支付卡行业(PCI)数据安全标准
术语和缩略语
术语 定义
AAA 认证、授权和计费协议
Accounting 计费:用户的网络资源追查
Access control 访问控制 - 限制授权人或应用程序访问信息或信息处理资源的措施。
Account
harvesting
帐户获得 -
基于反复试验的方法,确定现有的用户账户。[备注:用错误消息方式发出很
多信息可以泄露信息,使进攻者更易穿透或危及系统。
Account number 账号 -
证明发行人和特定持卡人账户的支付卡数据(信用或借记)。也称为主账
号(PAN)
Acquirer 收单行 -
指银行卡协会会员,可用作发起和维护与接受支付卡的商户间关系。
AES 高级加密标准-NIST于 2001年11月开始采用的块加密标准。
FIPS PUB197定义了其算法。
ANSI 美国国家标准学会 -
负责管理和协调美国自愿性标准和合格评定系统的民间非盈利性组织
Anti-Virus Program 反病毒程序 –
能够检测、清除和预防受到各种形式的恶意代码或恶意软件(包括病毒、蠕虫、
特洛伊木马、间谍软件和广告软件)侵害的程序
Application 应用 –
包括所有购买和自行开发的软件程序或为终端用户设计的程序集,它包括内部
或外部(Web)应用程序
Approved
Standards
认可标准 – 它们是标准化的算法(如 ISO 和 ANSI
标准算法)和一些著名的可购买获得的标准(如
Blowfish),能够满足极高的加密要求。认可标准的例子包括 AES(128
位和更多位)、
TDES(两个或三个独立密钥)、RSA(1024 位)和ElGamal(1024 位)
Asset 资产 – 组织的信息或信息处理资源
Audit Log 审查日志 –
系统活动的历史记录。可按顺序对环境及活动进行重组、回顾和检查,伴随或
导向一项操作、过程或事件记录在交易过程中自始至终的结果。特殊情况下,
有时用作安全审查追踪。
Authentication 认证 - 检验某个项目或过程的身份的程序。
Authorization 授权 – 为用户、程序或过程的准许授予访问或其他权利。
Backup 备份 - 一种数据复制,用以存档或保护以防破坏或丢失。
Cardholder 持卡人 - 持有已发行的卡或授权使用该卡的客户。
术语和缩略语 2
术语 定义
Cardholder data 持卡人数据 – 全磁条或PAN及以下信息:
持卡人姓名
有效日期
服务代码
Cardholder data
environment
Card Validation
Value or Code
Compensating
controls
持卡人数据环境 –
处理持卡人数据或机密认证数据的计算系统网络区域和直接连接或支持卡人数据
处理、存储或传输的系统和部分。通过适当的网络隔离,将存储、处理或传输持
卡人数据的系统与其他系统分离,或许能缩小持卡人数据环境的范围和PCI评估
的范围。
卡片验证值/码 -
卡磁条上的数据元素,它使用安全加密过程保护磁条上的数据完整和揭示任何
数据修改或伪造。指 CAV、CVC、CVV 或
CSC,具体视卡品牌而定。下面列出了各个卡品牌使用的术语:
• CAV 卡认证值(JCB支付卡)
• CVC 卡认证码(MasterCard 支付卡)
• CVV 卡验证值(Visa和Discover支付卡)
• CSC 卡安全码(美国运通卡)
注:第二种类型的卡验证值或验证码是一个三位数的值,印刷在卡背面的签名条
中信用卡号的右方。对于美国运通卡,安全码是四位数字的非突版数字,印刷在
所有支付卡正面的卡号上方。该安全码与每个塑料印刷卡片之间唯一关联,并且
卡号与塑料印刷卡片相关联。下面是各验证值/码的概述:
• CID 卡识别号(美国运通和Discover支付卡)
• CAV2 卡认证值2(JCB支付卡)
• CVC2 卡认证码2(MasterCard支付卡)
• CVV2 卡验证值2(Visa支付卡)
补偿控制 -
当一个组织无法满足某项要求的技术规范时,通常可以考虑补偿措施。对于标准
中的大多数要求,补偿措施能充分地缓解相应的风险。补偿控制必须
1)满足最初设定的PCI DSS要求的目标和严格条件;
2)以相差无几的效力击退泄露企图;
3)“超标准地”满足其他PCI DSS要求(而不是仅仅符合其他PCI DSS要求);