UniFi 提供了一个强大、安全的平台,配备了高效的工具,帮助您实现并保持 PCI-DSS 合规。如果您的企业处理、存储或传输持卡人数据,支付卡行业数据安全标准(PCI-DSS)要求您实施并维护特定的安全控制措施。

Ubiquiti 不存储、处理或传输持卡人数据。但我们为您搭建符合 PCI 合规环境提供了必要的能力,并自豪地支持全球受监管行业的客户。

PCI-DSS 要求

  1. 安装并维护防火墙配置以保护持卡人数据
  2. 不使用供应商默认的系统密码和其他安全参数
  3. 保护存储的持卡人数据
  4. 在开放公共网络上加密持卡人数据的传输
  5. 使用并定期更新防病毒软件或程序
  6. 开发和维护安全的系统及应用程序
  7. 按照业务需要限制访问持卡人数据
  8. 识别并认证对系统组件的访问
  9. 限制对持卡人数据的物理访问
  10. 跟踪和监控对网络资源及持卡人数据的所有访问
  11. 定期测试安全系统和流程
  12. 制定适用于所有人员的信息安全政策

1. 安装并维护防火墙配置以保护持卡人数据

UniFi 网关支持基于区域的防火墙策略和 VLAN 分段,使管理员可以将持卡人数据与其他网络隔离。防火墙规则可在接口或区域层面应用,实现对东西向及南北向流量的严格控制。

交换机和接入点还通过 ACL 和客户端隔离功能进一步支持分段。这使管理员能够将 POS 终端、支付处理设备或后台系统与其他设备隔离,满足 PCI 分段和范围定义的要求。

欲了解更多信息,请参阅 在 UniFi 中实现网络与客户端隔离

2. 不使用供应商默认的系统密码和其他安全参数

UniFi 在初始设置或设备采用后,不会保留默认用户名和密码。此外,UniFi 管理会话使用 TLS 加密,仅限已认证管理员访问。

3. 保护存储的持卡人数据

UniFi 系统不会与持卡人数据进行任何交互或存储。管理服务通过带外控制平台进行,这意味着数据流量不会通过 UniFi 的云基础设施。

这种架构隔离确保网络管理环境和持卡人环境在逻辑及功能上保持独立。对持卡人数据的任何存储与保护都必须在客户的隔离系统中进行,UniFi 的工具可辅助实现分段和保护。

欲了解 UniFi 数据中心及云安全性,请访问我们的信任中心

4. 在开放公共网络上传输持卡人数据时加密

UniFi 支持现代无线加密协议,包括 WPA2、WPA3 以及 WPA2/WPA3 混合模式,认证方式可为预共享密钥(PSK)或企业级 RADIUS/802.1X。

管理员可强制 PSK 使用的密码复杂度(如最少 12 位,包括大小写字母、数字和特殊字符),并通过 VLAN 分配隔离处理敏感流量的 SSID。这些功能确保持卡人数据的无线传输按 PCI 标准加密和分段。

欲了解可用安全设置,请参阅 UniFi WiFi SSID 与 AP 设置概览

5. 使用并定期更新防病毒软件或程序

虽然 PCI-DSS 要求终端层面安装防病毒,Ubiquiti 帮助实现多层防御模型:

Ubiquiti 网关内置入侵防御和检测系统(IPS/IDS),通过不断更新的威胁特征库实时检测流量,这些签名可发现已知漏洞、恶意行为和可疑流量模式。

为加强保护,Ubiquiti 的 CyberSecure 功能在基础 IPS/IDS 系统上扩展了威胁情报和实时更新,这些信息通过与领先安全研究机构 Proofpoint 的战略合作伙伴关系提供,让您较标准 IDS 部署获得更广泛和最新的威胁签名集。

自 UniFi Network 版本 9.3 起,CyberSecure 还与 Cloudflare 集成,提供 DNS 级的安全过滤和内容控制。这可在恶意域名、钓鱼网站及其他高风险内容到达终端前阻断访问。

综合多层保护,管理员可有效防范多种网络威胁,满足 PCI-DSS 对主动恶意程序防御和特征库维护的要求。

欲了解详情,请参阅 UniFi 网络安全

6. 开发并维护安全的系统和应用程序

UniFi 支持为所有受管设备自动推送软件和固件更新。通过 UniFi Network 应用,您可调度和监控更新,确保所有基础设施组件始终应用最新安全补丁,降低已知漏洞风险,符合 PCI-DSS 要求。

具体请参阅 UniFi 更新

7. 按业务需要限制访问持卡人数据

管理员可在 UniFi 平台内配置基于角色访问控制(RBAC)。权限可限定为特定站点或管理功能,使团队只有在实际工作需要时才获得相应访问权限。这样可贯彻网络管理上的最小权限原则。

详情参见 在 UniFi 中添加管理员

8. 识别并认证对系统组件的访问

Ubiquiti 对所有 UI 账户强制实施多因素认证(MFA)。登录 UI.com 账户时,需经过 MFA 认证。MFA 方式包括基于 APP 的一次性密码和硬件令牌。

9. 限制对持卡人数据的物理访问

针对物理安全控制,UniFi Access 可为受控区域提供门禁管理。管理员可通过 RFID 卡、PIN 码及 2FA 管理进入权限,并记录所有进出尝试的日志。

在机房或其他受限区域部署 UniFi Access,有助于落实 PCI-DSS 要求的物理访问边界。

详情参见 UniFi Access 门禁解锁配置

10. 跟踪和监控对网络资源及持卡人数据的所有访问

UniFi 会记录所有管理员登录、配置变更及系统访问事件,包括 IP 地址和时间戳。这些日志可通过 UniFi 界面查看,也可导出到外部 SIEM 平台或 syslog 服务器长期留存。

这为 PCI 监控和审计要求提供了可溯源记录。

11. 定期测试安全系统和流程

UniFi 网关的入侵检测功能持续运行并保持实时更新。此外,Ubiquiti 用于管理和支持服务的云基础设施也会定期接受独立安全公司的测试。这种前端保障增强了整体控制系统的可信度,而本地 IPS/IDS 功能则为网络内部提供实际防护。

更多详情请参阅我们的信任中心

12. 建立适用于所有员工的信息安全政策

UniFi 提供技术控制,但组织自身需制定并维护成文的信息安全政策。这些政策应覆盖培训、风险评估、可接受使用规范和事件响应流程。

UniFi 工具可辅助这些政策的实施,但制度治理必须由部署方主动建立并维护。