腾讯云：基于PCI DSS的云用户数据安全合规白皮书

＜请插入封面＞Trend MicroDeep Security 7提供动态数据中心服务器及应用程序最深度的保护虚线左边企业为了与合作伙伴、员工、供货商或客户有更实时的连结，有越来越多的在线数据中心，而这些应用正面临着日益增加的网络攻击。

与传统的威胁相比，这些针对目标性攻击的威胁数量更多也更复杂，所以对于数据安全的遵循就变得更加严格。

而您的公司则更坚固的安全防护，让您的虚拟和实体数据中心，以及云端运端不会因资安威胁而造成效能的降低。

趋势科技提供有效率、简化、整合的产品和服务以及完整的解决方案。

卓越的防护技术，能有效保护敏感的机密数据，并且将风险降至最低。

趋势科技Deep Security是一套能广泛保护服务器和应用程序的软件，能使企业实体、虚拟及云端运算的环境，拥有自我防范（self-defending）的能力。

无论是以软件、虚拟机器或是混合式的方法导入，Deep Security 可以大幅减少虚拟环境的系统开销、简化管理及加强虚拟机器的透明安全性。

除此之外，还可协助企业遵循广泛的规范需求，包括六个主要的PCI 遵从如网络应用层防火墙、IDS/IPS、档案完整监控及网络分割。

架构•Deep Security Virtual Appliance与Deep Security Agent相互协调合作，有效且透明化地的在VMware vSphere 虚拟机器上执行IDS/IPS、网络应用程序保护、应用程序控管及防火墙保护等安全政策，并提供完整性的监控及审查日志。

•Deep Security Agent是一个非常轻小的代理软件组件，部署于服务器及被保护的虚拟机器上，能有效协助执行数据中心的安全政策(IDS/IPS、网络应用程序保护、应用程序控管、防火墙、完整性监控及审查日志)。

•Deep Security Manager功能强大的、集中式管理，是为了使管理员能够创建安全设定档与将它们应用于服务器、显示器警报和威胁采取的预防措施、分布服务器，安全更新和生成报告。

云计算安全责任共担白皮书云计算作为新型基础设施建设的重要组成，关键作用日益凸显，市场规模呈现持续增长趋势。

同时，云计算安全态势日益严峻，安全性成为影响云计算充分发挥其作用的核心要素。

与传统IT系统架构不同，上云后安全迎来责任共担新时代，建立云计算安全责任共担模型，明确划分云计算相关方的责任成为关键。

白皮书首先介绍了云计算在市场发展、安全等方面的现状及趋势，分析安全责任承担在云计算安全发展中的必要性，以及安全责任共担模式的应用现状与痛点。

重点围绕公有云场景，白皮书建立了更加精细落地、普遍适用的云计算安全责任共担模型，确定责任主体，识别安全责任，对责任主体应承担的责任进行划分，以提升云计算相关方责任共担意识与承担水平。

最后，白皮书对云计算安全责任共担未来发展进行了展望，并分享了责任承担优秀案例。

一、云计算安全责任共担成共识 (1)（一）云计算作为新型基础设施，安全性成关键 (1)（二）安全责任共担，保障云计算全方位安全 (4)（三）云计算安全责任共担应用与发展有痛点 (10)二、云计算安全责任共担模型框架 (12)（一）模型应用场景 (13)（二）云计算安全责任主体 (14)（三）云计算安全责任分类 (14)三、云计算安全责任识别与划分 (16)（一）云计算安全责任识别 (16)（二）云计算安全责任划分 (20)四、云计算安全责任共担未来发展趋势展望 (28)附录1：公有云安全责任承担优秀案例 (30)（一）阿里云 (30)（二）华为云 (38)（三）腾讯云 (46)附录2：政务云安全责任承担优秀案例 (56)（一）浪潮云 (56)图1 中国云计算市场规模及增速 (2)图2 全球云服务安全市场规模 (3)图3 中国云服务安全市场规模 (4)图4 云计算威胁渗透示意图 (5)图5 AWS基础设施服务责任共担模型 (7)图6 AWS容器服务责任共担模型 (7)图7 AWS抽象服务责任共担模型 (7)图8 Azure责任共担模型 (8)图9 云计算服务模式与控制范围的关系 (9)图10 云服务商与云客户责任划分边界 (10)图11 CSA安全责任与云服务模式关系 (10)图12 云计算安全责任共担模型 (15)表目录表1 IaaS模式下云计算安全责任划分 (20)表2 IaaS模式下云计算安全责任协商划分参考 (25)表3 PaaS模式下云计算安全责任划分 (26)表4 SaaS模式下云计算安全责任划分 (27)表5 SaaS模式下云计算安全责任协商划分参考 (28)表6 浪潮政务云安全责任划分案例 (56)一、云计算安全责任共担成共识（一）云计算作为新型基础设施，安全性成关键随着互联网与实体经济深度融合，企业数字化转型成为必然趋势。

会员手册云安全联盟大中华区PART 01 /PART 02 /PART 03 /PART 04 /PART 05/2009CSA正式成立，发布了全球首个全面的云安全最佳实践《云计算关键领域安全指南》发布云安全领域黄金标准云控制矩阵CCM，推出云计算安全知识认证CCSK201020112013美国白宫在CSA峰会上宣布了美国联邦政府云计算战略推出全球权威云安全评估认证CSA STAR2015在中国推出C S A C-STAR认证发布云安全系统专家认证CCSSP201720192020推出CSA GDPR首席认证审计师课程，受欧盟国家认可发布零信任专家认证CZTP，推出针对企业的GDPR合规自检和第三方认证于2016年在中国香港注册成立，聚焦信息技术领域的基础标准和安全标准研究及产业最佳实践，牵引与推动中国与国际标准的接轨，打造国际技术与标准的联接器。

CSA 大中华区单位会员包括北京大学、复旦大学、华为、中兴、腾讯、浪潮、OPPO、深信服、360、奇安信、绿盟科技、启明星辰、安恒信息、天融信、中国工商银行、国家电网、数字认证、金山云、观安信息、UCloud等150多家知名高校和企业，个人会员1万多名，已成为构建中国数字安全生态的重要力量。

云安全联盟大中华区Cloud Security Alliance Greater China Region( CSA GCR )云安全联盟Cloud Security Alliance ( CSA )于2009年在美国注册成立，是数字安全领域中立权威的国际非营利组织，致力于国际云计算安全和下一代新兴信息技术安全的前沿研究和全面发展。

CSA在全球设立四大区，包括美洲区、欧非区、亚太区和大中华区，现有600多家单位会员，10万多名个人会员。

联盟顾问美国联邦原CIOTonyScott俄罗斯国家杜马安全和反腐败委员会第一副主席ErnestValeyev联合国副秘书长FabrizioHochschild联合国科学和技术发展委员会主席PeterMajor挪威工程院院士欧盟首席大数据科学家容淳铭院士加拿大皇家及工程院两院院士数据安全专家杨恩辉院士图灵奖获得者现代密码学之父WhitfieldDiffie零信任之父JohnKindervag中国友谊促进会理事长公安部原副部长陈智敏360集团董事长周鸿祎中国科学院院士中国数据安全专家郑建华院士中国科学院院士中国AI安全专家何积丰院士联盟主席 李雨航现任云安全联盟大中华区主席兼研究院院长，联合国工业发展组织安全专家，中科院云计算安全首席科学家/Fellow研究员，西安交大Fellow教授，原华为首席网络安全专家，微软全球首席安全架构师，IBM全球服务首席技术架构师。

企业云存储解决方案目录1. 内容简述 (3)1.1 文档目的 (4)1.2 背景与需求 (4)1.3 文档结构概览 (5)2. 企业云存储解决方案概述 (6)2.1 云存储技术简介 (7)2.2 云存储解决方案与企业需求匹配分析 (9)2.3 云存储优势与挑战分析 (9)2.4 解决方案核心功能概述 (11)3. 云存储解决方案技术架构 (13)3.1 整体架构图 (14)3.2 核心组件概述 (15)3.2.1 云存储平台 (16)3.2.2 数据中心与基础架构 (17)3.2.3 数据安全性与合规性措施 (19)3.2.4 可扩展性与性能优化 (20)4. 实施与部署 (21)4.1 系统部署架构设计 (22)4.2 实施步骤 (24)4.2.1 初始准备与规划 (26)4.2.2 数据迁移与备份策略规划 (27)4.2.3 安全性措施和合规性要求部署 (29)4.2.4 监控与维护策略制定 (29)4.3 用户培训与支持 (31)4.4 性能优化与调优 (31)5. 云存储解决方案的安全性与合规性 (33)5.1 数据加密与访问控制 (34)5.2 合规性与遵从性管理 (35)5.3 数据备份与灾难恢复策略 (36)6. 性能评估与监控 (38)6.1 性能指标与测试方法 (39)6.2 自适应性能调优 (41)6.3 系统监控与告警机制 (43)7. 迁移策略与数据管理 (44)7.1 迁移策略规划 (46)7.2 数据生命周期管理 (47)7.3 版本控制与恢复 (48)8. 成本效益分析与收益预期 (49)8.1 成本结构分析 (50)8.2 规模化效益分析 (51)8.3 预期ROI分析 (53)8.4 对比传统存储解决方案优势 (55)9. 案例研究与客户部署经验分享 (56)9.1 典型客户使用案例分析 (58)9.2 成功实施的关键要素 (59)9.3 客户反馈与建议 (61)10. 结论与未来展望 (62)10.1 总结陈词 (64)10.2 未来技术趋势与解决方案发展方向 (65)10.3 对企业的价值提升建议 (67)1. 内容简述本企业云存储解决方案文档旨在为贵公司提供一个全面地云存储解决方案的指南。

QDocument: Take Control of Your Data Security Today从今天起掌控您的数据安全Table of Contents 目录•Executive Summary 摘要•Growing Needs for Enterprise Encryption 企业加密需求的增长•Cloud Computing Opportunities and Challenges 云计算的机遇与挑战•User Centric Encryption 以用户为中心加密•QDocument Features Qdocument的特点•Conclusion 结论QDocument by BicDroid1、Executive Summary 摘要As a series of spectacular cyberattacks drew headlines in 2015, this year of 2016 sees growing needs for security solutions, which demand enterprise encryption. The challenge with using encryption is not the actual process of encrypting sensitive information but it is protecting and managing the encryption keys.Encryption key management is such a daunting challenge that most enterprises have delayed the use of strong encryption hoping that encryption scientists would develop an easy and more transparent solution of strong encryption.在2015年臭名昭著的一系列计算机攻击后，企业加密的安全解决方案的需求在2016年将持续增长。

腾讯专有云TCE Tencent Cloud Enterprise分布式云数据库TBase产品白皮书前言【版权声明】©2013-2020 腾讯云版权所有本文档著作权归腾讯云单独所有，未经腾讯云事先书面许可，任何主体不得以任何形式复制、修改、抄袭、传播全部或部分本文档内容。

【商标声明】及其它腾讯云服务相关的商标均为腾讯云计算（北京）有限责任公司及其关联公司所有。

本文档涉及的第三方主体的商标，依法由权利人所有。

【服务声明】本文档旨在向客户介绍腾讯云全部或部分产品、服务的当时的整体概况，部分产品、服务的内容可能有所调整。

您所购买的腾讯云产品、服务的种类、服务标准等应由您和腾讯云之间的商业合同约定，除非双方另有约定，否则，腾讯云对本文档内容不做任何明示或模式的承诺或保证。

【修订记录】01 2020-01-30 amyleali 第一次发布。

目录前言 (2)目录 (4)1.发展历史 (9)2.业务挑战 (11)2.1.业务迁移便利性 (11)2.2.分布式事务一致性 (11)2.3.服务高可用 (11)2.4.集群可扩展能力 (12)2.5.数据高安全保证 (12)2.6.HTAP-事务以及分析双引擎支持 (12)3.腾云HTAP数据库TBase解决方案 (13)4.产品核心功能 (15)4.1.SQL兼容度高 (15)4.1.1.兼容PostgreSQL语法 (15)4.1.2.兼容Oracle语法 (15)4.1.3.企业级数据库语法支持 (16)4.2.分布式事务全局一致性 (17)4.2.1.TBase的分布式事务全局一致性实现 (17)4.2.2.TBase分布式事务可靠性保证机制 (18)4.3.在线扩容能力 (19)4.4.HTAP事务及分析双引擎方案 (22)4.4.1.概述 (22)4.4.2.如何进行OLTP以及OLAP融合查询 (22)4.4.3.如何进行高效的分布式join (23)4.4.4.行列混合存储能力 (26)4.4.5.多核并行计算能力 (27)4.5.多级容灾能力保证 (31)4.5.1.容灾能力概述 (31)4.5.2.强同步复制 (31)4.5.3.故障自动恢复与转移 (31)4.5.4.基于时间点的恢复能力 (32)4.6.资源隔离能力-读写多平面 (34)4.7.卓越的数据安全保障能力 (34)4.7.1.三权分立体系 (35)4.7.2.数据存储加密 (37)4.7.3.透明数据脱敏 (38)4.7.4.强制访问控制 (39)4.7.5.全方位审计能力支持 (40)4.8.高效的数据治理能力 (41)4.8.1.概述 (41)4.8.2.数据倾斜解决方案 (41)4.8.3.冷热数据分级存储方案 (44)4.9.1.简单易用的TBase运维管理系统 (45)4.9.2.集群PASS平台能力支持 (45)4.9.3.运维系统亮点功能 (46)4.10.丰富的周边生态支持 (47)4.10.1.支持强大的GIS地理信息系统 (47)4.10.2.异构数据复制能力 (48)4.10.3.集群负载均衡能力 (49)4.10.4.JSON数据类型的支持 (50)4.10.5.强大的联邦数据库能力 (51)5.专有云方案简介 (52)5.1.部署架构与软件模块 (52)5.1.1.核心模块 (52)5.1.2.选配模块 (53)5.2.操作系统要求 (53)5.3.物理服务器机型配置建议 (53)5.3.1.功能测试配置 (53)5.3.2.性能测试配置 (55)5.3.3.最小规模配置 (57)5.3.4.服务器采购参考 (58)5.3.5.服务器采购参考 (61)5.3.6.单中心容灾部署建议 (61)5.4.1.同城双中心部署建议 (62)5.4.2.两地三中心部署建议 (62)5.5.TBase对接腾讯专有云平台（TCE） (63)5.6.TBase对接腾讯企业云平台（TStack） (63)6.TBase产品特有优势 (65)6.1.HTAP融合性数据库 (65)6.2.完全保障分布式全局事务一致性 (65)6.3.支持多级安全策略 (65)6.4.完备的运维管理系统支持 (66)7.产品资质 (67)8.典型应用场景 (68)8.1.HTAP业务需求系统 (68)8.2.物联网地理信息系统 (68)8.3.实时高并发事务系统 (68)8.4.海量存储计算需求 (69)8.5.数据高安全依赖型系统 (69)8.6.去O的最佳选择 (69)8.7.多点汇聚业务系统 (69)9.典型案例分享 (71)9.1.某省办事系统核心OLTP后台系统 (71)9.2.某省公安厅汇聚库建设 (71)9.4.东阳人民医院 (73)9.5.许继电器（智能电表物联应用） (73)9.6.微信支付商户订单系统 (74)10.附录 (75)10.1.通用约定格式 (75)10.2.功能术语表 (75)1.发展历史大数据时代的来临以及去IOE浪潮的兴起，大众的目光都投向了开源的系统，基于开源PostgreSQL扩展而来的tPG(tencent PG)系统作为腾讯商业数据库的替代方案，同时作为腾讯大数据平台TDW（Tencent Distributed Warehouse）的实时数据库组件2011年正式引入公司内部使用。

pci dss合规判定标准PCI DSS（Payment Card Industry Data Security Standard）是一种重要的安全规范，它旨在保护持卡人数据的安全性和隐私。

对于处理支付卡交易的组织而言，遵守PCI DSS合规要求至关重要。

本文将介绍PCI DSS合规的判定标准，以帮助组织评估自身合规程度。

一、概述PCI DSS合规判定标准是对各种支付卡数据的处理工具和环境的安全要求的指南。

它由信用卡行业制定和维护，主要适用于商户、支付处理服务提供商、发卡行和其他处理支付卡数据的组织。

二、敏感数据保护1. 保护持卡人数据持卡人数据是指卡号、持卡人姓名、过期日期以及其他与持卡人身份有关的信息。

组织在存储、传输和处理这些数据时应采取适当的措施，如使用加密技术、实施访问控制和定期更新系统。

2. 存储限制组织对持卡人数据的存储应符合以下限制：- 不存储包含卡号的磁道数据- 不存储安全认证码（CVV）或个人识别号码（PIN）- 不存储与持卡人身份有关的敏感信息- 定期删除或销毁过期或不再需要的持卡人数据三、网络安全1. 防火墙保护组织应使用防火墙来保护其内部网络免受未经授权的访问。

防火墙应定期更新，并且只允许必要的网络流量通过。

2. 默认设置和密码管理默认设置和密码应定期更改，以防止未经授权的访问。

组织应采用强密码策略，并实施访问控制以限制对敏感系统的访问。

四、访问控制1. 身份验证组织应使用多因素身份验证来验证用户的身份。

此外，应限制对敏感系统和持卡人数据的访问权限，并定期检查和审计系统访问日志。

2. 业务需求的最小化组织应根据业务需要，限制对持卡人数据的访问权限。

只有在必要的情况下，才授予员工访问敏感数据的权限。

五、安全监控与测试1. 日志记录和监控组织应配置系统以记录关键活动，并定期检查和监控日志。

此外，还应实施入侵检测和预防系统，以及定期执行安全漏洞扫描。

2. 安全事件响应组织应建立和维护一个有效的安全事件响应计划，以及必要的培训和测试。