PCI DSS

1. 安装并维护防火墙，以保护持卡人数据
首先，组织需建立防火墙的安全配置，包括规划拓扑图、防火墙规则（Policy）设置说明。PCI DSS严格要求配置至少一个DMZ区和一个内网区（Internal Network），以确保持卡人数据的安全。

2. 更改供应商提供之默认系统密码及其他参数
系统、设备及应用程序在购置和使用、安全設定后，须注意原提供厂商或供应商、开发商所提供的默认账号、密码或参数，在接入网络前应先进行更改。

3. 保护存储的持卡人数据
针对组织所存储的持卡人信息，企业应遵循最小化存储原则。对于系统中使用的支付卡信息，除了在传输和处理过程中采取保护措施外，还应对支付卡相关信息的存储进行加密保护，并实施严格的访问控制措施。同时，企业需制定信息处理与存储的相关规范，确保对持卡人信息的有效管理，并按照规定执行加密及管理流程。

4. 保护通过公共网络传输的支付卡数据
若个人数据需通过公共网络（如互联网）传输支付卡数据，必须采用高强度的加密算法和安全协议，防止数据在传输中被未经授权的访问或泄露。

5. 保护信息系统免受恶意软件攻击，并定期更新恶意软件库和程序
重要系统应安装杀毒软件，并定期更新恶意软件库。在选择杀毒软件时，建议优先选择同时具备木马和间谍程序检测功能的产品，并定期生成和查看相关记录。

6. 开发与维护安全的系统和应用
自行开发的应用程序，应遵循行业的最佳实践，如安全开发生命周期（SDLC）或OWASP安全编码规范，将信息安全贯穿整个软件开发生命周期，同时基于安全的编码原则，确保所有应用程序不存在已知的安全漏洞，并能够防御已知的恶意攻击。对于OWASP的Top 10漏洞，必须有相应的应对措施与管控。

7. 限制仅业务需求人员访问持卡人数据
在访问控制措施方面，应仅允许与工作职责相关的人员访问电脑上与个人相关的信息，避免与工作无关的人员接触到个人数据。通过系统和应用程序的访问控制机制，达到PCI DSS的安全强度要求。

8. 识别与授权可访问的数据系统
识别与授权可访问的数据系统
对于拥有个人数据访问权限的用户，必须分配一个唯一的ID，才能允许其访问与个人相关的数据。这样做的目的是在发生信息安全事件时，能够追溯并厘清相关责任。系统中所使用的密码，无论是存储还是传输，都需要进行加密保护，这是必要的安全措施。

9. 限制支付卡数据、系统的实体访问
对于支付卡数据的实体访问行为，必须采用监控系统和门禁管理等适当的控制措施进行保护，并实施适当的实体安全管控。为确保对所有访客能够有效管理，访客来访期间的日志记录，至少需要保存三个月，以确保访客的活动在需要时能够被调阅。

10. 追踪和监控网络环境和支付卡数据的所有操作记录
对于与支付卡数据相关的所有访问行为，需记录追踪访问事件，所记录的内容应包括用户ID、事件类型、日期时间、访问成功或失败、事件来源、受影响的数据范围、系统组件或该资源ID或识别名称。
对于事故和事件的响应，应建立7/24的响应机制，以确保对泄漏或安全事件的及时反应。

11. 定期测试系统和作业流程的安全
针对各项信息安全控制措施，每年应定期实施测试，以确保控制的有效性，每季度也至少进行一次内部和外部弱点扫描，并在网络发生重大变更之后执行必要的扫描和测试。其中，外部弱点扫描应由PCI SSC核准的ASV进行。
对于外部面外IP以及内部边界和重要管控的网络边界，应进行年度的内部、外部渗透测试。

12. 维护一个策略用于向员工和外包厂商传达信息安全
组织应建立、发布、维护并宣传信息安全政策，并确保所有员工和外部协力厂商服务供应商能够明确相关的信息安全责任，并制定相关程序要求文件。
风险评估及风险处理、年度的安全培训、事故响应演练也需要进行并留下适当的审计记录。