【PCI DSS】 如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

服務供應商 (Service Providers) 每季需依據 PCI DSS v4.0 條 文 12.4.2 ( PCI DSS v3.2.1 – 12.11 ) 確認公司的安全政策、程序等,是被實質上執行且進行定期各項控制措施檢查。

 

PCI DSS v4.0 – 12.4.2條文中,列舉了五項檢查項目,包含但不限於:

a) 每日日誌審核

每三個月執行日誌審查,確保審查作業如期完成。

在 PCI DSS v4.0 的要求中,以 “自動化方式” 執行審查為主,故在環境中建議配置如 SIEM、Log Analyzer 等機制,確保標的日誌自動化執行定期審查。

b) 網路安全控制的配置審核

針對網路安全控制設備 (如防火牆),每半年需進行 Rule-set 審查。

確認相關人員是否執行定期作業;Rule-set 的申請作業是否遵循公司規定,執行核准及相關測試等等。

c) 在新加入的系統、設備應用配置標準

環境中若有新增系統設備,需套用已建立完善的配置標準並於每季執行網路設備、主機環境 (作業系統)、資料庫…等等檢查。

d) 回應安全警報

各類安全事件告警,是否依照公司規定的事件/事故回應流程 (如 Incident Response Plan, IRP) 進行處理及回應。

e) 變更管理程序

各類系統設備、應用系統,若有變更、部署的需求,應遵循公司規定的部署/發布流程進行。

 

在 PCI DSS v4.0 12.4.2.1 條文中,也要求:

  1. 上述審查,需留下審查紀錄。
  2. 若有未審查、未符合事項,需提供強化或補償措施。
  3. 需對公司 PCI DSS 合規的專責人員 (如合規主責窗口、高階主管指派的專責人員、PM 等) 進行審查並簽署。

 

簡言之,PCI DSS v4.0 12.4.2 條文主要要求「遵循性」,專責人員需將已訂立的各項措施、流程、政策等,確實地執行並定期檢查,使公司的合規作業更趨完整及穩定。

 

acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的 8 碼 BIN (銀行識別碼 Bank Identification Number, 簡稱 BIN ), 支付卡交易相關的上下游公司應該已經收到銀行的通知,要求對系統、交易資料處理甚至簽帳單上的卡號列印格式做好調整。

 

卡組織支持新的BIN 格式後,使用信用卡支付的產業會有哪一些改變呢?

首先,原來已發出的 6 碼 BIN可以繼續使用,但從這個月 (2022 年 4 月) 後新發的 BIN 將以 8 碼為主;目前看起來卡組織還是維持原來的 16 碼卡號 (AE、Discover 才有 15 或低於 15 碼),所以對發卡單位、產製卡系統應該沒有太多的困擾產生。但原來使用卡號第七碼、第八碼做卡片等級、種類等利用模式,就需要重新調整對於 8 碼 BIN 的作業。

但由於 6 碼、8 碼 BIN 是會並存於交易系統及網路中。使用 BIN 來進行繞行 (Routing,透過 BIN 識別發卡行) 的系統如:ATM 系統、交易系統、收單系統,或是支付公司目前用來做自行卡交易繞行 (Routing,依據 BIN 送到自行卡的收單機制) 的功能,必須做好支援 8 碼 BIN 的格式,以避免在 6 碼、8 碼並存的階段發生錯誤。

 

其次對於儲存信用卡資料並使用截斷 (Truncation) 技術作為信用卡資料的保護措施者,在今年 的 1 月,PCI SSC (支付卡產業安全標準委員會 Payment Card Industry Security Standards Council) 有正式發表針各卡組織可接受的新截斷格式,應該也是大家關心的議題。

 

新的 BIN 出來後,必須改變儲存的方式,並考慮到 6 碼、 8 碼並存的情形,那螢幕顯示及儲存截斷後卡號又該如何配置呢?

PCI SSC在 2021 年 2 月發布了 “如果開始用8碼 BIN,要如何滿足 PCI DSS 對支付卡號 (Primary Account Number, PAN) 遮罩及截斷要求” 的 FAQ (請參考 https://www.pcisecuritystandards.org/faqs FAQ #1492),簡述如下:

  1. 遮罩:依據 PCI DSS 要求 3.3,在一般狀況下,針對支付卡僅能顯示前 6 碼及後 4 碼。
    若要超出,如顯示前 8 碼及後 4 碼,則需要有合理的商業考量,並且有文件化的書面文件,內容包含什麼人(或角色)、因為什麼理由而能檢視超過前 6 後 4 的卡號,並需要由該公司高階管理階層核可。
  1. 截斷:依據 PCI DSS 要求 3.4,支付卡號要儲存的時候,必須先將卡號變為不可讀 (Rendered Unreadable),其中一種做法就是卡號截斷 (Truncation)。雖然在 PCI DSS 的 Guidance 中描述一般截斷的格式為前 6 碼 + 後 4 碼,但因為各家卡組織對於截斷方式有不同的規定,因此該文章 (FAQ #1492) 內也附上了另一個 FAQ 編號 1091 “什麼是可接受的卡號截斷格式” 的文章來補充說明 (更新於 2022年1月)。

所以今年 1 月起,可接受的截斷格式正式修改如下:

資料來源: https://www.pcisecuritystandards.org/faqs (FAQ 編號 1091)

 

需注意這次的更新,已不再針對 6 或 8 碼 BIN 區分不同的格式。整體來說:

  1. VISA, Mastercard, JCB, Discover 以及 UnionPay 對於 16 碼卡號都可接受前 8 碼 + 其他任意 4 碼的格式。
  2. American Express 僅接受前 6 碼 + 後 4 碼
  3. 小於 15 碼的 Discover 不論移除幾碼,都是接受前 6 碼 + 其他任意 4 碼的格式。

同時卡組織也說明,雖然這些是 “可接受” 的截斷格式,但大家還是要以 “最少保存需求” 的角度來考量,不用因為格式異動,就馬上修改自己的系統。

 

另外提醒與截斷有關的安全保護事項:

  1. 依據 PCI DSS 規範,對於同時會使用 SHA 雜湊方式的系統,保留前 6 後 4,或前 8 後4 都需要注意,對於同時存取到截斷格式跟 SHA 格式後的風險,尤其前 8 後 4 的格式僅移除了 4 碼,所以與 SHA 並存時被測試出正確卡號的機率就會更大。
  2. 對於使用前 8 碼 + 其他任意 4 碼的截斷格式,僅剩下 1000 筆的資料會符合 MOD-10 公式,也就是說這 1000 筆中至少會有一筆是真實卡號,故對於資料庫存取的管制,就需要有更進一步的管制措施或內容檢視的要求,以降低卡號被重新建立、計算出來的風險。

參考資料:https://www.pcisecuritystandards.org/faqs

  • FAQ No. 1492: How can an entity meet PCI DSS requirements for PAN masking and truncation if it has migrated to 8-digit BINs? (by Feb. 2021)
  • FAQ No. 1091: What are acceptable formats for truncation of primary account numbers? (by Jan. 2022)

Bryan Cheng

安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
  • Payment Card Industry Security, IT Security Management, Cloud Service Management
  • 專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一個專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。


你可能會喜歡看

【PCI DSS】 如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

/
服務供應商 (Service Providers) 每季需依據 PCI DSS…
acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
PCI 3DS 驗證 3 步驟_Max

PCI DSS 認證的流程以及合規費用說明

/
本文提供您 2021 年最新 PCI DSS 認證的標準流程,…

Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?

/
本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用…

即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

/
Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…

集團業務重整 公告

/
親愛的客戶, 您好! 安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司…
acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

/
Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

八大祕訣讓中小企業在疫情中保護信用卡資料

由於新冠肺炎 (COVID-19) 的衝擊導致商業模式改變,中小型商店原來接受面對面交易的,紛紛移向線上電子商務的交易,因而產生信用卡資料安全保護的需求。…

*如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com

我們會儘快回覆您的任何問題!

    請輸入右方所示文字 captcha

    支付產業合規新挑戰-研討會簡報檔案

    PCI 3DS 驗證 3 步驟_Max

    PCI DSS 認證的流程以及合規費用說明

    本文提供您 2021 年最新 PCI DSS 認證的標準流程, 介紹 PCI DSS 認證等級以及相關費用說明

    PCI DSS 標準的說明

    Payment Card Industry Data Security Standards,(簡稱PCI DSS) 是多家主要的國際信用卡組織針對處理他們品牌的持卡人資訊安全所訂定的共同產業標準,適用於儲存,處理或傳輸持卡人資訊的所有機構。接觸這些品牌的支付卡的商戶 (Merchant) 或服務提供商 (Service Provider) 無論其規模大小或交易量多寡,都須依據符合 PCI DSS 安全標準進行對於持卡人資訊的安全保護。

    PCI DSS 認證標準的制定由 PCI SSC (Payment Card Industry Security Standard Council) 理事會負責制訂及管理此安全標準。理事會由 American Express、Discover Financial Services、JCB、MasterCard 和 Visa Inc. 為創始成員。

    PCI DSS 認證 等級介紹

    PCI DSS 認證通常稱為 PCI DSS 審查 (PCI DSS Assessment),依據各卡組織的實施要求,商戶 (Merchant) 或服務商 (Service Providers) 的等級不同,可以分為等級一至四 (Level 1-4) 的不同 (各卡組織對於等級的規定有些許不同,以下的例子以 VISA 卡組織規定為例子)。

    • Merchant  等級

    • Service Providers 等級

    Service Provider 等級

    其中商戶或服務商等級為 Level 1 的,需要由 QSA (Qualified Security Assessor) 就是 PCI DSS 的核可稽核員來進營現場的審查後初報告。 商戶的 Level 2-4,或是服務商的 Level 2 可以使用 PCI DSS SAQ 自我評估表 (Self-Assessment Questionnaire) 由受審的公司/組織自行評估或請 QSA 來協助評估。

    商戶或服務商可以洽你的收單機構來確認你的等級及需要通過的 SAQ 種類。

    PCI DSS 認證 時間介紹

    一般 PCI DSS 的認證大致可以分為以下階段

    PCI DSS 認證 階段 時間

    從開始準備到顧問階段,進行驗證的時間一般會在 3-5 個月的周期,其中要看接受審查組織的準備程度與系統,運營的流程的複雜度而有所不同。

    PCI DSS 相關的費用說明

    1. 系統相關費用

    與系統相關的費用增加,由於 PCI DSS 要求高強度的安全保護,例如 One Primary Function Per Server 主機單一功能要求 ( Req. 2.2.1),過往可能 Web Server,Application Server,DB Server 都同時置放在一台主機的必須被拆分至不同主機執行,因此可能多了一些主機設備的需求 (可以使用 Virtual Server).

    另外由於 PCI DSS 對於安全的要求,要求要建立 DNS Server,NTP Server,FIM Server (File Integrity Management),Log Server 等安全服務的元件,因此也可能較過往多出幾台機器來滿足合規的要求。

    1. 安全設備的費用

    因應 PCI DSS 的安全要求,可能需要增購一些安全設備;例如防火牆,IPS,IDS,WAF 等安全設備。

    1. 資料加密設備費用

    PCI DSS 要求對卡資料進行卡號加密的措施,安全等級高,效能需求高的組織會採取使用 HSM (Hardware Secure Module) 硬體加密器的方式,確保卡資料儲存時的安全。

    1. 人員訓練相關費用

    PCI DSS 要求對於人員的訓練包含認知訓練 (Awareness Training),程式安全訓練 (Secure Coding Training),以及對於 IRP (Incident Response Plan) 的演練等,另外如果自己執行弱點掃描 (Vulnerability Scan),滲透測試 (Penetration Tests) 那內部人員也可能要經過足夠的安全技術訓練,因此可能在人員訓練的費用上也會有增加。

    1. 技術檢測費用

    PCI DSS 要求多項,定期的技術檢測,包含:

      • 卡號掃描 (Card Number Scanning)
      • 原始碼掃描 (Code Review)
      • 內部弱點掃描 (Internal Vulnerability Scan)
      • 外部弱點掃描 (ASV, External Vulnerability Scan)
      • 內部滲透測試 (Internal Penetration Test)
      • 外部滲透測試 (External Penetration Test)
      • 無線溢波掃描 (Wireless Scan)

    這個部分應該會有一些新增的費用支出。

    1. 其他費用支出

    其他 PCI DSS 的費用增加如果為服務商 (Service Provider), 收單機構或卡組織會要求進行卡組織服務商的登記,例如 VISA 的 VISA Registry (https://usa.visa.com/splisting/splistingindex.html) 或 MasterCard 的 SDP 服務商登記 (https://www.mastercard.us/en-us/business/overview/safety-and-security/security-recommendations/site-data-protection-PCI/service-providers-need-to-know.html)

    以一個中小型的服務商 (Service Provider) 來做預估,如果過去沒有做過 PCI DSS 的話一般而言可能多出的費用支出預估為:

    PCI DSS 合規相關的費用說明

     

    PCI DSS 認證 費用

    除了上述可能的增加費用,PCI DSS 的審查費用與  PCI DSS QSA 需要花多少時間來完成審查及報告而定。預估審查的時間與下列的因素有關

    • 系統複雜度:主機的數量,系統使用 OS 的種類,系統上的元件 (Component)安裝的多少,如果使用的OS 同時有多種,安全配置有多種,檢測時的抽樣 (Sampling) 會增加許多。
    • 安全設備及網段:受審查的範圍內部有多少安全設備例如 Firewall,IPS,IDS,WAF,Switch,Router,SIEM,DRP…. 這些安全設備會有設定,更新,存取控制,Log 等需要被檢查及留存紀錄,因此數量越多,網段規劃越複雜會需要更多的檢查時間。
    • 連接的收單機構,服務商的多寡: 越多的收單機構,服務商的連結會形成較複雜的資料流 (Dataflows) 因此需要更多的時間來檢查。
    • 資料庫及卡資料的留存,加密:越多樣的卡資料流程及越多樣的卡資料儲存都會需求更多的加密或安全保護,因此會多出更多的檢查項目。
    • 運營單位數量:門市店點,使用的機房數量,運營辦公室的數量會直接增加審查的天數,銀行,電信等有大量門市,辦公室的,需要進行抽樣的數量更多。備援機房如果有存放卡資料的,一般也會被納入審查範圍。

    一般而言,各地區的 PCI DSS 審查的費用並不相同,因為 PCI SSC 對於各地區的年費不相同,各地區的 QSA 審查員的人員薪資也不相同,如果以東南亞地區的行情而言,一個中小型的服務商,首次的審查,應該需要 3-5 天的現場審查 (On-site Assessment),以及大約一周的報告整理時間,不計入交通的成本地話,PCI DSS 認證的費用會落在 40-60 萬台幣間。但實際的價格還是需要依據上述的複雜度來估算正確的審查時間需求而定。

    *如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com


             

    Vincent Huang

    安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
    • IT Security Management, Payment Card Industry Security, Data Center Security and Cloud Security
    • 專業認證:PCI DSS QSA, PCI 3DS Assessor, PIN Security QPA, CISSP, CEH, NSPA, ISMS LA, ITSM LA, Certified CSA STAR Auditor, Europrise Technical Expert

    安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一個專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。


    你可能會喜歡看

    【PCI DSS】 如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

    /
    服務供應商 (Service Providers) 每季需依據 PCI DSS…
    acceptable formats for truncation of primary account numbers pci dss 2021

    2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

    2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
    PCI 3DS 驗證 3 步驟_Max

    PCI DSS 認證的流程以及合規費用說明

    /
    本文提供您 2021 年最新 PCI DSS 認證的標準流程,…

    Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?

    /
    本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用…

    即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

    /
    Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…

    集團業務重整 公告

    /
    親愛的客戶, 您好! 安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司…
    acceptable formats for truncation of primary account numbers pci dss 2021

    2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

    2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

    即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

    /
    Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…
    因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

    八大祕訣讓中小企業在疫情中保護信用卡資料

    由於新冠肺炎 (COVID-19) 的衝擊導致商業模式改變,中小型商店原來接受面對面交易的,紛紛移向線上電子商務的交易,因而產生信用卡資料安全保護的需求。…

    *如想了解更多合規服務,歡迎與我們聯繫  service@securevectors.com

    我們會儘快回覆您的任何問題!

      請輸入右方所示文字 captcha

      Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?

      本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用 Linux Filesystem 的 size_t-to-int 類型轉換進行權限提升。其中無特權 (root) 的惡意使用者會利用大於 1GB 的長路徑掛載到 Linux 的 Filesystem 中,造成緩衝區溢出產生惡意提權。

      由 PCI DSS 合規角度切入,核心考量點為作業系統帳戶的安全性,從是否需要登入主機的角度切入,限制非必要使用者登入進行目錄掛載、eBPF 使用等。並且安裝適用的安全補丁,如有重大風險應於 30 天內完成 Patch 更新

      • 作業系統帳戶的安全性 (PCI DSS Req. 2.1) – 驗證本機的所有不必要的預設帳戶已被刪除或停用。檢查目前所有的機器預設帳戶是否已被刪除或停用,可檢查 /etc/password 內的帳戶設定是否已刪除或是配置 nologin,避免不必要使用者可登入進行惡意漏洞利用攻擊。
      • 重大風險應於 30 天內完成 Patch 更新 (PCI DSS Req. 6.2) – 安裝適用的供應商安全補丁,確保所有系統組件和軟件免受已知漏洞的影響。如供應商發布 Patch 後,應在發布後的一個月內安裝關鍵的安全補丁。

      檢查目前作業系統供應商是否有釋出相關 Patch,並盡可能安排時間於一個月內完成作業系統 Patch。如作業系統供應商尚未發布 Patch 則應實施緩解措施。

      目前各家系統提供商正如火如荼的發布更新 Patch 來解決這次由 Qualys 安全研究團隊所發布的漏洞 (CVE-2021-33909)。目前收集的風險判定 Patch 參考清單可參考下方整理表格:

      來源風險等級
      NESSUS https://www.tenable.com/cve/CVE-2021-33909CVSS (v2) 7.2
      NIST NVD https://nvd.nist.gov/vuln/detail/CVE-2021-33909CVSS (v3) 7.8
      Redhat https://access.redhat.com/security/cve/cve-2021-33909CVSS (v3) 7.0
      CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33909Source: MITRE

      資料於 2021年 9月 10日更新

      Qualys 安全研究團隊目前已經驗證了成功取得 root 權限的漏洞作業系統包含 Ubuntu 20.04、Ubuntu 20.10、Ubuntu 21.04、Debian 11 和 Fedora 34 Workstation 等。而其他的 Linux 作業系統也可能因為這次的漏洞產生惡意利用攻擊。Linux Server 版本所對應的安全補丁整理:

      作業系統安全補丁連結
      Redhathttps://access.redhat.com/security/cve/cve-2021-33909
      CentOShttps://centosfaq.org/centos/its-been-six-days-since-cvd-2021-33909-was-patched-in-rhel-whats-the-holdup-for-stream-8/

      https://centos.pkgs.org/8-stream/centos-baseos-x86_64/kernel-4.18.0-326.el8.x86_64.rpm.html

      SUSEhttps://www.suse.com/security/cve/CVE-2021-33909.html
      ubuntuhttps://ubuntu.com/security/CVE-2021-33909

      資料於 2021年 9月 10日更新

      如 Patch 尚未出現,可先採用的緩解做法。

      sysctl kernel.unprivileged_userns_clone=1   # 將 unprivileged_userns_clone 設定為 0

      sysctl kernel.unprivileged_bpf_disabled=1   # 將 unprivileged_bpf_disabled 設定為 1

      技術細節請看:https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-privilege-escalation-linux.txt


      Max Tsai

      安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant

      • Payment Card Industry Security, IT Security Management, Cloud Service Management
      • 專業認證: PCI DSS QSA, CISSP, ISMS LA


      安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一家專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。

      * 如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com


      你可能會喜歡看

      【PCI DSS】 如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

      /
      服務供應商 (Service Providers) 每季需依據 PCI DSS…
      acceptable formats for truncation of primary account numbers pci dss 2021

      2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

      2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
      PCI 3DS 驗證 3 步驟_Max

      PCI DSS 認證的流程以及合規費用說明

      /
      本文提供您 2021 年最新 PCI DSS 認證的標準流程,…

      Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?

      /
      本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用…

      即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

      /
      Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…

      集團業務重整 公告

      /
      親愛的客戶, 您好! 安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司…
      acceptable formats for truncation of primary account numbers pci dss 2021

      2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

      2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

      即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

      /
      Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…
      因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

      八大祕訣讓中小企業在疫情中保護信用卡資料

      由於新冠肺炎 (COVID-19) 的衝擊導致商業模式改變,中小型商店原來接受面對面交易的,紛紛移向線上電子商務的交易,因而產生信用卡資料安全保護的需求。…

      即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

      Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞 (CVE-2021-36934)。這個可提升權限的漏洞源自於系統中對於部分系統檔案的過度寬鬆的存取政策,包括 Security Accounts Manager (SAM) 資料庫,一般使用者可以透過該漏洞提升權限,以系統權限執行惡意碼、查閱、更改或刪除資料或建立有完整權限的新使用者帳號等。

      目前受影響到的是主要 Windows 10 以及測試中的 Windows 11,不過從 Microsoft 官方發布的訊息中,看到了 Windows Server 2019 也是受影響的標的之一。這個問題需要被特別注意的是目前尚無修補程式 (Patch) 可以進行更新,短期因應可以參考官方提出的暫行方案 (workaround),例如可以刪除該受影響的 Volume Shadow Copy 等作法。(請參考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934)

      如以 PCI DSS 的合規角度來看這個問題,首先,這個漏洞的 CVSS 分數,在 Base Score Metrics 是 7.8 分屬於高於 7 分的高風險項目,是一個應於 30 天內進行 Patch 的項目,如沒有合適的 Patch 也應尋求其他的補強方案,如果 ASV (Approved Scanning Vendor) 外部弱點掃描遇到這個問題,應該會導致外弱掃無法通過的窘境。

      除了工作人員使用的個人電腦外,在機房中也常見使用 Windows 10 作為跳板機使用,由於 Windows 的跳板機,有可能配置給不同人員權限,也要注意是否會有一般使用者利用這個漏洞進行其他未受權的動作或進行攻擊。

      針對這個問題要如何保持合規呢? 安律信息為你提供以下建議:

      1. 先依據官方的暫行方案,限制特定的系統目錄存取、刪除從 Volume Shadow Copy Service (磁碟區陰影複製服務, VSS) 的複製備份。而移除陰影備份檔案所造成的影響,則為無法透過ㄧ些備份/還原工具,對系統進行還原。所以這段尚未有修補程式的這段期間,就可先避免進行還原作業。
      2. 暫時性的限制 “非主機管理權限 (Administrator)” 人員登入到主機,這個弱點的問題是在於一般使用者帳號可以存取到核心的配置檔案、SAM 資料庫等,所以暫時性限制非主機管理權限的人員,可避免提升權限的攻擊。
      3. 將內部弱點掃描工具的掃描資料庫更新到最新版本,並進行掃描,以確認目前使用的工具是否能掃描到這個問題。

               

      Bryan Cheng

      安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
      • Payment Card Industry Security, IT Security Management, Cloud Service Management
      • 專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

      安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一家專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。


      你可能會喜歡看

      【PCI DSS】 如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

      /
      服務供應商 (Service Providers) 每季需依據 PCI DSS…
      acceptable formats for truncation of primary account numbers pci dss 2021

      2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

      2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
      PCI 3DS 驗證 3 步驟_Max

      PCI DSS 認證的流程以及合規費用說明

      /
      本文提供您 2021 年最新 PCI DSS 認證的標準流程,…

      Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?

      /
      本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用…

      即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

      /
      Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…

      集團業務重整 公告

      /
      親愛的客戶, 您好! 安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司…
      acceptable formats for truncation of primary account numbers pci dss 2021

      2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

      2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

      即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

      /
      Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…
      因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

      八大祕訣讓中小企業在疫情中保護信用卡資料

      由於新冠肺炎 (COVID-19) 的衝擊導致商業模式改變,中小型商店原來接受面對面交易的,紛紛移向線上電子商務的交易,因而產生信用卡資料安全保護的需求。…

      *如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com

      我們會儘快回覆您的任何問題!

        請輸入右方所示文字 captcha

        PCI 3DS 驗證 3 步驟_Max

        PCI 3DS 驗證 3 步驟

        3D 驗證 (3-D Secure)

        消費者 (Consumer) 在商戶 (Merchant) 的電子商務平台使用信用卡付款時,需先輸入一次性密碼完成 3D 驗證 (3-D Secure),才可以完成一筆交易。這是一個讓信用卡交易加倍安全的技術。3D 驗證服務流程,由以下系統組件組成 3DS Server (3DSS), 3DS Directory Server (DS) 和 3DS Access Control Server (ACS)。

        誰提供 3DS 驗證服務

        3DS 驗證服務的系統組件包含了 3DSS、DS 和 ACS,其使用對象包含:

        • 3DSS 的使用對象包含銀行 (Bank)、收單機構 (Acquirer),除了可以自行建置管理 3DSS 之外,也可以使用提供 3DS Solution 服務提供商 (Hosting Service Provider) 的服務,提供商戶連接以及和卡組織 DS 進行 3D 驗證訊息交換。
        • DS 為信用卡組織 (VISA、MasterCard、JCB、Discover、American Express) 所擁有,以做為提供 3DSS 和 ACS 之間的 3D 驗證資料交換交界中心。
        • ACS 的使用對象為發卡行 (Issuer),也可以透過提供 3DS Solution 的服務提供商 (Hosting Service Provider) 進行託管。

        以上的系統組件除了需通過 EMVCo 制定了產品與功能的標準 (EMV®3-D Secure-Protocol and Core Functions Specification v2.0) 之外,提供服務者也需要通過由 PCI 安全標準委員會 (PCI SSC) 制定的 PCI 3DS 安全審查標準 (Security Requirements and Assessment Procedures for EMV®3-D Secure Core Components: ACS,DS and 3DS Server),來保障 3DS 系統的運營環境及資料安全。

        PCI 3DS 審查準備

        所有 3DS 產品 (ACS, DS 和 3DSS) 需要通過 EMVCo 的產品測試,並通過各信用卡組織 (VISA、MasterCard、JCB、Discover、American Express) 的運營測試後才能確保其互通性 (Interoperability)。而 3DS 產品的運營環境安全,則需通過 PCI SSC 制定的 PCI 3DS 安全審查標準。

        PCI 3DS 審查,由 PCI SSC 核可的 QSA 公司進行安全的審查,卡組織通常在於 3DS 產品通過其運營測試、支付機構與商戶 (Acquirers, Merchants) 通過 PCI 3DS 審查後才正式核可 3DS 的服務上線。PCI 3DS 標準分為 Part 1 及 Part 2 兩部分:

        • Part 1 包含3DS 系統運營環境所需要的安全規定 (3DS Baseline Security Requirements)。
        • Part 2 為 3DS 系統運行本身的系統安全及資料安全規定 (3DS Security Requirements)。

        如果支付機構或服務供應商使用的環境,或 3DS 系統所運作存在的環境,已通過 PCI DSS 合規審查,且PCI DSS 合規審查的範圍與 PCI 3DS 的運作需求相同 (無不當的排除項目存在),則可以僅建置 PCI 3DS Part 2 的合規規定項目。

        PCI 3DS 審查前,需進行以下三個準備階段

        PCI 3DS 驗證 3 步驟_Max

        (1) 確保3DS資料的保存與保護合規

        為了確保所經手處理的 3DS 交易資料均符合PCI 3DS 標準合規要求,支付機構或服務供應商應檢視現有或規劃運行的 3DS 系統資料流程及資料保存已依據PCI 3DS Data Matrix 對於各項資料保存、安全保護的規定。包括對於 Authentication Data, Key Data 已及 Cryptographic Key (適用於 ACS, DS) 的保護及保存規定。合規規定中不得儲存的資料應確保於系統交易處理過程中不保存,如系統供應商所提供或協助建置者,也應諮詢該系統廠商有關 3DS 資料的處理方式。

        (2) 備妥並實施相關程序及管理作業

        PCI 3DS 規範支付機構或服務供應商建立管理政策及程序確保 3DS 服務的安全管理作業合於 PCI 3DS 規範,例如存取控制政策及軟體開發程序等。 PCI 3DS 以運營的風險為前提,建立對應的保護措施及實施等級,並要求建立及留存管理必須的文件及紀錄,包括風險評鑑結果、軟硬體清冊、網路架構圖及資料流程圖 (Network Diagrams, Data Flow Diagrams) 以及各項的測試及實施紀錄。

        (3) 進行合規要求的各項技術檢測

        PCI 3DS 要求以下技術測試:

        • 軟體安全測試 (Software Security Tests)
        • 每季一次內外部弱點掃描 (Vulnerability Scans)
        • 每年一次的滲透測試 (Penetration Tests)

        相關測試可以委由專業技術檢測公司提供服務或由內部專門人員進行。其中外部弱點掃描需使用 PCI SSC 核可的 ASV 服務供應商。

        進行 PCI 3DS 審查

        PCI 3DS 的核可服務商為 PCI 3DS QSA 公司,相關核可名單可以於 PCI SSC 網站中可查詢。安律信息技術公司是目前亞太地區少數提供 PCI 3DS 審查服務的 QSA 公司。

        審查作業依據各組織的規模大小與 3DS 系統的建置方式而有不同,通常在審查前或審查開始階段會進行 Scoping 的範圍確認作業,審查期間在現場 (On-site) 3-5 天查核以及 QSA 人員的報告及證據會在非現場 (Off-site) 進行檢視。審查完成後,由 QSA 公司簽署 Report On Compliance (ROC) 報告,並由是受審查組織簽署 Attestation of Compliance (AOC) 後完成。

        支付機構或服務供應商應依據卡組織或收單機構的要求提交 AOC 或 ROC 完成年度的審查。PCI 3DS 標準應每年進行一次審查。


        Max Tsai

        安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant

        • Payment Card Industry Security, IT Security Management, Cloud Service Management
        • 專業認證: PCI DSS QSA, CISSP, ISMS LA


        安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一個專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。


        你可能會喜歡看

        【PCI DSS】 如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

        /
        服務供應商 (Service Providers) 每季需依據 PCI DSS…
        acceptable formats for truncation of primary account numbers pci dss 2021

        2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

        2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
        PCI 3DS 驗證 3 步驟_Max

        PCI DSS 認證的流程以及合規費用說明

        /
        本文提供您 2021 年最新 PCI DSS 認證的標準流程,…

        Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?

        /
        本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用…

        即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

        /
        Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…

        集團業務重整 公告

        /
        親愛的客戶, 您好! 安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司…
        acceptable formats for truncation of primary account numbers pci dss 2021

        2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

        2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

        即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

        /
        Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…
        因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

        八大祕訣讓中小企業在疫情中保護信用卡資料

        由於新冠肺炎 (COVID-19) 的衝擊導致商業模式改變,中小型商店原來接受面對面交易的,紛紛移向線上電子商務的交易,因而產生信用卡資料安全保護的需求。…

        *如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com

        我們會儘快回覆您的任何問題!

          請輸入右方所示文字 captcha