摘要：PCI DSS是支付卡行业数据安全标准（PCI Data Security Standard）的缩写，它是世界范围内的信息安全标准，是由支付卡行业安全标准委员会（Payment CardIndustry Security Standards Council）设立的，用来帮助控制和减少欺诈或敏感信息受到威胁的风险点。

　　潜在的数据中心客户经常会问，他们的数据中心运营商是否是“遵守PCI守则的？”围绕这个问题的答案有一些混乱。数据中心供应商一般不会与他们客户的敏感信息处理程序有任何关系。为了说明和回答PCI问题，让我们讨论数据中心的责任和商家或服务供应商（数据中心客户）的责任。
　　
　　究竟什么是PCI守则？
　　
　　PCI DSS是支付卡行业数据安全标准（PCI Data Security Standard）的缩写，它是世界范围内的信息安全标准，是由支付卡行业安全标准委员会（Payment CardIndustry Security Standards Council）设立的，用来帮助控制和减少欺诈或敏感信息受到威胁的风险点。PCI守则是您的业务处理信息按照PCIDSS标准执行的政策和程序的结合。
　　
　　如果一家公司（服务供应商或商家）在数据中心被要求遵守PCI守则，那么，它就必须按照
　　
　　PCI DSS的要求限制其信息处理程序，并具有该遵守行为的认证。这些原则和要求可以在PCI安全标准委员会网页上找到。
　　
　　PCI安全标准委员会已经提供了PCI DSS新的自我评估问卷（SAQ）简要1.2版，以确定哪些自我评估问卷（SAQ）适合你的公司。一个数据中心，为企业和商家提供设施，这些企业在数据中心的服务器上操作他们的业务。在这种情况下，数据中心提供商有具体的责任，它必须遵循PCI守则。一个商家或公司，虽然处于一个PCI标准的数据中心，但他们不会自动地成为遵守PCI守则的人。每个商家或公司必须声明遵守PCI规定，并能够提供他们自己合规的认证，按照PCI标准要求，详细介绍他们的敏感信息的程序。
　　
　　数据中心必须填写自我评估问卷（SAQ）表，并在SAQ附录中提供一个“不适用”或“补偿控制使用”的解释。作为一个例子，让我们看一个PCI要求的样本。
　　
　　在SAQ：V1.2D中：“9.1-9.4要求的问题只需要回答设施中的‘敏感区域’。在这里‘敏感区域’是指任何数据中心、服务器机房或任何存储、处理或传输持卡人数据的系统所处的房屋区域。但唯一不包括在该地区的销售终端点，例如：在零售商店的收银区域。”下面列出的是9.1-9.4对数据中心要求的具体问题：
　　
　　9.1是否在适当的位置，有适当的访问控制和监测设施，用来限制外人物理进入持卡人数据环境系统？
　　
　　9.1.1.a是否有摄像机或其他访问控制机制，监督个人的身体进入敏感的区域？
　　
　　9.1.1.b是否从摄像机回放中收集数据，以及是否收集了其它入口的数据？
　　
　　9.1.1.c是否保留至少三个月的摄像机存储的数据（除非法律另有限制的情况）？
　　
　　9.1.2到公开的访问网络接口的物理访问是否受到限制？
　　
　　9.1.3到无线接入点、网关和手持设备的物理访问是否受到限制？
　　
　　9.2是否有程序可以帮助所有人员很容易区分员工和访客，特别是在可接近持卡人数据的区域？
　　
　　9.3是否按照下列要求处理所有的访客：
　　
　　9.3.1是否是授权后才能进入持卡人数据处理或维护的区域？
　　
　　9.3.2是否做到由于物理令牌（例如：徽章或接入设备）的期限届满，把这些访客作为非雇员看待？
　　
　　9.3.3是否要求在离开设施之前或者在物理令牌失效日期时，交出物理令牌？
　　
　　9.4.a是否在使用访问者日志来保持物理的审计，跟踪访问者的活动？
　　
　　9.4.b是否在访问者的日志中记录了访问者的姓名、他所代表的公司、授权物理访问的雇员情况？
　　
　　9.4.c是否保留访问者日志3个月以上，除非法律另有限制？
　　
　　针对每一个处理敏感信息和位于数据中心的商家和公司，按照自我评估问卷（SAQ）确认的责任摘要如下：
　　
　　1、建立和保持一个安全的网络：
　　
　　（1）安装和维护一个防火墙配置，保护持卡人的数据；
　　
　　（2）不要使用供应商提供的默认的系统密码和其他安全参数。
　　
　　2、保护持卡人数据：
　　
　　（1）保护持卡人的数据存储；
　　
　　（2）加密所有在开放的，公共网络上传输的持卡人的数据。
　　
　　3、保持一个弱点管理程序：
　　
　　（1）使用并定期更新反病毒软件；
　　
　　（2）开发和维护安全系统和应用。
　　
　　4、执行强的访问控制措施：
　　
　　（1）限制为了商业需要而访问持卡人的数据；
　　
　　（2）用计算机访问时，分配一个唯一的ID给每个人；
　　
　　（3）限制对持卡人数据的物理的访问。
　　
　　5、定期监控和测试网络：
　　
　　（1）追踪和监控所有对网络资源和持卡人数据的访问；
　　
　　（2）定期测试安全系统和程序。
　　
　　6、维持信息安全政策：
　　
　　（1）让雇员和承包商维持一个地址信息安全政策。
　　
　　7、PCIDSS对共用主机提供商的额外要求：
　　
　　（1）共用主机提供商必须保护持卡人的数据环境。
　　
　　为每一位客户提供服务，数据中心可以得到安全、遵守规则和成功运作的经验。了解和理解了什么是的PCI守则，明确了谁应该负责哪些部分，将会取得更加圆满的成功。
　　
　　关于作者：NathanHatch是C7数据中心（C7DataCenters）的总裁和CEO，C7数据中心是一家私人公司，它提供托管、灾难恢复、数据备份和虚拟化等高价值的数据中心解决方案。
　　 责任编辑：Kelly