[[403153]]

一、前言

因業(yè)務需求，公司站點的HTTPS配置必須符合PCI DSS合規(guī)標準。判斷是否符合PCI DSS合規(guī)標準可使用工具(如https://myssl.com/)通過對HTTPS證書進行安全檢測，若不符合會出現(xiàn)如下圖中的提示。

二、關于PCI DSS

[[403154]]

1.產生背景

MasterCard、VISA、American Express、Discovery和JCB是目前PCI產業(yè)中的五個全球支付品牌。每個品牌都有自己的安全要求，每個品牌所維護的安全策略體系也依然在用。經(jīng)五個卡品牌協(xié)商，為了更好的促進支付卡產業(yè)數(shù)據(jù)安全的發(fā)展，把數(shù)據(jù)保護的相關要求統(tǒng)一維護，成立PCI安全標準委員會。

PCI安全標準委員會作為一家全球性組織，主要負責全球范圍內對于數(shù)據(jù)保護標準的制定和更新、體系的管理、人員和機構的培訓、審核機構的授權還有安全意識的教育等等。

2.什么是PCI DSS

全稱Payment Card Industry Data Security Standard,第三方支付行業(yè)(支付卡行業(yè)PCI DSS)數(shù)據(jù)安全標準，是由PCI安全標準委員會的五個創(chuàng)始成員共同制定，力在使國際上采用一致的數(shù)據(jù)安全標準。

PCI DSS支付卡產業(yè)數(shù)據(jù)安全標準是一個被開發(fā)支持和提高持卡人數(shù)據(jù)安全和卡組織采用的全球化一致性的數(shù)據(jù)安全措施。提供了一套保護持卡人數(shù)據(jù)的技術和操作的基線要求。PCI DSS信息安全標準有6大目標，12個大類要求，整個PCI安全標準基本就圍繞這些項目進行的，正在或準備有意向要做PCI合規(guī)審查的組織可以作為參考。

現(xiàn)行標準版本為PCI DSSv3.2.1。

PCI DSS適用于所有涉及到支付卡存儲、傳輸和處理的實體，主要包括商戶、第三方支付機構、發(fā)卡機構和服務提供商等。PCI DSS包括一組保護持卡人信息的基本要求，并可能增加額外的管控措施，以進一步提高數(shù)據(jù)的安全性，降低數(shù)據(jù)泄露的風險。

PCI DSS標準從信息安全管理體系、網(wǎng)絡安全、物理安全、數(shù)據(jù)加密等方方面面提出了諸多的安全基線要求。雖然沒有任何一個信息安全標準或者安全建設可以保障實現(xiàn)百分之百的抵御安全風險，然而根據(jù)業(yè)界的積累，能夠實現(xiàn)PCI DSS并且嚴格按照PCI DSS的要求持續(xù)實施針對持卡人數(shù)據(jù)環(huán)境的安全防護，安全事件發(fā)生的可能性將大大降低。

三、配置

HTTPS配置符合PCI DSS合規(guī)標準，在對應的站點配置文件里禁用 TLSv1.0 即可。

1.Nginx服務

## 禁用TLSv1.0后ssl_protocols項配置如下:

ssl_protocols TLSv1.1 TLSv1.2; 

## 檢測配置并重啟

${NginxPATH}/sbin/nginx -t 
${NginxPATH}/sbin/nginx -s reload 
//${NginxPATH}為nginx應用安裝目錄路徑，請根據(jù)實際情況修改。 

 2.Apache服務

## 禁用TLSv1.0后ssl_protocols項配置如下:

# 未知版本 
ssl_protocols TLSv1.1 TLSv1.2; 
# Apache 2.2.22版 
SSLProtocol TLSv1.1 
# Apache 2.2.23版 
SSLProtocol ALL -SSLv2 -SSLv3 -TLSv1 
# Apache + mod_nss版 
NSSProtocol TLSv1.1,TLSv1.2 

 ## 重啟服務(以CentOS7 系統(tǒng)為例)

systemctl restart httpd 

3.配置修改完成后再次檢測就不會有 “PCI DSS 不合規(guī)”的提示。