本文提供您 2024 年最新 PCI DSS 認證的標準流程

PCI DSS 标准的说明

Payment Card Industry Data Security Standards (简称PCI DSS) 是由多家国际支付卡组织为保障其品牌持卡人资讯安全所订定的共同产业标准，适用于储存，处理或传输持卡人资讯的所有机构。凡接触这些品牌支付卡的商户 (Merchant) 或服务供应商 (Service Provider) 无论其规模大小或交易量多寡，都须依据符合 PCI DSS 安全标准进行对于持卡人资讯的安全保护。

PCI DSS 合规认证标准是由 PCI SSC (Payment Card Industry Security Standard Council) 理事会负责制订及管理，理事会由创始会员 American Express、Discover Financial Services、JCB、MasterCard 和 Visa Inc. 及策略会员 UnionPay 共六家国际支付卡品牌所组成。

PCI DSS 认证 等级介绍

PCI DSS 合规认证通常被称为 PCI DSS 审查 (PCI DSS Assessment)，依据各卡组织的实施要求，商店 (Merchant) 或服务供应商 (Service Provider) 的等级略有不同，可以分为等级一至四 (Level 1-4) 并各自对应到不同应执行作业。

各卡组织对于等级的规定有些许不同，以下为 VISA 卡组织规定为例:

• 商店等级

PCI DSS Merchant Level 商户等级_Visa

• 服务供应商等级

PCI DSS Service Provider Level 服务商等级_Visa

其中商店或服务供应商为等级 1 的机构，需要由 QSA (Qualified Security Assessor)，也就是 PCI DSS 的核可稽核员进行现场审查后撰写报告。等级 2-4 的商店或是等级 2 的服务供应商可以使用 PCI DSS SAQ 自我评估表 (Self-Assessment Questionnaire) 由受审的公司/组织自行评估或请 QSA 来协助评估。

商店或服务供应商可以洽你的收单机构来确认你的等级及需要通过的 SAQ 种类。

PCI DSS 认证 时间介绍

一般 PCI DSS 的认证大致可以分为以下阶段

从开始准备到顾问阶段，进行审查的时间一般会在 3-5 个月的周期，其中要看接受审查组织的准备程度与系统、营运流程的复杂度而有所不同。

PCI DSS 相关新增费用

系统相关费用

与系统相关的费用增加，由于 PCI DSS 要求高强度的安全保护，例如 One Primary Function Per Server 主机单一功能要求 ( Req. 2.2.3)，过往可能 Web Server，Application Server，DB Server 都同时置放在一台主机的必须被拆分至不同主机执行，因此可能多了一些主机设备的需求 (可以使用 Virtual Server)，或是透过容器化切割开来 (Containerization)。

另外，由于 PCI DSS 对于安全的要求，要求要建立 DNS Server，NTP Server，FIM Server (File Integrity Management)，Log Analysis Service 等安全服务的元件，因此可能较过往多出几台机器来满足合规的要求。

安全设备的费用

因应 PCI DSS 的安全要求，可能需要增购一些安全设备；例如防火墙、IPS、IDS、WAF 等安全设备。

资料加密设备费用

PCI DSS 要求对卡资料进行卡号加密的措施，安全等级高，效能需求高的组织会采取使用 HSM (Hardware Secure Module) 硬体加密器的方式，确保卡资料储存时的安全。

人员训练相关费用

PCI DSS 要求对于人员的训练包含认知训练 (Awareness Training)，安全开发训练 (Secure Coding Training)，以及事故反应计划 (IRP, Incident Response Plan) 的演练等；另外，如果自己执行弱点扫描 (Vulnerability Scan)，渗透测试 (Penetration Test) ，内部的执行人员也需要经过足够的安全技术训练，因此可能在人员训练的费用上也会有所增加。

技术检测费用

PCI DSS 要求多项，定期的技术检测，包含：

• • 卡号扫描 (Card Number Scanning)
  • 原始码扫描 (Code Review)
  • 内部弱点扫描 (Internal Vulnerability Scan)
  • 外部弱点扫描 (ASV, External Vulnerability Scan)
  • 内部渗透测试 (Internal Penetration Test)
  • 外部渗透测试 (External Penetration Test)
  • 无线溢波扫描 (Wireless Scan)

这个部分应该会有一些新增的费用支出。

其他费用支出

如果是服务供应商 (Service Provider)，收单机构或卡组织会要求进行卡组织服务供应商的登记，例如  VISA 的 VISA SP Registry 或 MasterCard 的 SDP 服务商登记

以一个中小型的服务供应商 (Service Provider) 来做预估，如果过去没有做过 PCI DSS 的话，一般而言可能多出的费用支出预估条列如下表：

第一次取得 PCI DSS 可能增加的费用

PCI DSS 认证 费用

除了上述可能的增加费用，还有 PCI DSS 的审查费用，这与  PCI DSS QSA 需要花多少时间来完成审查及报告而定，而预估审查的时间与下列的因素有关：

系统复杂度

主机的数量、系统使用 OS 的种类、系统上的元件 (Component) 安装的多少，如果同时使用多种的OS ，也有多种安全配置，那么检测时的抽样 (Sampling) 会增加许多。

安全设备及网段

受审查的范围内部有多少安全设备，例如 Firewall, IPS, IDS, WAF, Switch, Router, SIEM, FIM…等安全设备会有设定、更新、存取控制及Log 等需要被检查及留存纪录，因此数量越多，网段规划越复杂，会需要更多的检查时间。

连接的收单机构，服务商的多寡

越多的收单机构与服务供应商的连结，会形成较复杂的资料流 (Dataflows)，因此需要更多的时间来检查。

资料库及卡资料的留存、加密

越多样的卡资料流程及越多样的卡资料储存都会需求更多的加密或安全保护，因此会多出更多的检查项目。

营运单位数量

门市店点、使用的机房、营运办公室的数量…等会直接增加审查的天数，例如银行、电信等有大量门市及办公室的营运单位，需要进行抽样的数量更多；另外，如果有存放卡资料的备援机房，一般也会被纳入审查范围。

一般而言，各地区的 PCI DSS 审查的费用不尽相同，因为 PCI SSC 对于各地区的年费不同，各地区的 QSA 审查员的薪资也不同，若以东南亚地区的行情而言，一个中小型的服务商，首次的审查，应该需要 3-5 天的现场审查 (On-site Assessment)，及大约一周的报告整理时间，尚且不计入交通的成本的话，PCI DSS 第一次的认证费用会落在 40-60 万台币间。但实际的价格仍需依据上述所提的复杂度来估算正确的审查时间需求而定。