術語

1、PCI-DSS
支付卡行業數據安全標準（PCI Data Security Standard）
2、PA-DSS
支付應用程序數據安全標準
3、PCI-SSC
PCI安全標準委員會（Payment Card Industry Security Standards Council，簡稱PCI SSC）
4、PA-QSA
支付應用程序合格的安全性評估商（Qualified Security Assessor）。PA-QSA 由 PCI-SSC 授予按照 PA-DSS評估支付應用程序的資格。
5、ASV
授權的掃描服務商（Approved Scanning Vendor）。由 PCI-SSC 授權可執行外部漏洞掃描服務的公司。

商戶
接收使用PCI-SSC支付卡支付商品和/或服務的所有實體。可以簡單理解為持卡人。
請注意接受使用相關支付卡支付商品和/或服務的商戶也可能是服務提供商，前提是銷售的服務會導致代表其他商戶或服務提供商存儲、處理或傳輸持卡人數據。
例如，ISP是接受按月使用支付卡結算的商戶，但是如果其客戶為商戶，那么它也是服務提供商。

服務提供商
并非支付品牌的企業實體，代表其他實體直接參與持卡人數據的處理、存儲或傳輸。可以簡單理解為處理持卡人數據的管理商。如，處理商、收單機構、發卡機構。
服務提供商也提供控制或可能影響持卡人數據安全的服務。
示例包括提供托管防火墻、IDS和其他服務的托管服務提供商，以及托管提供商和其他實體。
如果某實體提供 僅涉及公共網絡訪問提供的服務（例如僅提供通信鏈接的電信公司），則不認為該實體是相關服務的服務提供商（不過可認為該實體是其他服務的服務提供商）。

ISP
互聯網服務提供商（Internet Service Provider），簡稱ISP。

處理商
支付處理商，有時被稱為“支付網關”或“支付服務提供商（PSP）”。可以簡單理解為交易結算的銀行的pos機。
商戶雇傭的實體或其他代表商戶處理支付卡交易的實體。雖然支付處理商一般提供收單服務，但除非由支付卡品牌定義，否則支付處理商不被視為收單機構。

收單機構
也稱為“商業銀行”、“收單銀行”或“收單金融機構”。可以簡單理解為交易結算的銀行。
收單機構是為商戶處理支付卡交易的實體，通常為金融機構，由支付品牌定義。收單機構須遵從有關商戶合規性的支付品牌規則和程序。

發卡機構
發行支付卡或者提供、促進或支持發卡服務的實體，包括但不限于發卡銀行和發卡處理機構。也稱為“發卡銀行”或“發卡金融機構”。可以簡單理解為制卡發卡的銀行。

帳戶數據（持卡人數據和/或敏感驗證數據）

CHD
持卡人數據（Cardholder data）
主帳戶 (PAN)、持卡人姓名、失效日、業務碼。

SAD
敏感驗證數據（Sensitive Authentication Data）
用于驗證持卡人身份和/或授權支付卡交易的安全相關信息（包括但不限于卡認證代碼/值、全磁道數據（磁條數據或芯片上的等效數據）、PIN 和 PIN 數據塊）。
PIN/PIN 數據塊、全磁道數據（磁條數據或芯片上的等效數據）、CAV2/CVC2/CVV2/CID

CDE
持卡人數據環境（Cardholder data environment）
持卡人數據環境包含存儲、處理 、 或傳輸持卡人數據（CHD）或敏感驗證數據（SAD）的人員、流程和技術。

“系統組件”包括網絡設備、服務器、計算設備和應用程序。系統組件示例包括但不限于：
▪ 提供安全服務（例如驗證服務器）、方便分段（例如內部防火墻）或可能影響 CDE 安全性（例如名稱解析或 Web 跳轉服務器）的系統。
▪ 虛擬化組件，例如虛擬機、虛擬交換機/路由器、虛擬設備、虛擬應用程序/桌面和監控程序。
▪ 網絡組件，包括但不限于防火墻、交換機、路由器、無線接入點、網絡設備和其他安全設備。
▪ 服務器類型，包括但不限于 Web、應用程序、數據庫、驗證、郵件、代理、網絡時間協議 (NTP) 和域名系統 (DNS)。
▪ 應用程序，包括所有購買和自定義的應用程序以及內部和外部（例如互聯網）應用程序。
▪ 位于 CDE 內或連接到 CDE 的任何其他組件或設備。

PAN
“主帳戶號”的縮寫（primary account number），也稱為“帳號”。識別發卡機構和特定持卡人帳戶的唯一支付卡號（一般是信用卡和借記卡）。
主帳戶是持卡人數據的決定性因素。

PIN
“個人識別碼”的縮寫（personal identity number）。只有用戶以及驗證用戶的系統知道的秘密數字密碼。只有用戶提
供的 PIN 與系統中的 PIN 相匹配時，用戶才能訪問系統。一般的 PIN
用于預借現金交易的現金自動取款機。

政策
支配可接受的計算資源使用和安全實踐以及指導操作程序發展的組織級規則。

安全政策
法律、規則和實踐的集合，可監管組織如何管理、保護和分配敏感信息。

強效加密法
至少 128 位的有效密碼長度
如：AEC、TDES、RSA、ECC、SHA-1/SHA-2
以經過行業測試和認可的算法為基礎的加密法，以及提供至少 112位的有效密鑰長度及合適的密鑰管理方法的密鑰長度。
加密法是一種保護數據的方法，包括加密（可逆的）和散列（單向的，即不可逆的）。另請參見 散列。
本文發表時，經過行業測試和認可的標準和算法包括 AES（128位和更高）、TDES/TDEA（最少三倍長的密鑰）、RSA（2048 位和更高）、ECC（224位和更高）以及 DSA/D-H（2048/224位和更高）。關于密鑰強度和算法的更多指南，請參見《NIST 特別出版物 800-57》第 1部分的最新版本（http://csrc.nist.gov/publications/）。
注：以上示例適用于持卡人數據的永久儲存。如 PCI PIN 和 PTS中所定義，交易操作的最低加密要求更加靈活，因為設有附加控制以減少暴露風險。
我們建議所有新實施的內容使用至少 128 位的有效密碼長度。

SHA-1/SHA-2
“安全散列算法”的縮寫。相關加密散列函數（包括 SHA-1 和 SHA-2）系列或集合。請參見 強效加密法。
SSL行業選擇SHA作為數字簽名的散列算法，從2011到2015，一直以SHA-1位主導算法。但隨著互聯網技術的提升，SHA-1的缺點越來越突顯。從去年起，SHA-2成為了新的標準，所以現在簽發的SSL證書，必須使用該算法簽名。
安全性方面，顯然SHA256（又稱SHA2）的安全性最高，但是耗時要比其他兩種多很多。MD5相對較容易破解，因此，SHA1應該是這三種中性能最好的一款加密算法。
安全最優為SHA2
性能最優為SHA1

職責分離
為不同的個人劃分職能，以確保單獨的個人無法破壞流程的方法。

CVSS
Common Vulnerability Scoring System，即“通用漏洞評分系統”
是一個“行業公開標準，其被設計用來評測漏洞的嚴重程度，并幫助確定所需反應的緊急度和重要度”。
目標是為所有軟件安全漏洞提供一個嚴重程度的評級。漏洞的最終得分最大為10，最小為0。得分7~10的漏洞通常被認為比較嚴重，得分在4~6.9之間的是中級漏洞，0~3.9的則是低級漏洞

關鍵系統
示例可能包括安全系統、面向公眾的設備和系統、數據庫以及其他存儲、處理或傳輸持卡人數據的系統。

ROC
遵從性報告

SAQ
自我評估調查問卷

AOC
遵從性證明書

FAQ
常見問題

QSA
合格的安全性評估商

ASV
授權掃描服務商

BAU
常規業務
將 PCI DSS 納入常規業務活動的方式示例包括但不限于：
1. 監控安全控制（例如防火墻、入侵檢測系統/入侵防御系統 (IDS/IPS)、文件完整性監控 (FIM)、殺毒、訪問控制等），以確保它們按原計劃有效運行。

2. 確保及時發現所有安全控制故障并作出響應。安全控制故障響應流程應包括：
? 恢復安全控制
? 找出故障原因
? 發現并解決安全控制故障期間出現的任何安全問題
? 實施防范措施（例如過程或技術控制），防止故障原因再次出現
? 恢復對安全控制的監控，可能會在一段時間內加強監控力度，以確認控制正在有效運行

3. 在完成環境變更（例如增加新系統、變更系統或網絡配置）前審查這些變更，并執行下列操作：
? 確定對 PCI DSS 范圍的潛在影響（例如允許 CDE 中的某個系統與另一系統連接的一條防火墻新規則可能會將額外的系統或網絡納入PCI DSS 的范圍）。
? 確定 PCI DSS 要求適用于受變更影響的系統和網絡（例如，如果一個新系統屬于 PCI DSS 的范圍，則可能需要按照系統配置標準進行配置，包括 FIM、AV、補丁和檢查日志等，并需添加進季度漏洞掃描計劃）。
? 更新 PCI DSS 范圍并視情況實施安全控制。

4. 導致對 PCI DSS 范圍和要求的影響進行正式審核的組織結構變更（例如，公司合并或收購）。

5. 定期進行審核和溝通，以確保 PCI DSS 要求繼續有效，并且工作人員均遵守安全流程。此類定期審核應涵蓋所有設施和位置（包括零售店、數據中心等），并應包括系統組件（或系統組件樣本）審核，以確認 PCI DSS 要求繼續有效（例如配置標準已應用，補丁和 AV 已更新，檢查日志已審核等）。定期審核的頻度應由實體根據其環境的規模和復雜性確定。
此類審核還可用于確認已保留適當證據（例如檢查日志、漏洞掃描報告、防火墻檢查等），從而幫助實體為下一次遵從性評估做準備。

6. 至少每年審核一次硬件和軟件技術，以確認其繼續獲得供應商的支持，并能滿足實體的安全要求（包括 PCI DSS）。如果發現這些技術未繼續獲得供應商的支持或不能滿足實體的安全需求，實體則應制定補救方案、更新或者甚至在必要時替換該技術。

除上述實踐外，組織可能還想考慮對其安全職能部門實施職責分離，以便將安全和/或審核職能部門從業務職能部門中分離出去。在一人負責多角（例如管理和安全操作）的環境中，可分配職責，這樣便能確保在沒有獨立檢查點時無人具備端對端的流程控制。例如，配置職責和變更審批職責可以分配給不同的人員。

其他來源的知識start：

故障轉移
在計算機術語中，故障轉移（英語：failover），即當活動的服務或應用意外終止時，快速啟用冗余或備用的服務器、系統、硬件或者網絡接替它們工作。
對于要求高可用和高穩定性的服務器、系統或者網絡，系統設計者通常會設計故障轉移功能。
在服務器級別，自動故障轉移通常使用一個“心跳”線連接兩臺服務器。只要主服務器與備用服務器間脈沖或“心跳”沒有中斷，備用服務器就不會啟用。為了熱切換和防止服務中斷，也可能會有第三臺服務器運行備用組件待命。當檢測到主服務器“心跳”報警后，備用服務器會接管服務。有些系統有發送故障轉移通知的功能。
有些系統故意設計為不能進行完全自動故障轉移，而是需要管理員介入。這種“人工確認的自動故障轉移”配置，當管理員確認進行故障轉移后，整個過程將自動完成。

負載平衡（Load balancing）
是一種計算機技術，用來在多個計算機（計算機集群）、網絡連接、CPU、磁盤驅動器或其他資源中分配負載，以達到最優化資源使用、最大化吞吐率、最小化響應時間、同時避免過載的目的。 使用帶有負載平衡的多個服務器組件，取代單一的組件，可以通過冗余提高可靠性。負載平衡服務通常是由專用軟件和硬件來完成。 主要作用是將大量作業合理地分攤到多個操作單元上進行執行,用于解決互聯網架構中的高并發和高可用的問題。

災難恢復（Disaster recovery，也稱災備）
指自然或人為災害后，重新啟用信息系統的數據、硬件及軟體設備，恢復正常商業運作的過程。災難恢復規劃是涵蓋面更廣的業務連續規劃的一部分，其核心即對企業或機構的災難性風險做出評估、防范，特別是對關鍵性業務數據、流程予以及時記錄、備份、保護。

虛擬化
在計算機技術中，虛擬化（技術）或虛擬技術（英語：Virtualization）是一種資源管理技術，是將計算機的各種實體資源（CPU、內存、磁盤空間、網絡適配器等），予以抽象、轉換后呈現出來并可供分區、組合為一個或多個計算機配置環境。由此，打破實體結構間的不可切割的障礙，使用戶可以比原本的配置更好的方式來應用這些計算機硬件資源。這些資源的新虛擬部分是不受現有資源的架設方式，地域或物理配置所限制。一般所指的虛擬化資源包括計算能力和數據存儲。

其他來源的知識end：

HSM
“硬件安全模塊”或“主機安全模塊”的縮寫。物理和邏輯上受保護的硬件設備，會提供加密服務的安全集合以用于密鑰管理函數和/或帳戶數據的解密。

PTS
“PIN 交易安全”的縮寫（PIN Transaction Security，密碼交易安全），PTS 受 PCI 安全標準委員會管理，是 PIN 認可 POI 終端的模塊化評估要求集合。
2017年3月21日，支付安全研討會暨PCI PTS檢測資質授權儀式在京召開。中國人民銀行、中國銀聯、PCISSC、商業銀行、支付機構、終端企業代表等共計100余人參加本次會議。
銀行卡檢測中心渠韶光總經理接過PCI SSC國際總監Jeremy King的授權證書，宣布銀行卡檢測中心正式成為中國首家本土PCI PTS（PIN Transaction Security，密碼交易安全）安全檢測機構，也是PCI SSC授權認可的全球第8家PTS檢測機構。中心秉持“建設國內一流且與國際接軌的專業檢測機構”的戰略目標，緊跟國際銀行卡和電子支付產業的發展趨勢，經過十年的努力與積累，建成中國首家本土PCI PTS安全檢測機構。這也是銀行卡檢測中心繼2013年獲得PCI DSS（Data Security Standard，數據安全標準）合規評估掃描資質后，再次取得PCI檢測資質，可為產業相關各方提供全面的PCI PTS認證檢測和DSS合規評估掃描服務

POI
“交互點”的縮寫，從卡中讀取數據的起點。電子交易認可產品，POI 由硬件和軟件組成且托管在認可設備中，可讓持卡人執行支付卡交易。POI 可能有人看管，也可能無人看管。POI 交易一般是集成電路（芯片）和/或磁條卡支付交易。

總結

以上是生活随笔為你收集整理的PCI-DSS-术语小结的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。