PCI-DSS 基础教程

了解有关支付卡行业数据安全标准的所有信息,包括评估和 12 项要求

课程英文名:Fundamentals of PCI-DSS

此视频教程共4.0小时,中英双语字幕,画质清晰无水印,源码附件全

下载地址

课程编号:297
百度网盘地址:https://pan.baidu.com/s/1ivLIGKt_3R0wncmCswMTRg?pwd=vd1h
夸克网盘(不限速)地址:https://pan.quark.cn/s/c284e4d413f3

课程内容

你将会学到的

  • 您将了解 PCI-DSS 必不可少的术语,例如 CDE、CHD、SAD、PAN、SAQ、ROC、QSA 以及其他支付行业术语
  • 您将了解 PCI-DSS 的历史及其主要修订版
  • 您将了解评估过程的工作原理、ROC 和 SAQ,以及对 8 种 SAQ 的说明
  • 您将了解有关要求 1 的所有内容,包括使用防火墙配置来隔离您的卡数据、网络文档等
  • 您将了解有关要求 2 的所有内容,包括更改供应商默认设置、隔离服务器功能和保护设备中的漏洞
  • 您将在保护存储数据方面了解有关要求 3 的所有内容,包括加密协议、密钥生命周期、密钥管理等
  • 您将了解有关要求 4 的所有内容,保护传输中的数据,包括屏蔽纯文本 PAN 和使用 WPA/WPA2 等强加密协议
  • 您将了解有关要求 5 的所有内容,即通过经常更新和经常运行扫描的防病毒解决方案来防止恶意软件
  • 您将了解有关要求 6 的所有内容,包括安全开发、定期漏洞评估和修补
  • 您将了解有关要求 7 的所有内容,即通过”需要知道”限制对卡数据的访问,最大限度地减少正式访问卡数据的人员
  • 您将了解有关要求 8 的所有内容,包括通过唯一用户 ID 识别访问、强身份验证和 MFA、密码实践等
  • 您将了解有关要求 9 的所有内容,包括物理安全、访客识别/授权以及媒体存储/传输/销毁
  • 您将了解有关要求 10 的所有内容,包括日志记录解决方案、记录特定所需事件、特定数据点和日志完整性
  • 您将了解有关要求 11 的所有内容,包括进行常规 AP(授权 + 流氓)和 IP 审计、漏洞测试、渗透测试等
  • 您将了解有关要求 12 的所有内容,包括制定公司范围的信息安全政策,包括员工筛选、第三方筛选等

显示更少

本课程包括:

  • 11.5 小时 长的随选视频
  • 77 个可下载资源
  • 在移动设备和电视上观看
  • 结业证书

要求

  • 您不需要任何先验知识(支付行业或信息安全知识会有所帮助,但不是必需的)

说明

保护您的数据,保护您的知识

您可能知道支付欺诈随着时间的推移而增加,不幸的是并没有放缓。

PCI-DSS 或支付卡行业数据安全标准是一套针对任何处理卡数据的组织的严格标准。

他们告诉您如何存储和传输这些数据。

但是,您几乎找不到一门既涵盖技术知识又涵盖实际应用和示例的课程。

简而言之,大多数 PCI-DSS 课程要么仅与技术有关,要么与业务有关。

如果你能找到一门结合两者的课程……

嗯…这就是本课程旨在改变的。

让我告诉你……一切

有些人 – 包括我 – 喜欢知道他们在包裹中得到了什么。

我的意思是,包装中的所有东西。

因此,这是本课程涵盖的所有内容的列表:

  • 您将了解 PCI-DSS 中使用的所有术语的说明,包括什么是 CDE、什么是 CHD、SAD、组织是否必须采用 ROC 或 SAQ,以及一些”通用”支付行业术语,例如什么是开证行和收单行;
  • 您将了解自 2004 年以来 PCI-DSS 的历史,包括多次迭代和自己的发布生命周期;
  • 您将了解商户评估流程,根据他们在 1-4 级的分类,以及 SAQ 和 ROC 的工作原理,以及 8 种不同类型的 SAQ,以及它们针对的机器/商户类型,包括SAQ-A 和 SAQ-A-EP,SAQ-B 和 SAQ-B-IP,SAQ-C 和 SAQ-C-VT,SAQ-P2PE-HW,最后是最通用的 SAQ-D;
  • 您将了解从授权到认证、清算和结算的支付流程剖析,涉及持卡人和商家,以及发卡银行、收单银行和卡公司的角色;
  • 您将了解所有 12 个 PCI-DSS 要求的概述,以及它们与 6 个目标的关系;
  • 您将了解有关要求 1(拥有防火墙)的所有信息,包括防火墙配置和标准、有关网络拓扑和卡数据流的文档、设置 DMZ、拒绝不安全的流量等等;
  • 您将了解有关要求 2(无默认设置)的所有信息,关于从设备中删除默认密码/帐户/字符串,以及隔离服务器功能并删除可能存在漏洞的不必要的端口/服务/应用程序;
  • 您将了解有关要求 3(保护存储的数据)的所有信息,关于使用强加密保护持卡人数据,以及制定适当的数据保留策略、数据清除以及屏蔽纯文本 PAN、不存储 SAD 和使用正确的密钥管理和关键生命周期程序;
  • 您将了解有关要求 4(保护传输的数据)的所有内容,关于在通过蜂窝或卫星等公共网络传输 CHD 时使用强加密,以及在传输中屏蔽明文 PAN,尤其是跨 IM 通道;
  • 您将了解有关要求 5(预防恶意软件)的所有信息,关于在所有常见受影响的计算机上安装防病毒解决方案以防止恶意软件,以及防止禁用 AV 软件的访问控制策略;
  • 您将了解有关要求 6(安全开发)的所有信息,有关为内部和第 3 方应用程序进行漏洞排名和及时补丁安装,以及包括 SDLC 中的安全要求,以及培训开发人员以防止常见漏洞利用例如代码注入、缓冲区溢出等;
  • 您将了解有关要求 7(需要知道的访问权限)的所有内容,关于尽可能限制人员对 CHD 的访问权限,按角色定义权限,以及有一个正式的访问控制机制来巩固这一点,例如 LDAP, AD 或 ACL;
  • 您将了解有关要求 8(识别访问权限)的所有信息,关于将每个操作与唯一用户绑定,包括强制使用唯一 ID、不活动时自动注销、尝试输入错误密码时锁定、删除不活动帐户、限制第三方访问、禁止使用共享 ID,强制物理安全措施仅供目标用户使用,等等;
  • 您将了解有关要求 9(限制物理访问)的所有内容,关于授权和区分访客,对患有 CHD 的房间实施访问控制,以及正确运输、存储和处置具有不同敏感性级别的包含 CHD 的物理介质;
  • 您将了解有关日志记录的所有要求 10(监控网络)。拥有一个正在运行的日志记录解决方案,记录特定事件(例如所有失败的操作、所有管理操作、CHD 上的所有操作等),记录每个事件中的特定元素(例如用户 ID、操作状态、受影响的资源等),以及所有日志的单一时间同步机制、日志上的 FIM(文件完整性监控)、频繁的日志审查和适当的日志保留;
  • 您将了解有关要求 11(定期测试)的所有信息,关于对授权和非授权访问点 (AP) 执行定期扫描,以及定期漏洞扫描和定期渗透测试(从内部和外部,以及多个层),以及对所有关键文件进行 FIM(文件完整性监控),以及拥有 IDS/IPS(入侵检测/预防系统)以防止攻击;
  • 您将了解有关要求 12(制定信息安全政策)的所有信息,其中涵盖了组织级别的角色、职责和所有者,包括各种主题,例如技术使用政策、员工筛选、员工意识、第三方选择标准、定期风险和脆弱性评估等;
  • 您将了解对所有 12 个要求和其中的一般模式的审查,例如默认情况下”拒绝一切”、对某些参数使用常识、对所有更改实施变更管理以及始终优先考虑安全性(逻辑和物理) ;

我对你的邀请

请记住,您始终拥有 30 天退款保证,因此您没有任何风险。

另外,我建议您使用免费的预览视频来确保课程确实适合。我不想让你浪费你的钱。

如果您认为本课程很合适,并且可以将您的防欺诈知识提升到一个新的水平……很高兴有您作为学生。

在另一边见!

此课程面向哪些人:

  • 您是任何想了解更多关于卡数据信息安全的支付专业人士
  • 您是任何希望了解更多有关 PCI-DSS 的信息安全要求的信息安全专业人士
  • 您是任何想要更好地保护其系统中的卡数据的支付专业人士