Skill

implementing-pci-dss-compliance-controls

Implements PCI DSS 4.0.1's 12 requirements across 6 control objectives for cardholder data security, covering scoping, network controls, encryption, MFA, monitoring, and governance phases.

security

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

PCI DSS（支付卡行业数据安全标准）4.0.1 为存储、处理或传输持卡人数据（Cardholder Data）的组织建立了跨 6 个控制目标的 12 项要求。随着 PCI DSS 3.2.1 于 2024 年 4 月退休，51 项新要求将于 2025 年 3 月 31 日强制生效，本技能涵盖所有要求的实施，包括新的定制化验证方法、增强身份认证和持续监控控制。

Supporting Assets

LICENSEassets/template.mdreferences/api-reference.mdreferences/standards.mdreferences/workflows.mdscripts/agent.py

SKILL.md

Similar Skills

implementing-pci-dss-compliance-controls

Guides implementation of PCI DSS 4.0.1's 12 requirements across 6 control objectives for securing cardholder data environments. Useful for payment compliance, audits, and security architecture.

asi

implementing-pci-dss-compliance-controls

5.9k

Implements PCI DSS 4.0.1 controls including 12 requirements, customized validation, MFA for CDE access, and monitoring for organizations handling cardholder data.

6 files

cybersecurity-skills

pci-dss-compliance

Guides PCI DSS compliance planning for payment card handling, covering cardholder data rules, the 12 requirements, scope reduction via tokenization, SAQ selection, and security controls. For e-commerce and payment gateways.

6 tools

compliance-planning

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

实施 PCI DSS 合规控制

概述

前置条件

了解支付卡处理流程和持卡人数据环境（CDE，Cardholder Data Environment）
掌握网络分段和安全架构知识
具备访问持卡人数据环境以划定范围的权限
了解 PCI 合规验证级别（商户级别 1-4，服务提供商级别 1-2）

核心概念

按控制目标划分的 12 项 PCI DSS 要求

建立并维护安全的网络和系统

安装并维护网络安全控制（防火墙、NSC）
对所有系统组件应用安全配置

保护账户数据 3. 保护存储的账户数据（加密、令牌化、截断） 4. 传输过程中使用强加密保护持卡人数据

维护漏洞管理计划 5. 保护所有系统和网络免受恶意软件侵害 6. 开发和维护安全的系统和软件

实施强访问控制措施 7. 根据业务需知原则限制对系统组件和持卡人数据的访问 8. 识别用户并对系统组件的访问进行身份验证 9. 限制对持卡人数据的物理访问

定期监控和测试网络 10. 记录并监控对所有系统组件和持卡人数据的访问 11. 定期对系统和网络安全性进行测试

维护信息安全策略 12. 通过组织策略和计划支持信息安全

PCI DSS 4.0 关键变化

定制化方法：替代已定义方法的替代方案，允许基于目标的验证自定义控制设计
所有 CDE 访问的 MFA（多因素认证）：从管理员扩展到所有持卡人数据访问（要求 8.4.2）
目标风险分析：组织针对灵活要求自行进行风险分析
已认证漏洞扫描：内部扫描必须使用认证扫描（要求 11.3.1.1）
反钓鱼机制：检测和防范钓鱼的技术控制（要求 5.4.1）
自动化日志审查：审计日志审查的自动化机制（要求 10.4.1.1）

实施步骤

阶段 1：范围界定和评估（第 1-4 周）

识别所有持卡人数据流（卡片存在、卡片不存在、存储）
定义持卡人数据环境（CDE）边界
验证网络分段有效性
确定合规验证级别
针对所有 12 项要求进行 PCI DSS 差距评估

阶段 2：网络和系统安全（第 5-12 周）

部署和配置网络安全控制（要求 1）
实施网络分段以最小化 CDE 范围
使用 CIS 基准加固系统配置（要求 2）
为面向公众的 Web 应用程序实施 WAF（要求 6.4.1）
在所有范围内系统上部署反恶意软件（要求 5）

阶段 3：数据保护（第 13-20 周）

实施存储持卡人数据的加密（要求 3）
尽可能部署令牌化以减少范围
强制所有持卡人数据传输使用 TLS 1.2+（要求 4）
实施密钥管理程序
部署数据发现工具以定位未加密的持卡人数据

阶段 4：访问控制（第 21-28 周）

基于业务需知原则实施 RBAC（基于角色的访问控制）（要求 7）
为所有 CDE 访问部署 MFA（要求 8）
为所有用户实施唯一用户 ID
强制执行符合 PCI DSS 4.0 要求的密码策略
为 CDE 设施实施物理访问控制（要求 9）

阶段 5：监控和测试（第 29-36 周）

为所有 CDE 组件部署集中式日志记录（要求 10）
实施自动化日志审查机制
进行内部和外部漏洞扫描（要求 11）
执行渗透测试（内部和外部）
为关键文件实施文件完整性监控（FIM）

阶段 6：策略和治理（第 37-42 周）

制定全面的信息安全策略（要求 12）
实施安全意识培训，包括反钓鱼内容
建立专门针对持卡人数据的事件响应计划
针对灵活要求进行目标风险分析
记录并验证所有控制措施以供评估

关键工件

CDE 范围文档和网络图
自评问卷（SAQ）或合规报告（ROC）
合规证明（AOC）
季度 ASV 扫描报告
年度渗透测试报告
风险评估文档
安全策略和程序

常见陷阱

因网络分段不足导致范围蔓延
授权后存储禁止数据（CVV、完整轨道数据）
错过 2025 年 3 月新强制要求的截止日期
将 PCI DSS 视为年度合规而非持续安全
未将云和容器环境纳入 CDE 范围

参考资料

PCI DSS v4.0.1：https://www.pcisecuritystandards.org/document_library/
PCI SSC 快速参考指南
PCI DSS 4.0 变更摘要
UpGuard PCI DSS 4.0 指南：https://www.upguard.com/blog/pci-compliance