2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的 8 碼 BIN (銀行識別碼 Bank Identification Number, 簡稱 BIN ), 支付卡交易相關的上下游公司應該已經收到銀行的通知,要求對系統、交易資料處理甚至簽帳單上的卡號列印格式做好調整。
卡組織支持新的BIN 格式後,使用信用卡支付的產業會有哪一些改變呢?
首先,原來已發出的 6 碼 BIN可以繼續使用,但從這個月 (2022 年 4 月) 後新發的 BIN 將以 8 碼為主;目前看起來卡組織還是維持原來的 16 碼卡號 (AE、Discover 才有 15 或低於 15 碼),所以對發卡單位、產製卡系統應該沒有太多的困擾產生。但原來使用卡號第七碼、第八碼做卡片等級、種類等利用模式,就需要重新調整對於 8 碼 BIN 的作業。
但由於 6 碼、8 碼 BIN 是會並存於交易系統及網路中。使用 BIN 來進行繞行 (Routing,透過 BIN 識別發卡行) 的系統如:ATM 系統、交易系統、收單系統,或是支付公司目前用來做自行卡交易繞行 (Routing,依據 BIN 送到自行卡的收單機制) 的功能,必須做好支援 8 碼 BIN 的格式,以避免在 6 碼、8 碼並存的階段發生錯誤。
其次對於儲存信用卡資料並使用截斷 (Truncation) 技術作為信用卡資料的保護措施者,在今年 的 1 月,PCI SSC (支付卡產業安全標準委員會 Payment Card Industry Security Standards Council) 有正式發表針各卡組織可接受的新截斷格式,應該也是大家關心的議題。
新的 BIN 出來後,必須改變儲存的方式,並考慮到 6 碼、 8 碼並存的情形,那螢幕顯示及儲存截斷後卡號又該如何配置呢?
PCI SSC在 2021 年 2 月發布了 “如果開始用8碼 BIN,要如何滿足 PCI DSS 對支付卡號 (Primary Account Number, PAN) 遮罩及截斷要求” 的 FAQ (請參考 https://www.pcisecuritystandards.org/faqs FAQ #1492 ),簡述如下:
遮罩 :依據 PCI DSS 要求 3.3,在一般狀況下,針對支付卡僅能顯示前 6 碼及後 4 碼。 若要超出,如顯示前 8 碼及後 4 碼,則需要有合理的商業考量,並且有文件化的書面文件,內容包含什麼人(或角色)、因為什麼理由而能檢視超過前 6 後 4 的卡號,並需要由該公司高階管理階層核可。
截斷 :依據 PCI DSS 要求 3.4,支付卡號要儲存的時候,必須先將卡號變為不可讀 (Rendered Unreadable),其中一種做法就是卡號截斷 (Truncation)。雖然在 PCI DSS 的 Guidance 中描述一般截斷的格式為前 6 碼 + 後 4 碼,但因為各家卡組織對於截斷方式有不同的規定,因此該文章 (FAQ #1492) 內也附上了另一個 FAQ 編號 1091 “什麼是可接受的卡號截斷格式” 的文章來補充說明 (更新於 2022年1月)。
所以今年 1 月起,可接受的截斷格式正式修改如下:
資料來源: https://www.pcisecuritystandards.org/faqs (FAQ 編號 1091)
需注意這次的更新,已不再針對 6 或 8 碼 BIN 區分不同的格式。整體來說:
VISA, Mastercard, JCB, Discover 以及 UnionPay 對於 16 碼卡號都可接受前 8 碼 + 其他任意 4 碼 的格式。
American Express 僅接受前 6 碼 + 後 4 碼 。
小於 15 碼的 Discover 不論移除幾碼,都是接受前 6 碼 + 其他任意 4 碼 的格式。
同時卡組織也說明,雖然這些是 “可接受” 的截斷格式,但大家還是要以 “最少保存需求” 的角度來考量,不用因為格式異動,就馬上修改自己的系統。
另外提醒與截斷有關的安全保護事項:
依據 PCI DSS 規範,對於同時會使用 SHA 雜湊方式的系統,保留前 6 後 4,或前 8 後4 都需要注意,對於同時存取到截斷格式跟 SHA 格式後的風險,尤其前 8 後 4 的格式僅移除了 4 碼,所以與 SHA 並存時被測試出正確卡號的機率就會更大。
對於使用前 8 碼 + 其他任意 4 碼的截斷格式,僅剩下 1000 筆的資料會符合 MOD-10 公式,也就是說這 1000 筆中至少會有一筆是真實卡號,故對於資料庫存取的管制,就需要有更進一步的管制措施或內容檢視的要求,以降低卡號被重新建立、計算出來的風險。
參考資料:https://www.pcisecuritystandards.org/faqs
FAQ No. 1492: How can an entity meet PCI DSS requirements for PAN masking and truncation if it has migrated to 8-digit BINs? (by Feb. 2021)
FAQ No. 1091: What are acceptable formats for truncation of primary account numbers? (by Jan. 2022)
Bryan Cheng 安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
Payment Card Industry Security, IT Security Management, Cloud Service Management
專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant
安律信息技術有限公司 Secure Vectors Information Technologies Inc.
安律信息技術有限公司 Secure Vectors Information Technologies Inc. , 是一個專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。
你可能會喜歡看
本文提供您 2024 年最新 PCI DSS 認證的標準流程,…
https://www.securevectors.com/wp-content/uploads/2021/02/PCI-3DS-驗證-3-步驟-scaled.jpg
1564
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2024-08-14 16:50:27 2024-08-15 07:02:25 PCI DSS 認證的流程以及合規費用說明
服務供應商 (Service Providers) 每季需依據 PCI DSS…
https://www.securevectors.com/wp-content/uploads/2023/09/PCI-DSS-v4.0-意象圖-方版.jpg
663
960
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2023-09-15 16:13:29 2023-09-15 16:43:19 【PCI DSS】 如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?
https://www.securevectors.com/wp-content/uploads/2023/08/2023-08-01-漏洞修補意象圖-方版_繁中.jpg
960
1280
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2023-08-15 17:35:59 2023-08-15 17:35:59 【GCP】使用 Google Cloud Build 的要小心了
https://www.securevectors.com/wp-content/uploads/2023/07/20230725-繁中-方版.jpg
960
1280
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2023-07-31 11:01:21 2023-07-31 15:07:27 【FortiOS】SSL-VPN 重大安全漏洞 (CVE-2023-27997) 你修復了嗎? 2022年4月14日
2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
https://www.securevectors.com/wp-content/uploads/2021/07/acceptable-formats-for-truncation-of-primary-account-numbers-pci-dss-2021.jpg
850
1332
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2022-04-14 17:38:09 2022-04-15 10:11:05 2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?
https://www.securevectors.com/wp-content/uploads/2022/04/表單img20220330-e1649919971244.jpg
339
351
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2022-04-14 14:52:40 2022-04-14 16:33:20 支付產業合規新挑戰-研討會簡報檔案
https://www.securevectors.com/wp-content/uploads/2021/08/h_mp06-scaled.jpg
1707
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2021-08-19 15:52:25 2022-04-14 15:03:34 PCI DSS V4.0 您準備好了嗎?-研討會簡報檔案 本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用…
https://www.securevectors.com/wp-content/uploads/2021/07/Screenshot-2021-07-30-172522.jpg
345
464
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2021-07-30 17:26:37 2021-09-10 11:52:36 Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說? Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…
https://www.securevectors.com/wp-content/uploads/2021/07/即刻因應-Windows-1011-提全安全漏洞-1-1.png
628
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2021-07-29 18:03:39 2021-08-19 16:53:12 即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞
https://www.securevectors.com/wp-content/uploads/2023/11/v2官網小圖960x663_2_0.jpg
663
960
allie.lu
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
allie.lu 2023-11-24 15:06:27 2023-12-21 12:55:50 12/12 「個人資料檔案安全維護管理辦法」如何制訂實作與合法安心
https://www.securevectors.com/wp-content/uploads/2023/10/Website-Preview.jpg
663
960
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2023-10-13 11:45:51 2023-10-27 09:59:42 2023 新加坡金融科技創新研討會 親愛的客戶,
您好!
安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司…
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
0
0
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2023-08-25 17:42:51 2023-08-25 17:42:51 集團業務重整 公告
https://www.securevectors.com/wp-content/uploads/2023/05/20230609-商周翁挺耀攝影-068-scaled.jpg
1707
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2023-07-18 15:19:30 2023-07-18 15:39:06 金融業上雲大鬆綁!九月新法即將上路,未來將有哪些機會與挑戰?
https://www.securevectors.com/wp-content/uploads/2023/05/PCI-DSS-QSA-Vincent.jpg
630
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2023-03-19 17:57:19 2023-07-18 15:22:08 合規共管助企業完成交易安全驗證 2022年4月14日
2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
https://www.securevectors.com/wp-content/uploads/2021/07/acceptable-formats-for-truncation-of-primary-account-numbers-pci-dss-2021.jpg
850
1332
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2022-04-14 17:38:09 2022-04-15 10:11:05 2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎? Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…
https://www.securevectors.com/wp-content/uploads/2021/07/即刻因應-Windows-1011-提全安全漏洞-1-1.png
628
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2021-07-29 18:03:39 2021-08-19 16:53:12 即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞 2021年7月28日
由於新冠肺炎 (COVID-19) 的衝擊導致商業模式改變,中小型商店原來接受面對面交易的,紛紛移向線上電子商務的交易,因而產生信用卡資料安全保護的需求。…
https://www.securevectors.com/wp-content/uploads/2021/07/Protect-Payment-Card-Data-1.png
1080
1920
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2021-07-28 11:23:10 2021-08-19 16:43:52 八大祕訣讓中小企業在疫情中保護信用卡資料
https://www.securevectors.com/wp-content/uploads/2018/05/table.jpg
800
900
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2018-08-29 18:44:25 2021-08-03 18:10:35 UPI 銀聯國際邀請安律信息技術参加於新加坡的UPI 3DS 2.0 Workshop 成功召開
*如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com
我們會儘快回覆您的任何問題!