专业创造价值,服务赢得口碑!企业IT人才培养领导品牌!

PCI DSS第三方支付行业数据安全标准培训

浏览量:2
  • 课程名称: PCI DSS第三方支付行业数据安全标准培训
  • 开班类型: 周末班、脱产班、企业定制
  • 推荐星级: 4星
  • 课程代码:
  • 课程天数: 2天
  • 授课方式: 面授

课程大纲

认证须知

开课计划

学习QQ群

常见问题

PCI-DSS第三方支付行业数据安全.jpg


  课程简介  

本培训课程将探讨开展支付卡产业数据安全标准(PCI DSS:Payment Card Industry Data Security Standards)符合性建设的目的、标准结构、历史和现状分析、典型参与角色和他们的职责、支付卡品牌定级和验证要求、以及具体的技术要求。与学员分享近期项目实践,包括实现合规的难点和重点,以及业界最佳实践的积累,并共同探讨产业内新兴的技术和热门话题,如移动支付、EMV技术、令牌化(Tokenization)、加解密和密钥管理等、PCI合规产业的大数据分析,以及合规技术架构和趋势分享;PIN Security和P2PE安全标准和评估体系介绍,以及最新即将发布的3D Security 2.0标准前瞻性介绍。

 PCI DSS是什么?  

PCI DSS是Payment Card Industry (PCI) Data Security Standard的英文缩写,是第三方支付行业数据安全标准,由由PCI安全标准委员会的创始成员(visa、mastercard、American Express、Discover Financial Services、JCB等)制定,力求使国际上采用一致的数据安全措施,规范支付交易相关的服务提供商和与其签约的大型商户,使他们遵循此标准以促进信息安全建设。PCI DSS信息安全标准有6大项目,12个小项的要求,是目前全球最严格、级别最高的金融机构安全认证标准。PCI DSS对于所有涉及信用卡信息机构的安全方面作出标准的要求,其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等,全面保障交易安全。PCI DSS适用于所有涉及支付卡处理的实体,包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体。PCI DSS包括一组保护持卡人信息的基本要求,并可能增加额外的管控措施,以进一步降低风险。确保PCI合规且长期持续的合规是支付相关机构的业务健康稳定发展的基础,也是保护广大持卡人数据安全的最佳实践。


PCI DSS六个部分

第一部分,建立并维护安全的网络和系统。首先根据网络图和数据流图,对服务、协议、端口进行记录,参考防火墙配置要求构建防火墙和路由器,限制数据环境与网络的连接,禁止互联网与系统组件之间的直接公共访问,即使是在外网中使用的个人设备也应该有统一安装个人防火墙软件。其次,始终更改供应商提供的默认值并禁用/删除默认账户,对所有系统组件制定配置标准,同时利用SSH,VPN或SSL/TLS等技术对所有非控制台访问进行加密。

第二部分,保护持卡人数据。分别在数据存储和数据传输两方面实现数据保密。首先实施数据保留和处理政策,尽量减少数据的存储量同时使敏感数据加密不可读,同时进行密钥管理。在数据传输过程中,使用强效加密法和安全协议来保护数据。

第三部分,维护漏洞管理计划。部署杀毒软件并维护杀毒机制。不断更新安全漏洞信息,不断更新安全补丁,并在软件编写过程中注意不出现软件漏洞,开发、测试和生产环境相互分离。

第四部分,实施强效访问控制措施。分为限制对数据的访问,对数据访问过程中操作追踪到用户个人,监控物理访问。首先只授权访问执行工作所需的最低限度的数据量和权限,为有访问权限的每个人分配唯一标示符并有合理的用户验证管理。利用摄像头和访问控制机制监控对敏感区域的物理访问,保护所有媒介的物理安全。

第五部分,定期监控并测试网络。系统组件实施自动检查记录,定期审核日志和安全事件。定期进行漏洞扫描,定期实施穿透测试,实施入侵检测/入侵防御。

第六部分,维护信息安全政策。工作人员应了解数据敏感性以及保护这些数据的责任。


CISP-PTE-2.jpg

  目标学员  

主要面向关注支付数据安全(以及诸如移动支付等新兴技术)支付产业链的相关机构和企业,包括:

银行、保险理财等金融机构

互联网金融、第三方支付

分支机构众多有互联网收单系统的大型商户

业务系统中涉及持卡人数据存储传输处理的大型企业


  培训大纲  

PCI产业动态分享,最新PCI产业特别工作组研究方向简介。
PCI合规产业的数据分析,以及合规技术架构及趋势分享。
PCI DSS v3.2简介,特别是针对SSL和早期版本TLS漏洞整改最新要求。
PIN Security、P2PE和3DS v2.0安全标准和评估体系介绍。
分享近期国内外数据泄露等信息安全事件以及技术角度PCI标准关联分析。

PCI产业渗透测试最佳实践,包括执行范围确定、方法、报告以及案例分析等。
PCI DSS DESV要求的介绍和重要性。
支付卡产业(PCI:Payment Card Industry)数据安全标准(DSS:Data Security Standard)介绍,涉及安全管理、策略、流程、网络架构、软件设计以及其他重要的保护措施等层面的需求;帮助机构从根本上理解为什么需要进行PCI DSS的评估和验证。
PCI产业事后取证调研PFI(PCI Forensic Investigation)流程和技术方法简介。
支付应用数据安全标准(PA DSS:Payment Application Data Security Standard)介绍,及其和PCI DSS的关系和对应性,以及为什么需要执行PA DSS评估。

评估流程 — 从QSA的角度进行评估的技术探讨和案例分析。
各支付品牌验证体系—详细介绍五大支付品牌的不同验证要求和报告要求。
典型案例展开实战层面分析,使学员深入理解PCI DSS标准。

技术解决方案和方法论分享,以及合规性设计和开发的深入技术探讨,包括但不限于如下层面:
支付应用安全开发
加解密技术和密钥管理
日志管理和审核
文件完整性监控、入侵检测和入侵防护系统
Web应用防火墙、防病毒系统等防护机制的部署
物理安全机制
脆弱性扫描(包括ASV扫描)和渗透测试技术讲解和分享
分享实践经验及合规中常见问题的解决方案(合规过程中的重点和难点等)。

支付产业的国内外现状简介和未来展望,特别是移动支付领域,以及相关政策和未来趋势分析。
PCI最新动态分享,如何持续有效的维护PCI的合规状态最佳实践,以及相关新兴技术和热门技术的探讨,如云计算、移动支付、EMV、令牌化方案、电子商务安全、风险评估、第三方安全保障等。
就来自卡组织要求(如VISA和MasterCard)的PCI合规验证和状态维护经验进行分享。
金融行业信息安全管理体系实践分享。


CISP-PTE-2.jpg


开班计划-通用.jpg

QQ号.jpg

预约试听

精彩课堂

0755-29152000

获取《内训指南》