ZH Glossary

词汇表 PCI SSC

词汇表

词汇表、缩略语和首字母缩略词 Payment Card Industry (PCI) Security Standards Council。

a

帐户

也被称为“用户 ID”、“帐户 ID”或“应用 ID”。 用于识别计算机系统中的个人或进程。参见验证凭证和验证因素。

帐户数据

帐户数据由持卡人数据和/或敏感验证数据组成。参见持卡人数据和敏感验证数据。

收单机构

也被称为“商户银行”、“收单银行”或“收单金融机构”。 收单机构是为商户处理支付卡交易的实体,通常为金融机构,由支付品牌定义。收单机构须遵从有关商户遵从性的支付品牌规则和程序。参见支付处理商。

管理权限

为使某帐户能够管理系统、网络和/或应用程序而赋予的升级或更高权限。 管理权限可以分配给个人的帐户或内置系统帐户。拥有管理访问权限的帐户通常被称为“超级用户”、“根用户”、“管理员”、“系统管理员”或“主管状态”,根据具体的操作系统和组织结构而定。

AES

“高级加密标准”的缩写。 参见强效加密法。

ANSI

美国国家标准协会”的缩写。

反恶意软件

旨在检测、删除、阻止或遏制各种形式的恶意软件的软件。

AOC

遵从性证明书”的缩写。 AOC 是商户和服务提供商用于证明 PCI DSS 评估结果的表格,记录于自我评估调查问卷或遵从性报告。

APCM

“亚太社区会议”的缩写。

APO’s

"参与组织成员"的缩写。

应用程序

包括所有购买和定制和订制的软件程序或程序组,包括内部和外部(例如 web)应用程序。

应用程序和系统帐户

也被称为“服务帐户”。 在计算机系统或应用程序中执行进程或执行任务的帐户。这些帐户通常具有执行专门任务或功能所需的更高权限,通常不是个人使用的帐户。

ASV

(经批准的扫描服务商)的缩写。指经 PCI SSC 批准,获准提供外部漏洞扫描服务的公司。

检查日志

也称为“检查记录” 系统活动的序时记录。提供独立可核实的记录,可用于重建、审核和检查从交易启动到获得最终结果过程中的一系列围绕或导致操作、程序或事件的环境和活动。

验证

核实个人、设备或程序的身份的过程。验证通常会有一个或多个验证因素。参见帐户、验证凭证、和验证因素。

验证凭证

用户 ID 或帐户 ID 以及用于验证个人、设备或流程身份的验证因素相结合。参见帐户和验证因素。

验证因素

"用于证明或核实计算机系统中的个人或进程身份的元素。通常通过使用一个或多个验证因素进行验证。

  • 所知,如密码或口令等。
  • 所有,如令牌设备或智能卡等。
  • 个人特征,如生物特征等。

ID(或帐户)和验证因素合称为验证凭证。” 参见帐户和验证凭证。"

授权

就访问控制而言,授权是将访问权限或其他权限授予用户、程序或流程。授权定义了个人或程序在成功验证后可进行的操作。 就支付卡交易而言,授权是指授权过程,当商家收到交易响应(例如,授权或拒绝)时,授权过程即完成。

b

BAU

“常规业务”的缩写。

订制和定制软件

订制软件是由第三方代表实体并按照该实体的规格为其开发。
定制软件由实体开发供其自己使用。

BoA

“顾问委员会”的缩写。

c

读卡侧录装置

一种物理设备,通常连接到合法的读卡设备,用于非法捕获和/或存储支付卡中的信息。

卡验证代码

也称为卡认证代码或值,或者卡安全代码。就 PCI DSS 而言,它是印在支付卡正面或背面的三位或四位数的数值。根据各个参与的支付品牌,可能称为 CAV2、CVC2、CVN2、CVV2 或CID。更多信息,请联系参与的支付品牌。

持卡人

支付卡发给的客户或者任何被授权使用支付卡的个人。参见访客。

持卡人数据(CHD)

"持卡人数据至少包含完整 PAN。持卡人数据还可能以完整 PAN 加上以下任何信息的形式显示:持卡人姓名、失效日和/或业务码 关于可能在支付交易中传输或处理(但不存储)的其他数据元素,请参见敏感验证数据。"

CDE

“持卡人数据环境”的缩写。 CDE 由以下部分组成:

  • 存储、处理和/或或传输持卡人数据或敏感验证数据的系统组件、人员和流程,以及和/或
  • 可能不存储、处理或传输 CHD/SAD 的系统组件,但它们可以不受限制地连接到那些存储、处理或传输 CHD/SAD 的系统组件。

CERT

“计算机应急响应小组”的缩写。

变更控制

审核、测试和批准系统和软件变更以便在实施前施加影响的流程和程序。

CIS

“互联网安全中心”的缩写。

明文数据

未加密的数据。

列级 数据库加密

用于加密的技巧或技术(软件或硬件),加密内容为数据库中的特定列内容,而不是整个数据库的全部内容。或者,请参见磁盘加密和文件级加密。

商户 商用现成品或技术(COTS)

描述非专门为特定客户或用户定制或设计的库存物品,并可随时使用的产品。

补偿性控制

参见 PCI DSS 中的附录 B 和 C。

威胁

也称为“数据威胁”或“数据漏洞” 对计算机系统的入侵,其中涉嫌持卡人数据的非授权披露/盗窃、修改或销毁。

控制台

允许访问和控制服务器、大型机或其他系统类型的直接连接的屏幕和键盘。参见非控制台访问。

消费者

购买商品、服务或商品和服务的个别持卡人。

关键系统

实被实体视为特别重要的系统或技术。例如,关键系统可能对于企业经营的业绩或安全功能的维护至关紧要。关键系统往往包括安全系统、面向公众的设备和系统、数据库以及存储、处理或传输持卡人数据的系统。

加密算法

也称为“加密的算法”。 用于将明文数据转换为加密数据并复原的明确规定的可逆数学过程。参见强效加密法。请参见加密算法。

密钥

与加密算法一起使用的参数。该参数用于诸如以下操作:

  • 将明文数据转换为密文数据、
  • 将密文数据转化为明文数据、
  • 根据数据计算出来的数字签名、
  • 核实根据数据计算出来的数字签名、
  • 根据数据计算出来的验证代码,或
  • 一个共享秘密的交换协议。

参见强效加密法。

密钥生成

密钥生成是密钥管理中的职能之一。下列文件提供了关于适当密钥生成的公认指导:

  • NIST 特别出版物 800-133:密钥生成建议
  • ISO 11568-2 金融服务 — 密钥管理(零售) — 第 2 部分:对称密文,其密钥管理和生命周期
    • 4.3 密钥生成
  • ISO 11568-4 金融服务 — 密钥管理(零售) — 第 4 部分:非对称密码系统 — 密钥管理和生命周期
    • 6.2 密钥寿命周期阶段 — 生成
  • 欧洲支付委员会 EPC 342-08 关于算法使用和密钥管理的指导
    • 6.1.1 密钥生成 [对称算法]
    • 6.2.1 密钥生成 [非对称算法]。

密钥管理

支持密钥建立和维护(包括在必要时使用新密钥替换旧密钥)的流程和机制集合。

密钥周期

密钥可用于指定目的的时间段。通常基于密钥的有效期限和/或密钥产生的密文量并且符合行业最佳实践和指南(例如,NIST 特别出版物 800-57)进行定义。

定制方法

参见 PCI DSS 章节:8 实施和认证 PCI DSS 的方法。

CVSS

“通用漏洞评分系统”的缩写。 更多信息,请参见《ASV 计划指南》。

d

数据流程图

显示数据在实体应用程序、系统、或网络间或外部各方的流动方式/地点的图表。

默认帐户

系统、应用程序或设备中预定义的登录帐户,允许系统首次交付使用后的初次访问。系统也可能在安装流程中生成其他默认帐户。

默认密码

系统、应用程序或设备中预定义的关于系统管理员、用户或服务帐户的密码;通常与默认帐户相关。默认帐户和密码会对外发布,因此很容易猜出。

规定的方法

参见PCI DSS 章节:8 实施和认证 PCI DSS 的方法。

磁盘加密

用于加密所有存储在设备(例如硬盘或闪存驱动器)上的数据的技巧或技术。或者,使用文件级加密或列级数据库加密特定文件或列的内容。

DMZ

“非军事区”的缩写。 为组织的内部专用网络提供其他安全层的物理或逻辑子网络。

DNS

“域名系统”的缩写。

DORA

“《数字运营弹性法案》”的缩写。

双重控制

需要两个或更多的单独实体(通常是个人)共同操作以便保护敏感功能或信息的流程。两个实体共同负责存在漏洞的交易中相关材料的物理保护。不允许单独的个人访问或使用材料(例如密钥)。对于手动密钥生成、转易、加载、存储和恢复,双重控制需要在实体之间分割密钥知识。另请参见分割知识。

e

电子商务(网络) 重定向服务器

在电子商务交易期间将客户浏览器从商户的网站重定向到不同位置以进行支付处理的服务器。

ECC

“椭圆曲线加密法”的缩写 请参见强效加密法。

加密

通过加密算法以产生密文(即隐藏数据的信息内容)的数据(可逆)转换流程。请参见强效加密法。

加密算法

请参见加密算法。

实体

就 PCI DSS 评估而言,用于表示正在接受 PCI DSS 审查的公司、组织或企业的术语。

f

文件完整性监控(FIM)

检查关键文件是否出现变更、增加和删除并在检测到这种变更时发出通知的变更检测解决方案。

文件级加密

用于加密特定文件的全部内容的技巧或技术(软件或硬件)。或者,请参见磁盘加密和列级数据库加密。

防火墙

阻止非授权访问网络资源的硬件和/或软件技术。防火墙会根据规则和其他标准的集合允许或阻止不同安全级别的网络间的计算机流量。

取证

"也称为“计算机取证”。 它涉及信息安全,包括应用调查工具和分析技术从计算机资源中收集证据以确定数据遭受威胁的原因。 支付数据泄露事件通常由 PCI 取证调查员|(PFI)调查。"

FTP

“文件传输协议”的缩写。 用于将数据通过公共网络(例如互联网)从一台计算机传输到另一台计算机的网络协议。一般认为 FTP 是非安全协议,因为密码和文件内容是在无保护的情况下以明文形式发送的。FTP 可通过 SSH 或其他技术安全实施。

g

GEAR

“全球高管评估商圆桌会议”的缩写。

h

散列

一种通过将数据转换为固定长度的消息摘要的数据保护方法。散列是单向(数学)函数,其中非秘密算法会将任一任意长度的消息作为输入,生成固定长度的输出(通常称为“散列代码”或“消息摘要”)。散列函数应具备以下特性:
  • 只知道散列代码,通过计算不可能确定原始输入,
  • 通过计算不可能找到散列代码相同的两个输入。

HSM

“硬件安全模块”或“主机安全模块”的缩写。 物理和逻辑上受保护的硬件设备,会提供加密服务的安全集合以用于密钥管理函数和/或帐户数据的解密。

i

IDS

“入侵检测系统”的缩写。

索引令牌

对应于给定 PAN 的随机值表中的随机值。

交互式登录

个人提供验证凭证以直接登录到一个应用程序或系统帐户的流程。使用交互式登录意味着无法对该人采取的行动进行问责或追踪。

IPS

“入侵防御系统”的缩写。

ISA

“内部安全评估商”的缩写。

ISO

“国际标准化组织”的缩写。

发卡机构

也被称为“发卡银行”或“发卡金融机构”。 发行支付卡或者提供、促进或支持发卡服务的实体,包括但不限于发卡银行和发卡处理机构。

发卡服务

发卡服务包括但不限于授权和卡片个性化等。

k

密钥保管人

受委并负责代表某个实体履行涉及秘密和/或私人密钥、密钥份额或密钥组件的密钥管理职责的角色。

密钥管理系统

提供一种综合方法以生成、分发和/或管理设备和应用程序加密密钥的硬件和软件组合。

加密散列

结合随机生成的秘密密钥以提供抗蛮力攻击和秘密验证完整性的散列函数。
适当的加密散列算法包括但不限于:HMAC、CMAC 和 GMAC,其有效加密强度至少为 128 位(NIST SP 800-131Ar2)。
关于 HMAC、CMAC 和 GMAC 的更多信息,请参考以下内容:NIST SP 800-107r1、NIST SP 800-38BNIST SP 800-38D)。
请参见 NIST SP 800-107(修订版 1):对使用授权散列算法的应用程序的建议§5.3。

KMO

“密钥管理操作”的缩写。

l

LAN

“局域网”的缩写。

LDAP

“轻量级目录访问协议”的缩写。

最小权限

执行工作职能的角色和责任所需的最低权限水平。

法律例外情况

因满足 PCI DSS 要求将违反当地或地区法律、法规或监管要求而产生的法律限制。合同义务或法律建议属于法律限制。
有关报告法律例外情况的信息,请参阅以下 PCI DSS v4.x 文件:

  • 遵从性报告 (ROC) 模板和相关遵从性证明书。
  • 自我评估调查问卷 (SAQ) 和相关的遵从性证明书。

注意:如果一个实体在多个地点运营,则只能在受法律、法规或监管要求管辖的地点申请法律例外情况,而不能在不适用此类法律、法规或监管要求的地点申请法律例外情况。

日志

见检查日志。

逻辑访问控制

限制信息或信息处理资源只提供给授权人或应用程序的机制。请参见物理访问控制。

m

MAC

在加密法中,是“信息验证代码”的缩写。请参见强效加密法。

磁道数据

请参见:磁道数据

掩盖

显示或打印时隐藏 PAN 分段的方法。查看完整的 PAN 没有业务要求时使用掩盖。掩盖与显示在屏幕、纸质收据、打印件等时的 PAN 保护有关。 关于以电子方式存储、处理或传输时 PAN 的保护,请参见截词。

媒体

物理材料,包括但不限于电子存储设备、可移动电子媒体和纸质报告。

商户

在 PCI DSS 中,商户被定义为接受带有任何 PCI SSC 参与支付品牌徽标的支付卡作为商品和/或服务付款的任何实体。
接受支付卡作为商品和/或服务付款的商户也可以是一个服务提供商,如果出售的服务导致代表其他商户或服务提供商存储、处理或传输持卡人数据。例如,ISP 是一个接受支付卡按月计费的商户,但如果它把商户作为客户托管,它也是一个服务提供商。

MO/TO

“邮件订单/电话订单”的缩写。

MPoC

“COTS 上的移动支付”的缩写。

多因素验证

通过认证至少两个因素验证用户身份的方法。这些因素包括用户所有(例如智能卡或加密狗),用户所知(例如密码、口令或 PIN)或者用户特征或用户所为(例如指纹或其他类型的生物特征)。

多租户服务提供商

一种提供各种共享服务给商户和其他服务提供商,以便客户共享系统资源(如物理或虚拟服务器)、基础设施、应用程序(包括软件即服务(SaaS))和/或数据库的第三方服务提供商。服务可能包括但不限于在一个共享服务器上托管多个实体,提供电子商务和/或"购物车"服务,基于网络的托管服务,支付应用程序,各种云应用程序和服务,以及与支付网关和处理器的连接。请参见服务提供商和第三方服务提供商。

n

NAC

“网络访问控制”的缩写。

NAT

“网络地址转换”的缩写。

网络连接

设备之间的一个逻辑、物理或虚拟通信路径,允许传输和接收网络层数据包。

网络图

显示联网环境内系统组件和连接的图表。

网络安全控制 (NSC)

作为网络政策执行点的防火墙和其他网络安全技术。NSC 通常根据预先定义的策略或规则,控制两个或多个逻辑或物理网段(或子网)之间的网络流量。

NIST

“国家标准与技术研究所”的缩写。 美国商务部技术管理内部的无管理联邦机构。

非控制台访问

指的是对系统组件的逻辑访问,通过网络接口(而不是通过直接的物理连接)连接到系统组件上。非控制台访问包括通过本地/内部网络进行的访问,也包括通过外部或远程网络进行的访问。

NTP

“网络时间协议”的缩写。

o

组织独立性

确保执行活动的个人或部门与评估活动的个人或部门之间没有利益冲突的组织结构。例如,执行评估的个人有组织地与正在评估环境的管理工作分离。

OWASP

“开放式网络应用程序安全项目”的缩写。

p

P2PE

“点对点加密”的缩写。

PAN

“主帐户号”的缩写。 识别发卡机构和持卡人帐户的唯一支付卡号(信用卡、借记卡或预付卡等)。

参与的支付品牌

也称为“支付品牌”。 截至相关时间,根据 PCI SSC 的管理文件当时被正式接纳为(或附属于)PCI SSC 成员的支付卡品牌。在撰写本文时,参与支付品牌包括 PCI SSC 的创始成员和战略成员。

密码/口令

作为用户或帐户的验证因素的一串字符。

补丁

更新为现有软件以添加功能或修正缺陷。

支付品牌

拥有品牌支付卡或其他支付卡形式因素的组织。支付品牌对带有其品牌或徽标的支付卡或其他形式因素的使用地点和方式进行监管。支付品牌可以是 PCI SSC 的参与支付品牌或其他全球或区域支付品牌、计划或网络。

支付卡形式因素

包括实体支付卡以及具有模拟支付卡功能以启动支付交易的设备。这类设备包括但不限于智能手机、智能手表、健身手环、密钥标签和可穿戴设备(如珠宝)等。

支付卡

就 PCI DSS 而言,任何带有任何 PCI SSC 参与支付品牌徽标的支付卡形式。

支付渠道

商户用于接受客户付款的方法。常见支付渠道包括实体信用卡(实体)和虚拟信用卡(电子商务和MO/TO)。

支付页面

包含一个或多个表单元素以从消费者获取帐户数据或提交所获取帐户数据用于处理和授权付款交易的网络用户界面。支付页面可以以下任何一种方式呈现:
  • 单一文件或实例,
  • 显示在非支付页面内内联框架中的文件或组件。

多个文档或组件,每个包含一个或多个表单元素,包含在一个非支付页面内的多个内联框架中。

支付页面脚本

支付页面上由消费者的浏览器处理和/或解释的任何编程语言命令或指令,包括与页面的文档对象模型互动的命令或指令。编程语言包括 JavaScript 和 VB 脚本等;标记语言(例如,HTML)或样式规则(例如,CSS)均不属于编程语言。

支付处理商

也称为“支付网关”或“支付服务提供商(PSP)”。 由商户或其他实体聘请以代表他们处理支付卡交易的实体。请参见收单机构。

PCI DSS

“支付卡行业数据安全标准”的缩写

人员

负有责任保护帐户数据安全或可能影响持卡人数据和/或敏感验证数据帐户数据安全的全职和兼职雇员、临时雇员、承包商和顾问。参见访客。

防网络钓鱼验证

旨在防止向用户试图进行身份验证的合法系统以外的任何一方泄露和使用身份验证秘密的身份验证(例如,通过中间(ITM)或冒充攻击)。防网络钓鱼系统通常采用非对称加密作为核心安全控制。
仅依赖密码或一次性密码 (OTP) 等基于知识或有时间限制的因素的系统不被视为防网络钓鱼系统,短信或神奇魔术链接也不被视为防网络钓鱼系统。防网络钓鱼身份验证的示例包括 FIDO2。

物理访问控制

限制只有授权人员才能进入物理空间或环境的机制。请参见见逻辑访问控制。

PIN

“个人识别码”的缩写。仅用户与系统知晓的保密数字密码,用于将用户向系统进行验证。只有当用户提供的 PIN 与系统中存储的 PIN 匹配时,才会授予该用户访问权限。典型的 PIN 用于自动取款机(ATM)的现金预借交易。另一种 PIN 用于 EMV 芯片卡交易,其中 PIN 用于替代持卡人的签名。

PIN 数据块

用于在处理过程中封装 PIN 的数据块。PIN 数据块格式定义了 PIN 数据块的内容以及为检索 PIN 而进行的处理方式。PIN 数据块由 PIN 和 PIN 长度组成,并且可能包含 PAN 的一部分(子集)。

POI

“交互点”的缩写,从卡中读取数据的起点。POI 是一种电子交易受理产品,由硬件和软件组成,并部署在受理设备中,使持卡人能够执行支付卡交易。POI 可以是有人值守的,也可以是无人值守的。POI 交易通常是基于集成电路(芯片)和/或磁道数据的支付卡交易。

销售点系统 (POS)

商户用于接受客户付款的硬件和软件。可能包括POI设备、PIN输入器、电子收银机等。

PPO’s

“主要参与组织”的缩写。

特权用户

拥有的权限超出基本访问权限的所有用户帐户。一般而言,这些帐户享有较高和较多的特权,比标准用户帐户拥有更多权利。但是不同特权帐户的特权范围差异很大,具体取决于组织、工作职能或角色以及使用的技术。

q

QIR

“合格的集成商或经销商”的缩写 更多信息,请参见 PCI SSC 网站上的《QIR 计划指南》。

QPA

“合格的 PIN 评估商”的缩写。

QSA

“合格安全性评估商”缩写。 QSA 经由 PCI SSC 授予执行 PCI DSS 现场评估的资格。QSA 公司由 PCI SSC 授予验证实体是否符合 PCI DSS 要求的资格。关于 QSA 公司和员工要求的详情,请参见《QSA 资格要求》。

r

REB

“区域参与委员会”的缩写。

远程访问

从实体的网络外部位置访问电脑网络。VPN 就是一种远程访问技术。

可移动电子媒介

存储数字化数据的媒介,可轻松从一个计算机系统移动和/或传输到另一个。可移动电子媒介包括 CD-ROM、DVD-ROM、USB 闪存驱动器和外部/便携式硬盘等。因此,可移动电子媒介不包括热插拔驱动器、用于批量备份的磁带驱动器,或其他通常不用于将数据从一个位置传输到另一个位置使用的媒介。

RFC

“征求意见”的缩写。

风险评估

识别有价值的系统资源和威胁的企业流程。根据估算的频率和产生的成本量化损失暴露风险(即可能导致的损失);以及(可选)建议如何分配用于应对的资源以最大限度地降低总暴露风险。请参见目标风险分析。

风险等级

分类风险以识别、优先考虑并按重要性顺序处理项目的流程。

ROC

“遵从性报告”的缩写。 用于记录实体的 PCI DSS 评估的详细结果的报告工具。

RRG

“路线图圆桌会议小组”的缩写。

RSA

用于公钥加密的算法。请参见强效加密法。

s

SAQ

“自我评估调查问卷”的首字母缩写。 用于记录某实体的 PCI DSS 评估中自我评估结果的报告工具。

范围界定

要包含在 PCI DSS 评估中的所有系统组件、人员和流程的识别流程。请参阅 PCI DSS 章节:4 PCI DSS 要求的范围。

安全编码

创建和实施应用程序以防止被篡改和/或遭受威胁的流程。

安全事件

组织认为对于系统或其环境而言存在潜在安全隐患的事件。就 PCI DSS 而言,安全事件会识别可疑或异常活动。

安全人员

负责实体安全的主要人员。

分段

也称为“网络分段”或“隔离”。 网络分段可将存储、处理或传输持卡人数据的系统组件与其他无法执行此类操作的系统隔离开来。请参见 PCI DSS 章节:4 PCI DSS要求的范围中的“网络分段”部分。

敏感区域

敏感区域通常是 CDE 的一个子集,是任何对 CDE 至关重要的系统所在区域。这包括数据中心、服务器室、零售地点的后台机房,以及任何集中或聚集了持卡人数据存储、处理或传输的区域。敏感区域还包括管理或维护 CDE 安全的系统所在区域(例如,那些提供网络安全控制或管理物理或逻辑安全的系统)。 这不包括仅有销售点终端的区域,例如零售店的收银区或代理接受付款的呼叫中心。

敏感验证数据(SAD)

用于验证持卡人身份和/或授权支付卡交易的安全相关信息这些信息包括但不限于卡认证代码/值、全磁道数据(磁条数据或芯片上的等效数据)、PIN 和 PIN 数据块

职责分离

为不同的个人划分职能,以确保单独的个人无法破坏流程的方法。

业务码

磁条中的三位或四位值,位于磁道数据上的支付卡失效日之后。业务码用途多样,可用于定义服务属性、区分国际和国内交换或识别使用限制等。

服务提供商

并非支付品牌的企业实体,代表其他实体直接参与持卡人数据(CHD) 和/或敏感验证数据 (SAD)的处理、存储或传输。这包括支付网关、支付服务提供商(PSP)和独立销售组织(ISO)。服务提供商也提供控制或可能影响持CHD 和/或 SAD卡人数据安全的公司。示例包括提供托管防火墙、IDS 和其他服务的托管服务提供商,以及托管提供商和其他实体。
如果某实体提供仅涉及公共网络访问提供的服务(例如仅提供通信链接的电信公司),则不认为该实体是相关服务的服务提供商(不过可认为该实体是其他服务的服务提供商)。请参见多租户服务提供商和第三方服务提供商。

SNMP

“简单网络管理协议”的缩写。

分割知识

两个或更多的实体分别掌握部分密钥且根据密钥的单个部分无法得知整个密钥的方法。

SQL

“结构化查询语言”的缩写。

SSH

“安全外壳”的缩写。

SSL

“安全外壳”的缩写。

强效加密法

加密法是一种通过可逆转加密过程保护数据的方法,该基本原理被许多安全协议和服务使用。强效加密法基于经过行业测试和认可的算法,以及提供至少 112 位的有效密钥长度及合适的密钥管理方法的密钥长度。
有效密钥强度可能短于密钥的实际“比特”长度,这可能导致具有较大密钥的算法比具有较小实际但较大有效密钥大小的算法提供较少保护。我们建议所有新实施的内容使用至少 128 位的有效密码长度。
关于加密算法和密钥长度的行业参考文献的例子包括:

  • NIST 特别出版物 800-57 第 1 部分,
  • BSI TR-02102-1,
  • ECRYPT-CSA D5.4 算法、密钥大小和协议报告(2018),以及
  • ISO/IEC 18033 加密算法,以及
  • ISO/IEC 14888-3:2-81信息技术安全技术 - 数字签名与附录 - 第3部分:基于离散对数的机制。

系统组件

包含在或连接到 CDE 或可能影响持卡人数据和/或敏感验证数据 CDE 安全的任何网络设备、服务器、计算设备或应用程序。

系统级对象

系统组件上所需的任何对象,包括但不限于应用程序执行表和配置文件、系统配置文件、静态和共享库和 DLL、系统执行表、设备驱动程序和设备配置文件以及第三方组件。

t

TAB

“技术咨询委员会”的缩写。

有针对性风险分析

就 PCI DSS 而言,风险分析侧重于特定的 PCI DSS 要求,因为该要求允许灵活性(例如,频率),或者对于定制方法,解释实体如何评估风险并确定定制控制符合 PCI DSS 要求的目标。

TDES

“三重数据加密标准”的缩写 也称为“3DES”或“三重 DES”。

TELNET

“电话网络协议”的缩写。

TGG

“技术指导小组”的缩写。

第三方服务提供商(TPSP)

代表某实体充当服务提供商的任何第三方。请参见多租户服务提供商和服务提供商。

第三方软件

由某实体获得但并非为其专门开发的软件。它可能是开放源代码、免费软件、共享软件或所购软件。

TLS

“传输层安全”的缩写。

令牌

就验证和访问控制而言,令牌是由硬件或软件提供的值,可与验证服务器或 VPN 一起执行动态或多因素验证。

磁道数据

也被称为“全磁道数据”或“磁条数据”。 编译在磁条或芯片中的数据,用于支付交易中的验证和/或授权。可以是芯片上的磁条图像也可以是磁条上的磁道数据。

截词

通过移除 PAN 数据的某分段,使完整 PAN 不可读的方法。截词存储在以电子方式存储、处理或传输时,与 PAN 的保护相关。 请参见掩盖,了解显示在屏幕、纸质收据等时的 PAN 保护。

可信网络

实体能够控制或管理并且符合适用的 PCI DSS 要求的实体网络。

u

不可信网络

任何不符合“可信网络”定义的网络。

v

虚拟支付终端

就自我评估调查问卷(SAQ)C-VT 而言,虚拟支付终端会通过网络浏览器访问收单机构、处理机构或第三方服务提供商网站以授权支付卡交易,其中商户通过网络浏览器手动输入支付卡数据与物理终端不同,虚拟支付终端不会直接从支付卡中读取数据。由于支付卡交易信息是手动输入的,因此虚拟支付终端一般用于替代商户环境中交易量较小的物理终端。

虚拟化

将计算资源从物理和/或逻辑约束中进行逻辑抽象。常见的一种抽象为虚拟机或 VM,VM 会获取物理机的内容,允许这些内容在不同的物理硬件上和/或与相同物理硬件上的其他虚拟机一起进行操作。其他常见的抽象包括但不限于容器、无服务器计算或微服务。

访客

供应商、任何人员的客人、服务人员或通常不能进入主题区域的人员。
在零售点购买商品或服务的持卡人不被视为 "访客"。请参阅"持卡人"和"人员"。

VPN

“虚拟专用网络”的缩写。

漏洞

一旦被利用可能有意或无意对系统构成威胁的缺陷或弱点。

w

网络应用程序

通常通过网络浏览器或通过网络服务访问的应用程序。网络应用程序可通过互联网或专用内部网络提供。