PCI DSS

(一)安装并且维护防火墙，以保护持卡人数据

首先，组织必须要建立防火墙的安全配置，项目包括防火墙的规划拓朴图、防火墙规则 (Policy) 的设定说明，PCI DSS 严格规定必须具备至少一个 DMZ 区以及一个内网区 (Internet Network) 的安全设定，以保护持卡人数据的安全。

(二)变更供货商提供之默认系统密码和其他参数

系统、设备、应用系统、软件于购买、使用、安全设定后，应注意原提供厂商或供应商、开发商所留下的预设帐号、密码或参数，于接入网络前应进行变更。

(三)保护存储的持卡人数据

针对组织所储存的持卡人数据，业者应该秉持保留最少数据的原则，对于系统中使用的支付卡数据，除了传输、处理过程中的保护外，在支付卡相关数据储存时应进行加密的保护及严格的访问控制措施。并且制定一个数据处理与储存程序来做好对于持卡人数据的控管，并依据规定进行加密及管理流程。

(四)在公开网络中传输支付卡数据的保护

若是个人数据需要透过公共网络 (Open, Public) 来传送，务必要采用高强度的加密算法和安全协议进行保护，以避免数据在传递的过程中遭到未授权的存取或泄漏。

(五)保护信息系统避免恶意软件攻击并定期更新杀毒软件病毒特征及程序

重要系统应该要安装杀毒软件，并且经常更新病毒特征，在杀毒软件的选择上，建议最好同时具备防木马与间谍程序的侦测功能之产品，并定期产出及检视相关纪录。

(六)开发并维护安全的系统和应用

自行开发的应用程序，应实行业界的最佳实务如 Security Development Life Cycle (SDLC) 或 OWASP Secure Coding Practices，将信息安全与整个软件开发生命周期相结合，同时要基于安全的程序编码原则，以确保所有应用程序不会存在已知的安全弱点，还能抵御已知的恶意攻击。对于 OWASP 的 Top 10 漏洞，必须有因应的对策与管控。

(七)限制仅有业务需求的人存取持卡人数据

在访问控制措施方面，只能允许工作职务上有需要的人员，才能存取计算机上和个人有关信息，避免不相干的人员接触到个人资料。透过系统、应用程序的访问控制机制达到PCI DSS 的安全强度要求。

(八)识别与授权可存取的数据系统

针对拥有个资访问权限的使用者，必须给予一个唯一的 ID，才能允许其存取和个人有关的数据，这样做的目的在于一旦发生信息安全事件时，才可进行追溯和厘清相关责任，系统中所需使用的密码 (Password)，无论是储存或传输，进行加密保护是必要的安全措施。

(九)限制支付卡数据、系统的实体存取

针对支付卡数据的实体存取行为，必须采用监视系统和门禁管理等适当的控制措施进行保护，并实行适当的实体安全管制。为确保对所有访客都能被有效管理，在访客来访期间的日志纪录，至少需要保存三个月，以确保访客的活动均能在需求时被调阅。

(十)追踪和监控网络环境和支付卡数据的所有操作纪录

对于和支付卡数据有关的所有存取行为，需记录追踪存取事件，所记录的内容应包括用户 ID、事件类型、日期时间、存取成功或失败、事件来源、受影响的数据范围、系统组件或该资源 ID或识别名称。
相关对于事故、事件的反应，应建立 7/24 的反应机制，以确保对于泄漏或安全事件的及时反应。

(十一)定期测试系统和作业流程之安全

针对各项资安控制措施，每年应定期实施测试，以确保控制的有效性，每季也至少进行一次内部和外部弱点扫瞄作业，并在网络发生重大变更之后执行必要的扫描与测试。其中外部弱点扫描作业须为 PCI SSC 所核可之 ASV 进行。
针对外部面外 IP 以及内部边界及重要管控的网络边界，应进行年度的内部、外部渗透测试作业。

(十二)维护一个策略用以向员工和委外厂商传达信息安全

组织应建立、发布、维护和倡导信息安全政策，并确保所有员工和外部第三方服务供货商都能明了相关的信息安全责任，并制定相关程序要求文件。
风险评鉴及风险处理、年度的安全训练、事故反应演练也需要进行并留下适当的稽查纪录。