implementing-pci-dss-compliance-controls

PCI DSS 4.0.1 为存储、处理或传输持卡人数据的组织建立了跨 6 个控制目标的 12 项要求。随着 PCI DSS 3.2.1 于 2024 年 4 月退休,51 项新要求将于 2025 年 3 月 31 日强制生效,本技能涵盖所有要求的实施,包括新的定制化验证方法、增强身份认证和持续监控控制。

9 stars

Best use case

implementing-pci-dss-compliance-controls is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

PCI DSS 4.0.1 为存储、处理或传输持卡人数据的组织建立了跨 6 个控制目标的 12 项要求。随着 PCI DSS 3.2.1 于 2024 年 4 月退休,51 项新要求将于 2025 年 3 月 31 日强制生效,本技能涵盖所有要求的实施,包括新的定制化验证方法、增强身份认证和持续监控控制。

Teams using implementing-pci-dss-compliance-controls should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/implementing-pci-dss-compliance-controls/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/implementing-pci-dss-compliance-controls/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/implementing-pci-dss-compliance-controls/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How implementing-pci-dss-compliance-controls Compares

Feature / Agentimplementing-pci-dss-compliance-controlsStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

PCI DSS 4.0.1 为存储、处理或传输持卡人数据的组织建立了跨 6 个控制目标的 12 项要求。随着 PCI DSS 3.2.1 于 2024 年 4 月退休,51 项新要求将于 2025 年 3 月 31 日强制生效,本技能涵盖所有要求的实施,包括新的定制化验证方法、增强身份认证和持续监控控制。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 实施 PCI DSS 合规控制

## 概述
PCI DSS(支付卡行业数据安全标准)4.0.1 为存储、处理或传输持卡人数据(Cardholder Data)的组织建立了跨 6 个控制目标的 12 项要求。随着 PCI DSS 3.2.1 于 2024 年 4 月退休,51 项新要求将于 2025 年 3 月 31 日强制生效,本技能涵盖所有要求的实施,包括新的定制化验证方法、增强身份认证和持续监控控制。

## 前置条件
- 了解支付卡处理流程和持卡人数据环境(CDE,Cardholder Data Environment)
- 掌握网络分段和安全架构知识
- 具备访问持卡人数据环境以划定范围的权限
- 了解 PCI 合规验证级别(商户级别 1-4,服务提供商级别 1-2)

## 核心概念

### 按控制目标划分的 12 项 PCI DSS 要求

**建立并维护安全的网络和系统**
1. 安装并维护网络安全控制(防火墙、NSC)
2. 对所有系统组件应用安全配置

**保护账户数据**
3. 保护存储的账户数据(加密、令牌化、截断)
4. 传输过程中使用强加密保护持卡人数据

**维护漏洞管理计划**
5. 保护所有系统和网络免受恶意软件侵害
6. 开发和维护安全的系统和软件

**实施强访问控制措施**
7. 根据业务需知原则限制对系统组件和持卡人数据的访问
8. 识别用户并对系统组件的访问进行身份验证
9. 限制对持卡人数据的物理访问

**定期监控和测试网络**
10. 记录并监控对所有系统组件和持卡人数据的访问
11. 定期对系统和网络安全性进行测试

**维护信息安全策略**
12. 通过组织策略和计划支持信息安全

### PCI DSS 4.0 关键变化
- **定制化方法**:替代已定义方法的替代方案,允许基于目标的验证自定义控制设计
- **所有 CDE 访问的 MFA(多因素认证)**:从管理员扩展到所有持卡人数据访问(要求 8.4.2)
- **目标风险分析**:组织针对灵活要求自行进行风险分析
- **已认证漏洞扫描**:内部扫描必须使用认证扫描(要求 11.3.1.1)
- **反钓鱼机制**:检测和防范钓鱼的技术控制(要求 5.4.1)
- **自动化日志审查**:审计日志审查的自动化机制(要求 10.4.1.1)

## 实施步骤

### 阶段 1:范围界定和评估(第 1-4 周)
1. 识别所有持卡人数据流(卡片存在、卡片不存在、存储)
2. 定义持卡人数据环境(CDE)边界
3. 验证网络分段有效性
4. 确定合规验证级别
5. 针对所有 12 项要求进行 PCI DSS 差距评估

### 阶段 2:网络和系统安全(第 5-12 周)
1. 部署和配置网络安全控制(要求 1)
2. 实施网络分段以最小化 CDE 范围
3. 使用 CIS 基准加固系统配置(要求 2)
4. 为面向公众的 Web 应用程序实施 WAF(要求 6.4.1)
5. 在所有范围内系统上部署反恶意软件(要求 5)

### 阶段 3:数据保护(第 13-20 周)
1. 实施存储持卡人数据的加密(要求 3)
2. 尽可能部署令牌化以减少范围
3. 强制所有持卡人数据传输使用 TLS 1.2+(要求 4)
4. 实施密钥管理程序
5. 部署数据发现工具以定位未加密的持卡人数据

### 阶段 4:访问控制(第 21-28 周)
1. 基于业务需知原则实施 RBAC(基于角色的访问控制)(要求 7)
2. 为所有 CDE 访问部署 MFA(要求 8)
3. 为所有用户实施唯一用户 ID
4. 强制执行符合 PCI DSS 4.0 要求的密码策略
5. 为 CDE 设施实施物理访问控制(要求 9)

### 阶段 5:监控和测试(第 29-36 周)
1. 为所有 CDE 组件部署集中式日志记录(要求 10)
2. 实施自动化日志审查机制
3. 进行内部和外部漏洞扫描(要求 11)
4. 执行渗透测试(内部和外部)
5. 为关键文件实施文件完整性监控(FIM)

### 阶段 6:策略和治理(第 37-42 周)
1. 制定全面的信息安全策略(要求 12)
2. 实施安全意识培训,包括反钓鱼内容
3. 建立专门针对持卡人数据的事件响应计划
4. 针对灵活要求进行目标风险分析
5. 记录并验证所有控制措施以供评估

## 关键工件
- CDE 范围文档和网络图
- 自评问卷(SAQ)或合规报告(ROC)
- 合规证明(AOC)
- 季度 ASV 扫描报告
- 年度渗透测试报告
- 风险评估文档
- 安全策略和程序

## 常见陷阱
- 因网络分段不足导致范围蔓延
- 授权后存储禁止数据(CVV、完整轨道数据)
- 错过 2025 年 3 月新强制要求的截止日期
- 将 PCI DSS 视为年度合规而非持续安全
- 未将云和容器环境纳入 CDE 范围

## 参考资料
- PCI DSS v4.0.1:https://www.pcisecuritystandards.org/document_library/
- PCI SSC 快速参考指南
- PCI DSS 4.0 变更摘要
- UpGuard PCI DSS 4.0 指南:https://www.upguard.com/blog/pci-compliance

Related Skills

implementing-zero-trust-with-hashicorp-boundary

9
from killvxk/cybersecurity-skills-zh

使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。

implementing-zero-trust-with-beyondcorp

9
from killvxk/cybersecurity-skills-zh

使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。

implementing-zero-trust-network-access

9
from killvxk/cybersecurity-skills-zh

通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。

implementing-zero-trust-network-access-with-zscaler

9
from killvxk/cybersecurity-skills-zh

使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构

implementing-zero-trust-in-cloud

9
from killvxk/cybersecurity-skills-zh

本技能指导组织按照 NIST SP 800-207 和 Google BeyondCorp 原则在云环境中实施零信任(Zero Trust)架构,涵盖以身份为中心的访问控制、微分段(Micro-Segmentation)、持续验证、设备信任评估,以及部署身份感知代理(Identity-Aware Proxy)以消除 AWS、Azure 和 GCP 环境中的隐式网络信任。

implementing-zero-trust-for-saas-applications

9
from killvxk/cybersecurity-skills-zh

使用 CASB、SSPM、条件访问策略、OAuth 应用治理和会话控制,为 SaaS 应用实施零信任访问控制, 对云托管服务强制执行身份验证、设备合规性检查和数据保护。

implementing-zero-trust-dns-with-nextdns

9
from killvxk/cybersecurity-skills-zh

将 NextDNS 实施为零信任 DNS 过滤层,提供加密解析、威胁情报阻断、隐私保护,以及跨所有端点的组织策略执行。

implementing-zero-standing-privilege-with-cyberark

9
from killvxk/cybersecurity-skills-zh

部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。

implementing-zero-knowledge-proof-for-authentication

9
from killvxk/cybersecurity-skills-zh

零知识证明(ZKP)允许证明者在不泄露秘密本身的情况下证明对某个秘密(如密码或私钥)的了解。本技能实现 Schnorr 身份识别协议和使用离散对数问题的简化 ZKPP,使服务器永远不需要获取用户密码即可完成认证。

implementing-web-application-logging-with-modsecurity

9
from killvxk/cybersecurity-skills-zh

配置带有 OWASP 核心规则集(CRS)的 ModSecurity WAF,实现 Web 应用程序日志记录, 调整规则以减少误报,分析审计日志进行攻击检测,并为应用程序特定威胁实现自定义 SecRules。 分析师配置 SecRuleEngine、SecAuditEngine 和 CRS 偏执级别,以在安全覆盖范围和运营稳定性之间取得平衡。 适用于涉及 WAF 配置、ModSecurity 规则调整、Web 应用审计日志或 CRS 部署的场景。

implementing-vulnerability-sla-breach-alerting

9
from killvxk/cybersecurity-skills-zh

为漏洞修复 SLA 违规构建自动化告警,包含基于严重程度的时间线、升级工作流和合规性报告仪表板。

implementing-vulnerability-remediation-sla

9
from killvxk/cybersecurity-skills-zh

漏洞修复 SLA(服务级别协议)根据严重程度、资产重要性和漏洞利用可用性定义修补或缓解已识别漏洞的强制时限。有效的 SLA 计划推动责任落实、确保一致的修复时间线,并为漏洞管理成熟度提供可衡量的 KPI。