基于PCIDSS的云用户数据安全标准白皮书.pdf

基于 PCI DSS的 云用户数据安全 标准 白皮书（简版） 2019年 7月 深圳腾讯计算机系统有限公司 腾讯云计算（北京）有限责任公司 艾特赛克（北京）信息技术有限公司 中国云安全与新兴技术安全创新联盟 联合 出品 基于PCI DS的云用户数据安全合规白皮书 腾讯云计算（北京）有限责任公司 艾特赛克（北京）信息技术有限公司 联合发布 2 / 22 【版权声明】 腾讯云计算（北京）有限责任公司（以下简称腾讯云 ） 艾特赛克（北京）信息技术有限公司（以下简称 atsec中国 ） 2019-2021 腾讯云 及 atsec中国 版权所有 本文档著作权归腾讯及 atsec中国所有，未经双方事先书面许可，任何主体不得以任何形式复制、修改、抄袭、传播全部或部分本文档内容。 【商标声明】 及其它腾讯云服务相关的商标均为腾讯云计算（北京）有限责任公司及其关联公司所有。 及其它 atsec相关的商标均为 atsec information security及艾特赛克（北京）信息技术有限公司所有。 本文档涉及的第三方主体的商标，依法由权利人所有。 基于PCI DS的云用户数据安全合规白皮书 腾讯云计算（北京）有限责任公司 艾特赛克（北京）信息技术有限公司 联合发布 3 / 22 【服务声明】 2019年 7月 本文档仅供参考。对于本文档中所描述的信息和内容， 腾讯云计算（北京）有限责 任公司（以下简称 腾讯云 ） 和 艾特赛克（北京）信息技术有限公司（以下简称 atsec中国 ） 不作明示、默示的保证。本文档基于现状编写。在本文档中的信息和意见，包括网址和其他互联网网站参考，均可能会改变，恕不另行通知。您将承担直接引用它的风险。 本文档未授予您任何腾讯产品的任何知识产权的法律权利。您可以复制和使用本文档中的内容作为您内部以参考为目的的使用。 基于PCI DS的云用户数据安全合规白皮书 腾讯云计算（北京）有限责任公司 艾特赛克（北京）信息技术有限公司 联合发布 4 / 22 序言 本白皮书 基于国际范围内得到最广泛认可和运用的数据安全标准 PCI DS， 提出 了数据安全合规建设的方法论， 同时也尽可能详细的将合规要求落到实处， 特别是 “云服务提供商与云用户的 PCI DS合规要求责任分析”，详细的诠释了云服务提供商和云用户在 基于 PCI DS实施数据安全合规时逐条阐述了各自的责任和具体工作。 数据 安全合规并不是一次性 工作 ，产 业 的 技 术 不 断 演 进 发 展 ，同 时 各 个 系 统 组 件 也 会 出 现 新 的脆弱性和攻击模型。我们会长期致力于该白皮书以及相关技术的更新，不断监控标准以及技术的更新，从而更好的为产业合规做出我们的贡献。 感谢如下人员在本白皮书编制工作的努力。 主 要 作者：腾讯 王永霞、； atsec中国 谢继来 参与者 : 腾讯 代威 、 周弈良、蒋增增、 彭思祥 、 刘双立 ; atsec中国 高向东 、 白海蔚 感谢腾讯 公司领导丁 珂 、 黎巍 、 杨鹏 、 董志强的大力支持 ； 感谢 atsec 中国 PCI 实验室主任刘岩 的大力支持。 基于PCI DS的云用户数据安全合规白皮书 腾讯云计算（北京）有限责任公司 艾特赛克（北京）信息技术有限公司 联合发布 5 / 22 目录 第一章 基于 PCI DSS的云数据安全合规简介 . 7 1.1 支付卡产业数据安全标准 (PCI DS)的成立背景 . 7 1.2 PCI DS基本概要内容 . 7 1.3 云用户和云服务商基于 PCI DS标准责任分摊的框架模型 . 8 1.3.1 总体责任分摊框架 . 8 1.3.2 逻辑分层责任分摊框架 . 8 1.4 对应 PCI DS标准的责任分摊框架 . 9 1.5 腾讯云 端数据保护责任模型 . 9 第二章 云服务提供商与云用户数据安全 合规要求简析 . 11 第三章 腾讯云数据安全合规产品简介 . 17 第四章 云用户的 PCI DSS合规测评建议 . 20 参考文献 . 21 附录： 22 基于PCI DS的云用户数据安全合规白皮书 腾讯云计算（北京）有限责任公司 艾特赛克（北京）信息技术有限公司 联合发布 6 / 22 引言 随着云计算产业的快速发展，云计算在降低 成本， 简化 IT运维和管理，集成的安全性，易于部署，简化合规流程等方面的优势越来越明显，产业 互联网 企业越来越多着手通过使用云计算提供的便捷服务来实现业务目标。 PCI DS虽然 是支付卡行业的数据安全国际标准， 但是该标准围绕数据安全的核心要求，提出了一整套完整的规范要求，也称“要求最严格的数据安全标准”。发布十余年以来，该标准得到了全球范围统一且作为在数据安全合规领域的最早的规范要求获得了广泛的认可和实施，推动了数据安全防护水平。 由于云用户和云服务提供商在合规过程中存在责任相互交叠的部分，并且事实上目前并没有一份详细的针对云环境下每个数据安全标准点的责任细分。基于这些问题，本白皮书希望帮助厘清云用户和云服务提供商的安全责任，从而清晰、高效地协助云用户达到基于 PCI DS的数据安全标准要求。本文介绍针对的仅是公有云，其他 类型的云没有在本文的介绍范围之内。 凭借腾讯集团多年的安全经验和积累 ， 腾讯云为 云平台 搭建了强大 的 纵深安全防御体系， 数据安全 一直 是其中 至关重要 的 一环。腾讯云于 2017年 12月发布腾讯云数据安全白皮书，郑重发布了云端数据保护承诺， 以及数据保护六大原则。腾讯云在 保障底层云平台安全的同时， 通过提供全方位多样化 的 数据安全功能、工具和控制赋能 和助力产业互利网 安全 ，携手客户一起为云端数据构建更好更完善的安全保障体系。 基于PCI DS的云用户数据安全合规白皮书 腾讯云计算（北京）有限责任公司 艾特赛克（北京）信息技术有限公司 联合发布 7 / 22 第一章 基于 PCI DSS的云数据安全合规简介 1.1 支付卡产业数据安全标准 (PCI DS)的成立背景 2006年 VISA和 MasterCard联合美国运通、 JCB及 Discover网络公司，成立了支付卡行业数据安全标准委员会 PCI SC（ Payment Card Industry Security Standards Council）。 为了建立统一的业界标准，最大程度地降低支付卡风险，标准委员会联合制定了旨在严格控制数据存储、传输和处理以保障支付卡用户在线交易安全的数据安全标准，即 PCI DS安全认证标准。 支付卡行业数据安全标准 (PCI DS) 旨在促进并增强持卡人的数据安全，便于统一的数据安全标准要求在全球范围内广泛应用， PCI DS是目前 全球最严格、 覆盖安全要求最全面 的 数据 安全认证标准 。 1.2 PCI DSS基本概要 内容 PCI DS安全要求适用于所涉及的 “ 系统组件 ” ，即处理持卡人数据的环境或与之相关的任何网络组件、服务器或应用 程序。 PCI DS包括 6个控制域， 12个控制目标。对涉及持卡人数据的存储、处理、传输等过程进行安全保护，以防止持卡人数据被泄露。 涉及 PCI DS合规的机构，需要每年对持卡人数据环境范围内存储、处理或传输持卡人数据的所有系统组件执行合规性验证。 基于PCI DS的云用户数据安全合规白皮书 腾讯云计算（北京）有限责任公司 艾特赛克（北京）信息技术有限公司 联合发布 8 / 22 1.3 云 用 户和云服务 商基于 PCI DSS标准责任分摊的框架模型 1.3.1 总体责任分摊框架 1.3.2 逻辑分层责任分摊框架 云用户 共享 云服务商 责任 服务模型 IaaS PaaS SaaS 安全治理 , 风险和合规 云用户 云用户 云用户 数据安全 云用户 云用户 云用户 应用安全 云用户 云用户 共享 平台安全 云用户 共享 云服务商 架构安全 共享 云服务商 云服务商 物理安全 云服务商 云服务商 云服务商 图 ：“ 云 用 户 和 云 服 务 提 供 商 责 任 分 摊 的 框 架 模 型 ” 引自 PCI标委会云计算指南 版本 3（ 2018年 4月） SaaSPaaSIaaS云租户云服务提供商不同服务模型中云租户和云服务提供商的控制/责任级别SaaS云租户可能对用户特定的应用程序配置设置具备有限的控制权。PaaS云租户对应用程序托管环境中已部署的应用程序以及可能的配置设置有控制权。IaaS云租户对操作系统，存储，已部署的应用程序以及具备有限控制权的已选择的网络组件(例如主机防火墙)有控制权。基于PCI DS的云用户数据安全合规白皮书 腾讯云计算（北京）有限责任公司 艾特赛克（北京）信息技术有限公司 联合发布 9 / 22 1.4 对应 PCI DSS标准的责任分摊框架 云用户 共享 云服务商 1.5 腾讯云 端 数据保护责任模型 腾讯云在 2017年 12月正式发布的腾讯云数据安全白皮书 中，明确提出了云端数据保护责任模型。 腾讯云负责云平台的安全，并 协助客户保障 其 云端数据的安全 。为 了 更好地 保护 客户 托管于 云端的 数据 资产， 腾讯云从 平台层和赋能层 两个 层面 为 云服务客户 提供双重 保障。 平台层提供 的保障 全面覆盖数据安全事前防范、事中保护和事后追溯三个阶段，而赋能 层 则 围绕数据 全 生命周期给出一站式的解决方案供客户选用， 以帮助 客户最大程度 地降低在流程 、 技术以及合规方面的数据安全风险。 PCI DS 标准要求 版本 3.2.1 管理控制的责任分配示例 IaaS PaaS SaaS 要求 1：安装并维护防火墙配置以保护持卡人数据 共享 共享 云服务商 要求 2：不要使用供应商提供的默认系统密码和其他安全参数 共享 共享 云服务商 要求 3：保护存储的持卡人数据 共享 共享 云服务商 要求 4：加密持卡人数据在开放式公共网络中的传输 云用户 共享 云服务商 要求 5：为所有系统提供恶意软件防护并定期更新杀毒软件或程序 云用户 共享 云服务商 要求 6：开发并维护安全的系统和应用程序 共享 共享 共享 要求 7：按业务知情需要限制对持卡人数据的访问 共享 共享 共享 要求 8：识别并验证对系统组件的访问 共享 共享 共享 要求 9：限制对持卡人数据的物理访问 云服务商 云服务商 云服务商 要求 10：跟踪并监控对网络资源和持卡人数据的所有访问 共享 共享 云服务商 要求 11：定期测试安全系统和流程 共享 共享 云服务商 要求 12：维护针对所有工作人员的信息安全政策 共享 共享 共享 附录 A1：针对共享托管服务提供商的 PCI DS附加要求 云服务商 云服务商 云服务商 基于PCI DS的云用户数据安全合规白皮书 腾讯云计算（北京）有限责任公司 艾特赛克（北京）信息技术有限公司 联合发布 10 / 22 图：云端 数据 保护责任 模型