一、引言
因业务流程要求,企业网站的HTTPS配置务必合乎PCI DSS合规管理标准。分辨是不是合乎PCI DSS合规管理标准可应用专用工具(如https://myssl.com/)根据对HTTPS资格证书开展检测服务,若不符会发生如下图中的提醒。
二、有关PCI DSS
1.造成环境
MasterCard、VISA、American Express、Discovery和JCB是现阶段PCI产业链中的五个全世界付款知名品牌。每一个知名品牌都会有自身的安全性规定,每一个知名品牌所维系的安全设置管理体系也仍然在使用。经五个卡知名品牌商议,为了更好地更快的推动支付卡产业链数据安全的发展趋势,把个人信息保护的有关规定统一维护保养,创立PCI安全性标准联合会。
PCI安全性标准联合会做为一家国际性机构,关键承担全世界范畴内针对个人信息保护标准的确立和升级、管理体系的管理方法、工作人员和结构的学习培训、审批组织的受权也有安全防范意识的文化教育这些。
2.什么叫PCI DSS
全名Payment Card Industry Data Security Standard,第三方支付领域(支付卡行业PCI DSS)数据安全标准,是由PCI安全性标准联合会的五个创办组员一同制订,力在使国际性上选用一致的数据安全标准。
PCI DSS支付卡产业链数据安全标准是一个被开发设计适用和提升持卡人数据安全和卡机构选用的经济全球化一致性的数据安全对策。给予了一套维护持卡人数据信息的技术性和实际操作的基准线规定。PCI DSS网络信息安全标准有6大总体目标,12个类别规定,全部PCI安全性标准基本上就围绕着这种新项目完成的,已经或提前准备有意愿要做PCI合规审查的机构可以当做参照。
现行标准标准版本号为PCI DSSv3.2.1。
PCI DSS适用全部牵涉到支付卡储存、传送和处置的实体线,主要包含商家、第三方支付组织、开卡组织和服务提供商等。PCI DSS包含一组维护持卡人信息内容的主要规定,并很有可能提升另外的管控措施,以进一步提高数据信息的安全系数,减少数据泄漏的风险性。
PCI DSS标准从信息内容安全管理体系、网络信息安全、物理学安全性、数据库加密等各个方面明确提出了众多的安全性基准线规定。尽管没有一个网络信息安全标准或是安全性基本建设可以确保完成100%的抵挡安全隐患,殊不知依据业内的累积,可以完成PCI DSS而且严格执行PCI DSS的需求不断执行对于持卡人数据信息自然环境的安全防护,安全事故产生的几率将大幅度降低。
三、配置
HTTPS配置合乎PCI DSS合规管理标准,在相应的网站配置文档里禁止使用 TLSv1.0 就可以。
1.Nginx服务项目
## 禁止使用TLSv1.0后ssl_protocols项配置如下所示:
## 检验配置并重新启动
2.Apache服务项目
## 禁止使用TLSv1.0后ssl_protocols项配置如下所示:
## 重新启动服务项目(以CentOS7 系统软件为例子)
3.配置改动进行后再度检验就不可能有 “PCI DSS 不合规管理”的提醒。
