1.前言因业务需要,公司站点的HTTPS配置必须符合PCIDSS合规标准。判断是否符合PCIDSS合规标准,可以使用工具(如https://myssl.com/)通过HTTPS证书的安全测试。如果不符合提示,会出现下图。二、关于PCIDSS一、背景MasterCard、VISA、AmericanExpress、Discovery和JCB是目前PCI行业的五个全球支付品牌。每个品牌都有自己的安全需求,每个品牌维护的安全策略系统仍在使用。经过五家卡品牌的协商,为更好地推动支付卡行业数据安全的发展,统一维护数据保护的相关要求,成立了PCI安全标准委员会。PCI安全标准委员会作为一个全球性组织,主要负责全球范围内数据保护标准的制定和更新、系统管理、人员和组织培训、审计机构授权、安全意识教育等。2、什么是PCIDSS,全称PaymentCardIndustryDataSecurityStandard,第三方支付行业(paymentcardindustryPCIDSS)数据安全标准,由PCI安全标准委员会5个创始成员共同制定,力争使国际采用一致的数据安全标准。PCIDSS支付卡行业数据安全标准是一项数据安全措施,旨在支持和增强卡组织采用的持卡人数据安全性和全球一致性。为保护持卡人数据提供一组基准技术和操作要求。PCIDSS信息安全标准有6大目标和12大类要求。整个PCI安全标准基本上都是围绕这几项展开的。正在或计划进行PCI合规审查的组织可以作为参考。当前的标准版本是PCIDSSv3.2.1。PCIDSS适用于所有涉及支付卡存储、传输和处理的实体,主要包括商户、第三方支付机构、发卡机构和服务提供商。PCIDSS包括一套保护持卡人信息的基本要求,并可能增加额外的控制措施以进一步提高数据安全性并降低数据泄露的风险。PCIDSS标准从信息安全管理体系、网络安全、物理安全、数据加密等方面提出了多项安全基线要求。虽然目前还没有信息安全标准或安全建设能够保证100%防范安全风险,但根据行业积累,实施PCIDSS并继续严格按照PCI对持卡人数据环境进行安全保护是有可能的决策支持系统要求。发生这种情况的可能性将大大降低。3.配置HTTPS配置符合PCIDSS合规标准,只需在相应站点配置文件中禁用TLSv1.0即可。1、Nginx服务##禁用TLSv1.0后,ssl_protocols项配置如下:ssl_protocolsTLSv1.1TLSv1.2;##检测配置并重启${NginxPATH}/sbin/nginx-t${NginxPATH}/sbin/nginx-sreload//${NginxPATH}为nginx应用安装目录路径,请根据实际情况修改.2.Apache服务##禁用TLSv1.0后,ssl_protocols项配置如下:#Unknownversionssl_protocolsTLSv1.1TLSv1.2;#Apache2.2.22版本SSLProtocolTLSv1.1#Apache2.2.23版本SSLProtocolALL-SSLv2-SSLv3-TLSv1#Apache+mod_nss版本NSSProtocolTLSv1.1,TLSv1.2##重启服务(以CentOS7系统为例)systemctlrestarthttpd3。配置修改完成后,再次查看时不会再出现“PCIDSSnon-compliance”提示。
