名称: pci-dss-compliance-automator 描述: 用于持卡人数据保护的PCI DSS合规性评估与报告、SAQ问卷自动化以及ASV扫描编排 允许使用的工具:
- Bash
- Read
- Write
- Glob
- Grep
- WebFetch
PCI DSS合规性自动化工具技能
目的
自动化支付卡行业数据安全标准(PCI DSS)合规活动,包括持卡人数据环境范围界定、SAQ问卷自动化、ASV扫描编排、控制验证和合规报告生成。
功能
持卡人数据环境(CDE)范围界定
- 识别存储、处理或传输持卡人数据的系统
- 映射持卡人数据流
- 记录网络分段
- 识别连接系统和安全影响系统
- 生成CDE范围文档
自我评估问卷(SAQ)自动化
- 确定适用的SAQ类型(A、A-EP、B、B-IP、C、C-VT、D、P2PE)
- 根据证据自动填充问卷答案
- 跟踪补偿性控制措施
- 生成SAQ提交文件
ASV扫描编排
- 安排和管理ASV漏洞扫描
- 跟踪季度扫描要求
- 管理扫描争议和修复
- 跨环境汇总扫描结果
- 监控通过扫描状态
按需求进行控制验证
- 需求1:网络安全控制
- 需求2:安全配置
- 需求3:保护存储的账户数据
- 需求4:保护传输中的数据
- 需求5:恶意软件防护
- 需求6:安全系统和软件
- 需求7:按业务需求限制访问
- 需求8:用户识别和认证
- 需求9:物理访问限制
- 需求10:日志记录和监控
- 需求11:安全测试
- 需求12:安全策略
证据收集
- 为每个需求自动收集证据
- 策略和程序文档
- 配置证据捕获
- 日志样本收集
- 访问控制证据
合规报告
- 生成合规证明(AOC)
- 准备合规报告(ROC)工件
- 创建合规仪表板
- 随时间跟踪合规指标
PCI DSS v4.0覆盖范围
构建和维护安全网络
- 需求1:安装和维护网络安全控制
- 需求2:应用安全配置
保护账户数据
- 需求3:保护存储的账户数据
- 需求4:在传输过程中保护持卡人数据
维护漏洞管理
- 需求5:防范恶意软件
- 需求6:开发和维护安全系统
实施强访问控制
- 需求7:限制对系统组件的访问
- 需求8:识别用户并认证访问
- 需求9:限制物理访问
监控和测试网络
- 需求10:记录和监控访问
- 需求11:定期测试安全性
维护安全策略
- 需求12:通过策略支持信息安全
集成
- SecurityMetrics:PCI合规性和ASV扫描
- Qualys:漏洞扫描和PCI合规性
- Trustwave:ASV扫描和合规服务
- PCI委员会工具:官方PCI SSC资源
- 云提供商工具:AWS、Azure、GCP合规工具
目标流程
- PCI DSS合规流程
- 季度ASV扫描
- 年度评估准备
- 持卡人数据保护
输入模式
{
"type": "object",
"properties": {
"assessmentType": {
"type": "string",
"enum": ["full", "saq", "asv", "scope", "gap"],
"description": "PCI DSS评估类型"
},
"merchantLevel": {
"type": "integer",
"enum": [1, 2, 3, 4],
"description": "PCI商户等级"
},
"saqType": {
"type": "string",
"enum": ["A", "A-EP", "B", "B-IP", "C", "C-VT", "D-Merchant", "D-ServiceProvider", "P2PE"],
"description": "适用的SAQ类型"
},
"cdeScope": {
"type": "object",
"properties": {
"systems": { "type": "array", "items": { "type": "string" } },
"networks": { "type": "array", "items": { "type": "string" } },
"applications": { "type": "array", "items": { "type": "string" } }
}
},
"asvTargets": {
"type": "array",
"items": { "type": "string" },
"description": "用于ASV扫描的IP地址/主机名"
},
"existingDocumentation": {
"type": "string",
"description": "现有PCI文档的路径"
}
},
"required": ["assessmentType"]
}
输出模式
{
"type": "object",
"properties": {
"assessmentId": {
"type": "string"
},
"assessmentType": {
"type": "string"
},
"assessmentDate": {
"type": "string",
"format": "date-time"
},
"cdeScope": {
"type": "object",
"properties": {
"inScopeSystems": { "type": "array" },
"connectedSystems": { "type": "array" },
"outOfScopeSystems": { "type": "array" },
"segmentationStatus": { "type": "string" }
}
},
"requirementStatus": {
"type": "array",
"items": {
"type": "object",
"properties": {
"requirement": { "type": "string" },
"status": { "type": "string", "enum": ["compliant", "non-compliant", "not-applicable", "compensating-control"] },
"findings": { "type": "array" },
"evidence": { "type": "array" }
}
}
},
"asvResults": {
"type": "object",
"properties": {
"scanDate": { "type": "string" },
"passingStatus": { "type": "boolean" },
"vulnerabilities": { "type": "array" },
"disputes": { "type": "array" }
}
},
"saqResponses": {
"type": "object"
},
"gapAnalysis": {
"type": "array"
},
"complianceScore": {
"type": "number"
},
"recommendations": {
"type": "array",
"items": { "type": "string" }
}
}
}
使用示例
skill: {
name: 'pci-dss-compliance-automator',
context: {
assessmentType: 'full',
merchantLevel: 2,
saqType: 'D-Merchant',
cdeScope: {
systems: ['支付网关', 'POS终端', '网店'],
networks: ['支付VLAN', 'DMZ']
}
}
}