【PCI DSS 過證懶人包】資安小白也能輕鬆達標
/0 評論/在: 新聞, 知識【PCI DSS 過證懶人包】資安小白也能輕鬆達標
2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會 (簡稱 PCI SSC) 規定,凡儲存、處理或傳輸持卡人資訊的所有機構,都必需遵守 PCI DSS 合規要求,簡單來說,PCI DSS 合規中的12個主要要求及其子要求的種種安全控制措施,最終目的是為了保護持卡人的信用卡資料。
當您被收單機構或主管要求 PCI DSS 取證,卻不知道該怎麼做時,最想問的五大問題 (2W3H)
目錄
What - 什麼是 PCI DSS ?
PCI DSS 是 Payment Card Industry Data Security Standards 的縮寫,是由國際組織 Payment Card Industry Security Standard Council (以下簡稱 PCI SSC) ,負責制定及管理 PCI DSS 安全標準,這是一套關於支付卡資訊安全的標準,旨在保護持卡人數據免受未經授權的訪問及不當使用。
PCI SSC 是多家主要國際信用卡組織,成員包含 American Express、Discover Financial Services、JCB、MasterCard、Visa Inc. 和中國銀聯。PCI DSS 標準內容針對處理這些品牌的持卡人資訊安全所訂定的共同產業標準,適用於儲存,處理或傳輸持卡人資訊的所有機構。接觸這些品牌的支付卡的商戶 (Merchant) 或服務供應商 (Service Provider) 無論其規模大小或交易量多寡,都須依據並符合 PCI DSS 安全標準進行對於持卡人資訊的安全保護。
Who - 誰需要? 誰可協助?
誰需要通過 PCI DSS 的審查?
凡儲存、處理或傳輸持卡人資訊的所有機構,都必需遵守 PCI DSS 合規要求。
依機構如何儲存、處理或傳輸持卡人資訊方式,分為不同類別及等級,故首先,需要判斷是特約商店 (Merchant) 還是服務供應商 (Service Provider)。
特約商店是接受支付卡付款,以換取產品或服務的組織,故一般接受信用卡消費的商店、線上商店,包含提供下載的虛擬商品或服務、大型百貨公司,都屬於特約商店。
服務供應商是因所提供的服務會傳輸、處理或儲存 (Transmit, Process, Store) 支付卡持卡人資料,或是提供的服務可以控制或影響持卡人資料的安全,例如第三方支付公司、代收代付業者提供金流服務、錢包服務供應商、線上商城;另外,提供虛擬主機服務的 Data Center 及雲端服務供應商等,都歸類於服務供應商。
判定是特約商店還是服務供應商後,便可再進一步判定 PCI DSS等級。
等級一 – 特約商店及服務供應商
需由 QSA (Qualified Security Assessor) 也是 PCI DSS 的核可稽核員進行現場審查,完成後提供報告。
等級二至四 – 特約商店及等級二的服務供應商
可使用 PCI DSS Self-Assessment Questionnaire (以下簡稱 SAQ) 自行評估,或請 QSA 來協助,可更快速準確地完成評估。
誰可協助通過 PCI DSS 的審查?
特別是對於等級一的特約商店或服務供應商,第一次 PCI DSS 審查過證建議借助專業人員的輔導説明。
QSA (Qualified Security Assessor)
QSA 是由 PCI 安全標準委員會授權的專業人員,經過訓練和認證,執行 PCI DSS 審查並提供合規報告 (ROC) 和合規證明 (AOC),QSA 需要定期且即時接受 PCI DSS 版本更新的認證。若您的特約商店或服務供應商為等級一,必須由 QSA 進行現場審查。
QSAC (Qualified Security Assessor Company)
QSAC 聘請 QSA,提供專業的審查和輔導服務,幫助您理解 PCI DSS 的具體條文,指導如何建立一個安全的支付環境。
如何選擇 QSA 及 QSAC ?
- 您可以透過 [PCI 安全標準委員會官網] 查找經過認證的 QSA 或 QSAC。
- 諮詢同業或合作夥伴:詢問其他已經完成 PCI DSS 審查的公司,瞭解他們的經驗和推薦。
- 評價和案例分析:查看潛在 QSA 或 QSAC 的客戶評價和案例分析,確保他們有相關的經驗和專業知識。
- 諮詢服務:與多個 QSA 或 QSAC 進行初步諮詢,瞭解他們的服務範圍、收費標準和工作流程。通過這些步驟,希望您可以找到適合的 QSA 或 QSAC 幫助您完成 PCI DSS 審查,確保支付環境安全和合規。
How - 該怎麼做?
PCI DSS 合規認證通常分為四大階段:
1. 準備階段:驗證環境確認和顧問階段
**驗證環境確認**
– 初步評估:對現有的安全措施進行初步評估,識別差距及需調整的地方。
– 定義審查範圍:確定需要符合 PCI DSS 標準的系統、網路和應用。
**顧問階段**
– 聘請顧問或 QSA:選擇合適的 QSA 或 QSAC 來協助上述之驗證環境確認,後續整改過程輔導及審查安排等。
– 安全訓練:為員工提供相關的安全訓練,提高整體安全意識。
2. 資料準備階段:準備和實施必要的控制措施
**資料準備**
– 政策和程式:制定和更新安全政策、操作程式,確保符合 PCI DSS 要求。
– 文件收集:收集和整理所有需要的文件和證據,以證明合規性。
3. 審查階段:QSA 進行現場審查
**審查執行**
– 內部審查:在正式審查之前進行內部自查,確保所有問題在正式審查前得到解決。
– 現場審查:由 QSA 進行現場審查,驗證實際操作與文件的一致性。
4. 報告階段:QSA 準備並提交合規報告和證明
**報告和認證**
– 報告編寫:QSA 編寫 ROC(Report on Compliance)和 AOC(Attestation of Compliance)報告。
– 報告提交:您可將報告提交給於卡組織或收單機構。
– 認證頒發:收到合規證明,表明公司符合 PCI DSS 標準。
How long - 該花多少時間?
PCI DSS 合規認證,從一開始的驗證環境確認到最後提供報告的整體認證所需時程,一般預估為三至五個月可完成認證,以下是合規認證的主要階段及各階段的描述:
- 準備階段(1-2 個月):包括驗證環境確認和顧問階段。
- 資料準備階段(1 個月):準備和實施必要的控制措施。
- 審查階段(5-7天):QSA 進行現場審查。
- 報告階段(0.5-1 個月):QSA 準備並提交合規報告和證明。
實際所需時間可能會因以下因素而有所不同:
– 準備程度:若組織認證前的準備工作充分或有較好的安全基礎,認證過程可能更快。
– 系統和營運流程的複雜度:IT 環境、網路架構和營運流程的複雜性會影響認證的進度。
– 資源投入:公司投入的資源(包括人力、時間和預算)以及專案管理的效率。
為了確保認證過程順利進行,建議:
– 提前準備:儘早開始準備工作,尤其是文件和政策的整理。
– 有效溝通:在整個認證過程中,與 QSA 保持緊密溝通,及時解決發現的問題。
– 持續改進:認證後,繼續維持和改進安全措施,確保長期符合 PCI DSS 要求。
How much - 該花多少錢?
第一次為了符合 PCI DSS 的要求,企業須考量可能新增的軟硬體項目,條列費用如下:
系統相關費用
拆分主機至不同功能,如 Web Server、Application Server、DB Server,可能需要增加設備或使用虛擬伺服器。此外,需設立 NTP Server、FIM Server 和 Log Server 等安全服務元件。
安全設備費用
增購網路安全控制設備 (NSCs),如防火牆、、入侵偵測防禦系統 (IPS、IDS)、網頁應用防火牆 (WAF) 等。
資料加密設備費用
對卡資料進行卡號加密,可能需採用 HSM 硬體加密器以確保安全。
人員訓練費用
PCI DSS 要求進行認知訓練、安全編程訓練和事故應對計劃演練等,內部人員需接受足夠的安全技術訓練。
技術檢測費用
定期進行內外部弱點掃描、滲透測試、無線溢波掃描、卡號掃描和源碼掃描等。
其他費用支出
服務供應商需進行卡組織服務供應商的登記,如 VISA 和 MasterCard 的登記。
除了上述可能的增加費用,還有 PCI DSS 的審查認證費用,這與 PCI DSS QSA 需要花多少時間來完成審查及編寫報告而定。
不管您是跨境線上購物業者、第三方支付平台或服務供應商,遵守 PCI DSS 合規要求非常重要,透過執行合規要求措施,不僅僅是交給收單機構及主管一張合規證書,也直接幫助您的企業減少資料洩漏和盜竊的風險,同時提升消費者對其交易安全的信心。
PCI DSS 合規條文共有 400 多項,從認識、理解、提供證據到合規取證,取證後未來又該如何持續合規狀態…?
建議可以考慮聘請 QSAC 幫助您短期內快速有效達到合規要求,取證後再藉由合規管理系統,利用自動監測、告警、定期繳交資料及即時可視化狀態…等功能,讓您的企業時時刻刻合規、安全!
*如想了解更多合規服務,歡迎聯繫我們。
2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?
/在: 新聞, 知識2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的 8 碼 BIN (銀行識別碼 Bank Identification Number, 簡稱 BIN ), 支付卡交易相關的上下游公司應該已經收到銀行的通知,要求對系統、交易資料處理甚至簽帳單上的卡號列印格式做好調整。
卡組織支持新的BIN 格式後,使用信用卡支付的產業會有哪一些改變呢?
首先,原來已發出的 6 碼 BIN可以繼續使用,但從這個月 (2022 年 4 月) 後新發的 BIN 將以 8 碼為主;目前看起來卡組織還是維持原來的 16 碼卡號 (AE、Discover 才有 15 或低於 15 碼),所以對發卡單位、產製卡系統應該沒有太多的困擾產生。但原來使用卡號第七碼、第八碼做卡片等級、種類等利用模式,就需要重新調整對於 8 碼 BIN 的作業。
但由於 6 碼、8 碼 BIN 是會並存於交易系統及網路中。使用 BIN 來進行繞行 (Routing,透過 BIN 識別發卡行) 的系統如:ATM 系統、交易系統、收單系統,或是支付公司目前用來做自行卡交易繞行 (Routing,依據 BIN 送到自行卡的收單機制) 的功能,必須做好支援 8 碼 BIN 的格式,以避免在 6 碼、8 碼並存的階段發生錯誤。
其次對於儲存信用卡資料並使用截斷 (Truncation) 技術作為信用卡資料的保護措施者,在今年 的 1 月,PCI SSC (支付卡產業安全標準委員會 Payment Card Industry Security Standards Council) 有正式發表針各卡組織可接受的新截斷格式,應該也是大家關心的議題。
新的 BIN 出來後,必須改變儲存的方式,並考慮到 6 碼、 8 碼並存的情形,那螢幕顯示及儲存截斷後卡號又該如何配置呢?
PCI SSC在 2021 年 2 月發布了 “如果開始用8碼 BIN,要如何滿足 PCI DSS 對支付卡號 (Primary Account Number, PAN) 遮罩及截斷要求” 的 FAQ (請參考 https://www.pcisecuritystandards.org/faqs FAQ #1492),簡述如下:
- 遮罩:依據 PCI DSS 要求 3.3,在一般狀況下,針對支付卡僅能顯示前 6 碼及後 4 碼。
若要超出,如顯示前 8 碼及後 4 碼,則需要有合理的商業考量,並且有文件化的書面文件,內容包含什麼人(或角色)、因為什麼理由而能檢視超過前 6 後 4 的卡號,並需要由該公司高階管理階層核可。
- 截斷:依據 PCI DSS 要求 3.4,支付卡號要儲存的時候,必須先將卡號變為不可讀 (Rendered Unreadable),其中一種做法就是卡號截斷 (Truncation)。雖然在 PCI DSS 的 Guidance 中描述一般截斷的格式為前 6 碼 + 後 4 碼,但因為各家卡組織對於截斷方式有不同的規定,因此該文章 (FAQ #1492) 內也附上了另一個 FAQ 編號 1091 “什麼是可接受的卡號截斷格式” 的文章來補充說明 (更新於 2022年1月)。
所以今年 1 月起,可接受的截斷格式正式修改如下:

資料來源: https://www.pcisecuritystandards.org/faqs (FAQ 編號 1091)
需注意這次的更新,已不再針對 6 或 8 碼 BIN 區分不同的格式。整體來說:
- VISA, Mastercard, JCB, Discover 以及 UnionPay 對於 16 碼卡號都可接受前 8 碼 + 其他任意 4 碼的格式。
- American Express 僅接受前 6 碼 + 後 4 碼。
- 小於 15 碼的 Discover 不論移除幾碼,都是接受前 6 碼 + 其他任意 4 碼的格式。
同時卡組織也說明,雖然這些是 “可接受” 的截斷格式,但大家還是要以 “最少保存需求” 的角度來考量,不用因為格式異動,就馬上修改自己的系統。
另外提醒與截斷有關的安全保護事項:
- 依據 PCI DSS 規範,對於同時會使用 SHA 雜湊方式的系統,保留前 6 後 4,或前 8 後4 都需要注意,對於同時存取到截斷格式跟 SHA 格式後的風險,尤其前 8 後 4 的格式僅移除了 4 碼,所以與 SHA 並存時被測試出正確卡號的機率就會更大。
- 對於使用前 8 碼 + 其他任意 4 碼的截斷格式,僅剩下 1000 筆的資料會符合 MOD-10 公式,也就是說這 1000 筆中至少會有一筆是真實卡號,故對於資料庫存取的管制,就需要有更進一步的管制措施或內容檢視的要求,以降低卡號被重新建立、計算出來的風險。
參考資料:https://www.pcisecuritystandards.org/faqs
- FAQ No. 1492: How can an entity meet PCI DSS requirements for PAN masking and truncation if it has migrated to 8-digit BINs? (by Feb. 2021)
- FAQ No. 1091: What are acceptable formats for truncation of primary account numbers? (by Jan. 2022)

Bryan Cheng
- Payment Card Industry Security, IT Security Management, Cloud Service Management
- 專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant
安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一個專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。
- PCI 安全認證: www.securevectors.com
- SecuCollab 合規安全代管服務: www.secucollab.com
- SecuCompliance 合規管理平台: www.secucompliance.com
你可能會喜歡看

科普丨你的個人隱私,誰來守護?——讀懂ISO 27701隱私資訊管理體系
https://www.securevectors.com/wp-content/uploads/2026/06/640-1-e1781771612549.webp
310
509
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-06-09 10:00:372026-06-30 17:48:03科普丨一文讀懂體系認證內審員
https://www.securevectors.com/wp-content/uploads/2026/06/640-1-e1781772781464.png
315
488
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-06-04 10:00:492026-07-01 13:58:21科普丨一文讀懂ISO 27001醫療器材產業資訊安全管理
科普丨一文讀懂ISO 13485醫療器材品質管理體系
https://www.securevectors.com/wp-content/uploads/2026/06/cra-reporting-obligations.png
379
540
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-04-10 17:54:042026-06-30 17:39:57網路安全丨歐盟CRA新規倒計時:2026年9月起,網路安全事件強制上報!
https://www.securevectors.com/wp-content/uploads/2026/06/640-e1781775491140.webp
357
719
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-03-18 12:00:252026-06-30 17:32:15醫療器材製造商必讀:當網路安全成為「品質領導力」的核心考題
【重要聲明】安律國際(Secure Vectors)防範冒名釣魚與詐騙提醒
https://www.securevectors.com/wp-content/uploads/2025/10/ZH-TW-scaled.jpg
1919
2560
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2025-10-20 16:13:572025-11-27 11:38:14安律國際取得 PCI DSS ASV 資格
🔒 微軟釋出重大資安更新:修補 130 項漏洞!

科普丨你的個人隱私,誰來守護?——讀懂ISO 27701隱私資訊管理體系
https://www.securevectors.com/wp-content/uploads/2026/06/640-1-e1781771612549.webp
310
509
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-06-09 10:00:372026-06-30 17:48:03科普丨一文讀懂體系認證內審員
https://www.securevectors.com/wp-content/uploads/2026/06/640-1-e1781772781464.png
315
488
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-06-04 10:00:492026-07-01 13:58:21科普丨一文讀懂ISO 27001醫療器材產業資訊安全管理
科普丨一文讀懂ISO 13485醫療器材品質管理體系
https://www.securevectors.com/wp-content/uploads/2026/06/cra-reporting-obligations.png
379
540
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-04-10 17:54:042026-06-30 17:39:57網路安全丨歐盟CRA新規倒計時:2026年9月起,網路安全事件強制上報!
https://www.securevectors.com/wp-content/uploads/2026/06/640-e1781775491140.webp
357
719
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-03-18 12:00:252026-06-30 17:32:15醫療器材製造商必讀:當網路安全成為「品質領導力」的核心考題
【重要聲明】安律國際(Secure Vectors)防範冒名釣魚與詐騙提醒
https://www.securevectors.com/wp-content/uploads/2025/10/ZH-TW-scaled.jpg
1919
2560
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2025-10-20 16:13:572025-11-27 11:38:14安律國際取得 PCI DSS ASV 資格
🔒 微軟釋出重大資安更新:修補 130 項漏洞!
*如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com
我們會儘快回覆您的任何問題!
Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?
/0 評論/在: 新聞, 知識本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用 Linux Filesystem 的 size_t-to-int 類型轉換進行權限提升。其中無特權 (root) 的惡意使用者會利用大於 1GB 的長路徑掛載到 Linux 的 Filesystem 中,造成緩衝區溢出產生惡意提權。
由 PCI DSS 合規角度切入,核心考量點為作業系統帳戶的安全性,從是否需要登入主機的角度切入,限制非必要使用者登入進行目錄掛載、eBPF 使用等。並且安裝適用的安全補丁,如有重大風險應於 30 天內完成 Patch 更新。
- 作業系統帳戶的安全性 (PCI DSS Req. 2.1) – 驗證本機的所有不必要的預設帳戶已被刪除或停用。檢查目前所有的機器預設帳戶是否已被刪除或停用,可檢查 /etc/password 內的帳戶設定是否已刪除或是配置 nologin,避免不必要使用者可登入進行惡意漏洞利用攻擊。
- 重大風險應於 30 天內完成 Patch 更新 (PCI DSS Req. 6.2) – 安裝適用的供應商安全補丁,確保所有系統組件和軟件免受已知漏洞的影響。如供應商發布 Patch 後,應在發布後的一個月內安裝關鍵的安全補丁。
檢查目前作業系統供應商是否有釋出相關 Patch,並盡可能安排時間於一個月內完成作業系統 Patch。如作業系統供應商尚未發布 Patch 則應實施緩解措施。
目前各家系統提供商正如火如荼的發布更新 Patch 來解決這次由 Qualys 安全研究團隊所發布的漏洞 (CVE-2021-33909)。目前收集的風險判定 Patch 參考清單可參考下方整理表格:
| 來源 | 風險等級 |
|---|---|
| NESSUS https://www.tenable.com/cve/CVE-2021-33909 | CVSS (v2) 7.2 |
| NIST NVD https://nvd.nist.gov/vuln/detail/CVE-2021-33909 | CVSS (v3) 7.8 |
| Redhat https://access.redhat.com/security/cve/cve-2021-33909 | CVSS (v3) 7.0 |
| CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33909 | Source: MITRE |
資料於 2021年 9月 10日更新
Qualys 安全研究團隊目前已經驗證了成功取得 root 權限的漏洞作業系統包含 Ubuntu 20.04、Ubuntu 20.10、Ubuntu 21.04、Debian 11 和 Fedora 34 Workstation 等。而其他的 Linux 作業系統也可能因為這次的漏洞產生惡意利用攻擊。Linux Server 版本所對應的安全補丁整理:
| 作業系統 | 安全補丁連結 |
|---|---|
| Redhat | https://access.redhat.com/security/cve/cve-2021-33909 |
| CentOS | https://centosfaq.org/centos/its-been-six-days-since-cvd-2021-33909-was-patched-in-rhel-whats-the-holdup-for-stream-8/ |
| SUSE | https://www.suse.com/security/cve/CVE-2021-33909.html |
| ubuntu | https://ubuntu.com/security/CVE-2021-33909 |
資料於 2021年 9月 10日更新
如 Patch 尚未出現,可先採用的緩解做法。
sysctl kernel.unprivileged_userns_clone=1 # 將 unprivileged_userns_clone 設定為 0
sysctl kernel.unprivileged_bpf_disabled=1 # 將 unprivileged_bpf_disabled 設定為 1
技術細節請看:https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-privilege-escalation-linux.txt

• Payment Card Industry Security, IT Security Management, Cloud Service ManagementMax Tsai
• 專業認證: PCI DSS QSA, CISSP, ISMS LA
安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一家專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。
- PCI 安全認證: www.securevectors.com
- SecuCollab 合規安全代管服務: www.secucollab.com
- SecuCompliance 合規管理平台: www.secucompliance.com
* 如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com
你可能會喜歡看

科普丨你的個人隱私,誰來守護?——讀懂ISO 27701隱私資訊管理體系
https://www.securevectors.com/wp-content/uploads/2026/06/640-1-e1781771612549.webp
310
509
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-06-09 10:00:372026-06-30 17:48:03科普丨一文讀懂體系認證內審員
https://www.securevectors.com/wp-content/uploads/2026/06/640-1-e1781772781464.png
315
488
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-06-04 10:00:492026-07-01 13:58:21科普丨一文讀懂ISO 27001醫療器材產業資訊安全管理
科普丨一文讀懂ISO 13485醫療器材品質管理體系
https://www.securevectors.com/wp-content/uploads/2026/06/cra-reporting-obligations.png
379
540
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-04-10 17:54:042026-06-30 17:39:57網路安全丨歐盟CRA新規倒計時:2026年9月起,網路安全事件強制上報!
https://www.securevectors.com/wp-content/uploads/2026/06/640-e1781775491140.webp
357
719
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-03-18 12:00:252026-06-30 17:32:15醫療器材製造商必讀:當網路安全成為「品質領導力」的核心考題
【重要聲明】安律國際(Secure Vectors)防範冒名釣魚與詐騙提醒
https://www.securevectors.com/wp-content/uploads/2025/10/ZH-TW-scaled.jpg
1919
2560
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2025-10-20 16:13:572025-11-27 11:38:14安律國際取得 PCI DSS ASV 資格
🔒 微軟釋出重大資安更新:修補 130 項漏洞!

科普丨你的個人隱私,誰來守護?——讀懂ISO 27701隱私資訊管理體系
https://www.securevectors.com/wp-content/uploads/2026/06/640-1-e1781771612549.webp
310
509
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-06-09 10:00:372026-06-30 17:48:03科普丨一文讀懂體系認證內審員
https://www.securevectors.com/wp-content/uploads/2026/06/640-1-e1781772781464.png
315
488
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-06-04 10:00:492026-07-01 13:58:21科普丨一文讀懂ISO 27001醫療器材產業資訊安全管理
科普丨一文讀懂ISO 13485醫療器材品質管理體系
https://www.securevectors.com/wp-content/uploads/2026/06/cra-reporting-obligations.png
379
540
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-04-10 17:54:042026-06-30 17:39:57網路安全丨歐盟CRA新規倒計時:2026年9月起,網路安全事件強制上報!
https://www.securevectors.com/wp-content/uploads/2026/06/640-e1781775491140.webp
357
719
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-03-18 12:00:252026-06-30 17:32:15醫療器材製造商必讀:當網路安全成為「品質領導力」的核心考題
【重要聲明】安律國際(Secure Vectors)防範冒名釣魚與詐騙提醒
https://www.securevectors.com/wp-content/uploads/2025/10/ZH-TW-scaled.jpg
1919
2560
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2025-10-20 16:13:572025-11-27 11:38:14安律國際取得 PCI DSS ASV 資格
🔒 微軟釋出重大資安更新:修補 130 項漏洞!
即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞
/0 評論/在: 新聞, 知識Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞 (CVE-2021-36934)。這個可提升權限的漏洞源自於系統中對於部分系統檔案的過度寬鬆的存取政策,包括 Security Accounts Manager (SAM) 資料庫,一般使用者可以透過該漏洞提升權限,以系統權限執行惡意碼、查閱、更改或刪除資料或建立有完整權限的新使用者帳號等。
目前受影響到的是主要 Windows 10 以及測試中的 Windows 11,不過從 Microsoft 官方發布的訊息中,看到了 Windows Server 2019 也是受影響的標的之一。這個問題需要被特別注意的是目前尚無修補程式 (Patch) 可以進行更新,短期因應可以參考官方提出的暫行方案 (workaround),例如可以刪除該受影響的 Volume Shadow Copy 等作法。(請參考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934)
如以 PCI DSS 的合規角度來看這個問題,首先,這個漏洞的 CVSS 分數,在 Base Score Metrics 是 7.8 分屬於高於 7 分的高風險項目,是一個應於 30 天內進行 Patch 的項目,如沒有合適的 Patch 也應尋求其他的補強方案,如果 ASV (Approved Scanning Vendor) 外部弱點掃描遇到這個問題,應該會導致外弱掃無法通過的窘境。
除了工作人員使用的個人電腦外,在機房中也常見使用 Windows 10 作為跳板機使用,由於 Windows 的跳板機,有可能配置給不同人員權限,也要注意是否會有一般使用者利用這個漏洞進行其他未受權的動作或進行攻擊。
針對這個問題要如何保持合規呢? 安律信息為你提供以下建議:
- 先依據官方的暫行方案,限制特定的系統目錄存取、刪除從 Volume Shadow Copy Service (磁碟區陰影複製服務, VSS) 的複製備份。而移除陰影備份檔案所造成的影響,則為無法透過ㄧ些備份/還原工具,對系統進行還原。所以這段尚未有修補程式的這段期間,就可先避免進行還原作業。
- 暫時性的限制 “非主機管理權限 (Administrator)” 人員登入到主機,這個弱點的問題是在於一般使用者帳號可以存取到核心的配置檔案、SAM 資料庫等,所以暫時性限制非主機管理權限的人員,可避免提升權限的攻擊。
- 將內部弱點掃描工具的掃描資料庫更新到最新版本,並進行掃描,以確認目前使用的工具是否能掃描到這個問題。
Bryan Cheng
- Payment Card Industry Security, IT Security Management, Cloud Service Management
- 專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant
安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一家專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。
- PCI 安全認證: www.securevectors.com
- SecuCollab 合規安全代管服務: www.secucollab.com
- SecuCompliance 合規管理平台: www.secucompliance.com
你可能會喜歡看

科普丨你的個人隱私,誰來守護?——讀懂ISO 27701隱私資訊管理體系
https://www.securevectors.com/wp-content/uploads/2026/06/640-1-e1781771612549.webp
310
509
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-06-09 10:00:372026-06-30 17:48:03科普丨一文讀懂體系認證內審員
https://www.securevectors.com/wp-content/uploads/2026/06/640-1-e1781772781464.png
315
488
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-06-04 10:00:492026-07-01 13:58:21科普丨一文讀懂ISO 27001醫療器材產業資訊安全管理
科普丨一文讀懂ISO 13485醫療器材品質管理體系
https://www.securevectors.com/wp-content/uploads/2026/06/cra-reporting-obligations.png
379
540
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-04-10 17:54:042026-06-30 17:39:57網路安全丨歐盟CRA新規倒計時:2026年9月起,網路安全事件強制上報!
https://www.securevectors.com/wp-content/uploads/2026/06/640-e1781775491140.webp
357
719
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-03-18 12:00:252026-06-30 17:32:15醫療器材製造商必讀:當網路安全成為「品質領導力」的核心考題
【重要聲明】安律國際(Secure Vectors)防範冒名釣魚與詐騙提醒
https://www.securevectors.com/wp-content/uploads/2025/10/ZH-TW-scaled.jpg
1919
2560
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2025-10-20 16:13:572025-11-27 11:38:14安律國際取得 PCI DSS ASV 資格
🔒 微軟釋出重大資安更新:修補 130 項漏洞!

科普丨你的個人隱私,誰來守護?——讀懂ISO 27701隱私資訊管理體系
https://www.securevectors.com/wp-content/uploads/2026/06/640-1-e1781771612549.webp
310
509
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-06-09 10:00:372026-06-30 17:48:03科普丨一文讀懂體系認證內審員
https://www.securevectors.com/wp-content/uploads/2026/06/640-1-e1781772781464.png
315
488
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-06-04 10:00:492026-07-01 13:58:21科普丨一文讀懂ISO 27001醫療器材產業資訊安全管理
科普丨一文讀懂ISO 13485醫療器材品質管理體系
https://www.securevectors.com/wp-content/uploads/2026/06/cra-reporting-obligations.png
379
540
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-04-10 17:54:042026-06-30 17:39:57網路安全丨歐盟CRA新規倒計時:2026年9月起,網路安全事件強制上報!
https://www.securevectors.com/wp-content/uploads/2026/06/640-e1781775491140.webp
357
719
cosmos lin
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
cosmos lin2026-03-18 12:00:252026-06-30 17:32:15醫療器材製造商必讀:當網路安全成為「品質領導力」的核心考題
【重要聲明】安律國際(Secure Vectors)防範冒名釣魚與詐騙提醒
https://www.securevectors.com/wp-content/uploads/2025/10/ZH-TW-scaled.jpg
1919
2560
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2025-10-20 16:13:572025-11-27 11:38:14安律國際取得 PCI DSS ASV 資格
🔒 微軟釋出重大資安更新:修補 130 項漏洞!
*如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com
我們會儘快回覆您的任何問題!









