腾讯安全：基于PCI DSS的云用户数据安全标准白皮书(22页).pdf

1、 基于 PCI DSS 的 云用户数据安全标准白皮书（简版） 2019 年 7 月 深圳腾讯计算机系统有限公司 腾讯云计算（北京）有限责任公司 艾特赛克（北京）信息技术有限公司 中国云安全与新兴技术安全创新联盟 联合出品 基于 PCI DSS 的云用户数据安全合规白皮书 腾讯云计算（北京）有限责任公司 艾特赛克（北京）信息技术有限公司 联合发布 2 / 22 【版权声明】 腾讯云计算（北京）有限责任公司（以下简称腾讯云） 艾特赛克（北京）信息技术有限公司（以下简称 atsec 中国） 2019-2021 腾讯云 及 atsec 中国 版权所有 本文档著作权归腾讯及 atsec 中国所有， 未经

2、双方事先书面许可， 任何主体不得以任何形式复制、 修改、抄袭、传播全部或部分本文档内容。 【商标声明】 及其它腾讯云服务相关的商标均为腾讯云计算 （北京） 有限责任公司及其关联公司所 有。 及其它 atsec 相关的商标均为 atsec information security 及艾特赛克（北京）信息 技术有限公司所有。 本文档涉及的第三方主体的商标，依法由权利人所有。 基于 PCI DSS 的云用户数据安全合规白皮书 腾讯云计算（北京）有限责任公司 艾特赛克（北京）信息技术有限公司 联合发布 3 / 22 【服务声明】 2019 年 7 月 本文档仅供参考。对于本文档中所描述的信息和内容，腾

3、讯云计算（北京）有限责任公司（以下简 称腾讯云） 和艾特赛克 （北京） 信息技术有限公司 （以下简称 atsec 中国） 不作明示、 默示的保证。 本文档基于现状编写。在本文档中的信息和意见，包括网址和其他互联网网站参考，均可能会改 变，恕不另行通知。您将承担直接引用它的风险。 本文档未授予您任何腾讯产品的任何知识产权的法律权利。您可以复制和使用本文档中的内容作 为您内部以参考为目的的使用。 基于 PCI DSS 的云用户数据安全合规白皮书 腾讯云计算（北京）有限责任公司 艾特赛克（北京）信息技术有限公司 联合发布 4 / 22 序言 本白皮书基于国际范围内得到最广泛认可和运用的数据安全标准

4、PCI DSS， 提出了数据安全 合规建设的方法论，同时也尽可能详细的将合规要求落到实处，特别是 “云服务提供商与云用户 的 PCI DSS 合规要求责任分析” ，详细的诠释了云服务提供商和云用户在基于 PCI DSS 实施数据 安全合规时逐条阐述了各自的责任和具体工作。 数据安全合规并不是一次性工作， 产业的技术不断演进发展， 同时各个系统组件也会出现新的 脆弱性和攻击模型。我们会长期致力于该白皮书以及相关技术的更新，不断监控标准以及技术的 更新，从而更好的为产业合规做出我们的贡献。 感谢如下人员在本白皮书编制工作的努力。 主要作者：腾讯 王永霞、 ；atsec 中国 谢继来 参与者: 腾讯

5、 代威、周弈良、蒋增增、彭思祥、刘双立; atsec 中国 高向东、白海蔚 感谢腾讯公司领导丁珂、黎巍、杨鹏、董志强的大力支持； 感谢 atsec 中国 PCI 实验室主任刘岩的大力支持。 基于 PCI DSS 的云用户数据安全合规白皮书 腾讯云计算（北京）有限责任公司 艾特赛克（北京）信息技术有限公司 联合发布 5 / 22 目录 第一章第一章 基于 PCI DSS 的云数据安全合规简介 . 7 1.1 支付卡产业数据安全标准(PCI DSS)的成立背景 . 7 1.2 PCI DSS 基本概要内容 . 7 1.3 云用户和云服务商基于 PCI DSS 标准责任分摊的框架模型 . 8 1.3

6、.1 总体责任分摊框架 . 8 1.3.2 逻辑分层责任分摊框架 . 8 1.4 对应 PCI DSS 标准的责任分摊框架 . 9 1.5 腾讯云端数据保护责任模型 . 9 第二章第二章 云服务提供商与云用户数据安全合规要求简析 . 11 第三章第三章 腾讯云数据安全合规产品简介 . 17 第四章第四章 云用户的 PCI DSS 合规测评建议 . 20 参考文献 . 21 附录： 22 基于 PCI DSS 的云用户数据安全合规白皮书 腾讯云计算（北京）有限责任公司 艾特赛克（北京）信息技术有限公司 联合发布 6 / 22 引言 随着云计算产业的快速发展，云计算在降低成本，简化 IT 运维和管