

2.2.6

配置系统安全参数以防止滥用。

可通过 Endpoint Central 应用相应配置，修改注册表设置、账户、文件、目录权限以及功能、端口、协议和远程连接的安全参数。

参考：
配置注册表设置

2.2.7

所有非控制台的管理访问均使用强加密保护。

Endpoint Central 在远程故障排除过程中采用 256 位高级加密标准（AES）协议。终端还可运行 FIPS 模式，确保安全运行。

3.3.2

在授权完成前电子存储的敏感认证数据（SAD）通过强加密保护。

Endpoint Central 可以帮助管理员使用 Bitlocker 管理加密 Windows 设备，以及使用 FileVault 加密 Mac 设备。 Android 和 iOS 设备也可通过我们的 MDM 功能加密。

3.5.1

PAN（主账号）在存储的任何地方均通过以下任一方法进行不可读化处理：

基于强加密的单向哈希整个 PAN。
截断（哈希不能替代截断的 PAN 段）。- 如果环境中存在相同 PAN 的哈希和截断版本，或不同的截断格式，则采取附加控制，避免不同版本的关联重构出原始 PAN。
索引令牌。
具备相关密钥管理流程和程序的强加密。

Endpoint Central 可以帮助管理员使用 Bitlocker 管理加密 Windows 设备，以及使用 FileVault 加密 Mac 设备。Android 和 iOS 设备也可通过我们的 MDM 功能加密。

3.5.1.2

如果使用磁盘级或分区级加密（而非文件、列或字段级数据库加密）使 PAN 不可读，则仅在以下情况下实施：

在可移除电子媒介上

或

如果用于不可移除电子媒介，则通过另一满足需求 3.5.1 的机制使 PAN 不可读。

Android 和 iOS 设备及其 SD 卡可通过我们的 MDM 功能加密。

3.5.1.3

若使用磁盘级或分区级加密（非文件、列或字段级数据库加密）使 PAN 不可读，则管理如下：

逻辑访问独立管理，区别于操作系统本地认证和访问控制机制。
解密密钥不与用户账户相关联。
允许访问未加密数据的身份验证因素（密码、短语或加密密钥）被安全存储。

Endpoint Central 可以帮助管理员使用 Bitlocker 管理加密 Windows 设备，以及使用 FileVault 加密 Mac 设备。我们的 Bitlocker 管理功能更加细粒度，能满足此处提及的要求。

3.6.1

已定义并实施保护用于保护存储账户数据的加密密钥免受泄露和滥用的程序，包括：
include:

访问密钥的权限限制在必要的最少数量的管理人员范围内。
密钥加密密钥至少与其保护的数据加密密钥一样强。
密钥加密密钥与数据加密密钥分开存储。
密钥以尽可能少的位置和形式安全存储。

Endpoint Central 的 Bitlocker 管理提供了恢复密钥

5.2.1

除周期性评估中根据需求 5.2.3 结论确认不受恶意软件风险影响的系统组件外，所有系统组件均部署了反恶意软件解决方案。

Endpoint Central 内置了下一代防病毒引擎（目前作为抢先体验提供），通过 AI 辅助的实时行为检测和深度学习技术，主动检测网络威胁。

5.2.2

部署的反恶意软件解决方案：

检测所有已知类型的恶意软件。
移除、阻止或隔离所有已知类型的恶意软件。

Endpoint Central 内置的下一代防病毒引擎通过 AI 辅助的实时行为检测和深度学习技术，主动检测网络威胁。

除实时威胁检测外，Endpoint Central 还积极执行事件取证，以便安全运营人员分析威胁的根本原因和严重程度。

如果下一代防病毒引擎在端点检测到可疑行为，可以隔离这些端点，经过彻底的取证分析后再部署回生产环境。

Endpoint Central 还利用微软的卷影复制服务，每三小时提供网络中文件的即时、不可擦除备份。

如果文件被勒索软件感染，可以通过最近的备份副本恢复该文件。

5.3.1

反恶意软件解决方案通过自动更新保持最新状态。

Endpoint Central 配置为执行自动更新。

5.3.2

反恶意软件解决方案：

执行定期扫描和主动或实时扫描。

或

持续对系统或进程进行行为分析。

Endpoint Central 的下一代防病毒可以在进程创建、DLL 加载或新文件下载/导入端点时进行实时扫描。

我们的下一代防病毒还拥有行为引擎，分析端点进程中的可疑活动。

5.3.3 (#)

执行媒体插入、连接或逻辑挂载时的自动扫描。

只要任何外部设备试图通过插入或蓝牙连接端点，即会触发自动扫描过程，并根据创建的策略执行审计扫描。除此之外，我们的下一代防病毒也会主动启动扫描检测恶意软件。

参考：
设备扫描和审计 (#)

5.3.4

反恶意软件解决方案的审计日志已启用，并根据需求 10.5.1 保留。

根据管理员配置的时间周期（如 12 个月），检测到的事件可以在控制台中保留至该期限。我们的解决方案还集成了 SIEM 工具，如 Eventlog Analyzer、Splunk、Rapid 7 等。

5.3.5

反恶意软件机制不可被用户禁用或更改，除非有明确文档并经管理层逐案授权且期限有限。

我们的下一代防病毒具备防篡改功能，终端用户无法禁用。Endpoint Central 还具备基于角色的访问控制确保只有有限的管理员可访问 Endpoint Central 控制台。

5.4.1 (#)

已建立流程和自动机制检测并保护人员免受网络钓鱼攻击。

Endpoint Central 利用其安全浏览器配置尤其是钓鱼过滤器，保护终端用户免受钓鱼攻击。

6.3.1 (#)

安全漏洞的识别与管理如下：

通过行业认可的安全漏洞信息来源，包括国际和国家计算机应急响应团队（CERT）发布的警报，识别新的安全漏洞。
根据行业最佳实践和潜在影响，漏洞被分配风险等级。
风险等级至少确定所有被视为对环境高风险或关键的漏洞。
定制和第三方软件（例如操作系统和数据库）的漏洞都包含在内。

Endpoint Central 识别网络中的安全漏洞，并按优先级列出需解决的漏洞。可以从产品控制台触发修复。

参考：
漏洞管理 (#)

6.3.3

通过安装适用的安全补丁/更新保护所有系统组件免受已知漏洞影响，具体如下：

针对关键漏洞（根据需求 6.3.1 风险评估进程确定的）发布后一个月内安装补丁/更新。

其他适用的安全补丁/更新根据实体评估的环境风险关键性，在适当时间内安装。

利用漏洞评估和修复能力，Endpoint Central 确保网络内所有系统完全覆盖关键威胁。

自动补丁部署（APD）功能允许系统管理员自动更新所有或部分缺失补丁，无需人工干预。

参考：
补丁部署过程

7.2.1 (#)

执行工作职能所需的最低权限（例如用户、管理员）

应用控制模块中的最小权限原则（PoLP）功能支持将广泛权限降低到仅足以执行职能的最低程度。该功能不仅限于用户，也适用于系统、应用和服务。

参考：
权限管理 (#)

7.3.1 (#)

设有基于用户知情需求限制访问的访问控制系统，并覆盖所有系统组件。

Endpoint Central 的应用控制模块允许管理员白名单/黑名单系统中的软件应用。它执行条件访问策略确保只有授权用户能够访问关键业务系统和敏感数据。

Endpoint Central 还提供即时访问允许管理员为终端用户授权临时或特定访问权限。

8.2.5

终止用户的访问权限立即被撤销。

Endpoint Central 帮助管理员执行远程擦除以确保企业数据安全。

8.2.6

非活跃用户账户在连续不活跃 90 天后被删除或禁用。

Endpoint Central 使 IT 管理员能够查找并删除非活跃用户账户。

参考：
用户管理
 活动目录用户报告

8.2.8

如果用户会话空闲超过 15 分钟，用户需重新认证以重新激活终端或会话。

Endpoint Central 配合其电源管理配置，可设置终端执行屏幕变暗或关闭、恢复时提示输入密码等操作。

参考：
电源管理

8.3.1

所有用户和管理员对系统组件的访问均通过以下至少一种认证因素进行认证：

你知道的东西，如密码或口令。
你拥有的东西，如令牌设备或智能卡。
你是的东西，如生物识别元素。

Endpoint Central 可以帮助创建和配置强密码，保护设备安全，防止入侵者访问组织端点。

参考：
密码策略
 移动设备管理（MDM）配置文件的密码设置

8.3.4 (#)

限制无效认证尝试：

用户 ID 不超过 10 次尝试后锁定。
锁定时间至少为 30 分钟，或直至用户身份确认。

Endpoint Central 的漏洞管理功能允许 IT 管理员指定限制密码输入次数，防止未经授权访问。它还允许管理员设置密码政策适用于运行 Android、Apple 和 Windows 的移动设备，确保终端用户创建强密码。

参考：
账户锁定持续时间 (#)

8.3.7

不允许提交与最近四个密码/口令相同的新密码/口令。

Endpoint Central 的移动设备管理功能可维护多个密码历史记录，允许 IT 管理员指定需保存的历史密码数，防止用户重复使用。

参考：
MDM 密码

8.3.9

如果密码/口令作为唯一认证因素使用（即单因素认证），则：

密码/口令至少每 90 天更改一次，

或

动态分析账户安全状态，并根据分析结果自动确定实时资源访问权限。

Endpoint Central 的 MDM 功能可配置密码策略，允许设定密码长度、最大密码年龄等特征。还可生成密码即将过期用户的自定义报告。

参考：
MDM 密码

9.2.3

设施内无线接入点、网关、网络/通信硬件和电信线路的物理访问被限制。

Endpoint Central 具有 Wifi 策略, 限制及基于证书的认证（用于访问无线接入点）针对移动设备。

9.4.1 (#)

所有包含持卡人数据的介质均实现物理安全。

当数据被识别并归类为包含 PCI 相关敏感信息时，Endpoint Central 通过数据防泄漏技术限制关键企业数据通过可移动存储介质泄露、打印或使用剪贴板复制。

参考：
设备控制（#）
内部威胁 (#)

9.4.2 (#)

所有包含持卡人数据的介质均根据数据敏感性进行分类。

通过 Endpoint Central 简化且高效的数据规则，更有效、精确地识别包含银行代码、ABA 路由号码、国际银行账号（IBAN）和信用卡号码的企业关键数据。

参考：
数据发现（#）
数据分类 (#)

11.3.1 (#)

内部漏洞扫描执行如下：

至少每三个月一次。
解决所有高风险或关键漏洞（根据需求 6.3.1 所定义的风险级别）。
重新扫描确认所有高风险和关键漏洞已被解决。
扫描工具保持最新漏洞信息更新。
由具备资质的人员执行扫描，且测试人员具有组织独立性。

Endpoint Central 识别网络中的安全漏洞，并按优先级列出需解决的漏洞。可以从产品控制台触发修复。

参考：

漏洞管理（#）

12.2.1

终端用户技术的可接受使用政策被记录和实施，包括：

经授权方的明确批准。
技术的可接受使用范围。
公司批准供员工使用的硬件和软件产品清单。

Endpoint Central 可以启用使用条款文档部署到员工设备，只有获得员工同意后，Endpoint Central 才开始管理设备，有效获取用户设备管理同意。

管理员还可以通过其内容目录.

12.3.4 (#)

发布组织的可接受 IT 使用政策。

使用的硬件和软件技术每 12 个月至少审查一次，包括以下内容：
供应商是否及时提供安全修复。
技术支持实体的 PCI DSS 合规性（且不妨碍合规）。
任何供应商宣布技术“生命终止”计划的行业公告或趋势。

经高级管理层批准的旧技术修复计划，包括供应商声明的“生命终止”技术。

参考：
Endpoint Central 持续监控实体网络中软件的生命周期终止，并在必要时应用安全补丁。 (#)

12.5.1 (#)

审计寿终正寝软件

维护并保持最新的 PCI DSS 范围内系统组件清单，包括功能/用途描述。

参考：
Endpoint Central 管理 IT 资产清单，并映射至对应 IT 组件。结合其先进数据防泄漏技术，保护敏感数据免受日益增长的威胁。 (#)
扫描、管理和保护数据

组织必须在 2025 年 3 月 31 日前符合 PCI DSS v4.0.1 要求。支付卡品牌（Visa、MasterCard、American Express、Discover 和 JCB）通过收单银行强制执行合规。未达标准可能导致每月罚款从 5,000 美元到 100,000 美元不等，交易费增加，失去商户处理权限，数据泄露时面临法律责任。非合规企业也可能遭遇昂贵的取证调查和声誉损害。确保 PCI DSS 合规对于保护支付卡数据、防止经济处罚和维持客户信任至关重要。