PCI PIN Security
PCI PIN Security 是 Visa, MasterCard, JCB, American Express, Discover 等卡组织,针对处理 PIN 交易(PIN Transaction) 的参与者所规范的一个安全标准,目前的版本为PCI PIN Security 3.1.
PCI PIN Security 是 Visa, MasterCard, JCB, American Express, Discover 等卡组织,针对处理 PIN 交易 (PIN Transaction) 的参与者所规范的一个安全标准,目前的版本为 PCI PIN Security 3.1. 一般而言,提供 ATM, POS 进行 PIN 交易的机构及其协助机构都需要遵循此标准,包含提供 ATM, POS 的收单机构,发卡机构,以及中间的交易网路 (Switch, Network), 卡组织网络等。
另外提供 Key Injection (注入金钥) 服务的KIF, 凭证 (Certification Authority) 服务的单位。程度上依据个卡组织的规定,可能有自我评估 (Self-assessment Questionnaire) 或者由 PCI SSC核可的 QPA (Qualified PIN Security Assessor)来进行审查。
要做到 PCI PIN Security 合规的必要工作大约分为以下几项
PCI PIN Security 分为八大的控制目标(Control Objectives),每一个控制目标都要求管理安全政策及程序,包含各类POI (ATM, POS) 的管理程序,HSM 的管理程序,但更重要的是金钥管理(Key Management) 的相关程序,从Key 的产生、传输、更新、废止、销毁,与其他机构的各类交换的管理程序,PIN Block 个使用,Key Block 的使用等等,到设备的实体安全等。
PIN Security 的相关设备包含POI (ATM, POS) 设备, HSM 金钥、加密设备,金钥载入设备(Key Loading Device) , 主机及其Host Software 等均需要进行盘点及进行管理,POI 的数量通常较多,将Key 注入设备也是一个需要严格、精确管理的步骤,机构内部使用的Key、HSM,以及交易的参与机构、交换机构等,最后还要注意对于委外服务商的盘点及管理。
对于各类设备 POI (ATM, POS), HSM, 主机,Key Loading Device 的使用、纪录、检视的管理,必须依据程序的规定运行并留下适当的纪录。 Key 交换、载入 (Key Loading),产生等都需要做到规定的 Dual Control、Split Knowledge 以及监督 (Monitoring)。相关纪录并需要有对应的监督跟审查。
差距分析 (Gap analysis) 开始,来确定现有的环境、设备、运行管理与 PCI PIN Security 的标准尚有哪些差距,需要完成的工作.
由专业的PCI PIN Security 顾问,按照标准的要求,提供各项技术、管理的建议,并协助受审查机构实施并达到合规。
由 PCI QPA 进行对受审查单位的实施状况进行审查,依据 PCI PIN Security 审查的规定,以及卡组织规范的审查频率、产出审查的结果。
审查可能发现实施现况与标准不符合的事项(Non-compliance), 须由受审查单位进行修复、矫正的作业,或者进行技术的补强、流程的修正等,待修复完成、产出适当的实施纪录后,可以让PCI QSA 进行再次的检查或透过证据审查来确认合规。
当所有不符合事项都已完成,PCI QPA 将产出审查的报告,包含 ROC (Report on Compliance), AOC (Attestation of Compliance),并由受审查单位签署了 AOC 的报告后,审查就算完成。
需要过 PCI PIN Security 认证 ?
请尽快与我们联络!