安律國際取得 PCI DSS ASV 資格

2025-10-20/0 評論/在： Knowledge-zh-home, 新聞, 知識

📢安律國際取得 PCI DSS ASV 資格:

🌏亞太區少數同時具備四項 PCI 資格的合規認證公司

安律國際通過 PCI SSC 嚴格審核，正式成為 PCI DSS 官方認可的 ASV 弱點掃描機構，提供支付產業高規等級的弱點掃描服務。

安律國際現已具備四項 PCI 國際金融認證服務資格：

✅PCI DSS QSA（Qualified Security Assessor）

✅PCI 3DS Assessor

✅PCI PIN Security Assessor

✅PCI DSS ASV（Approved Scanning Vendor）

PCI DSS, 3DS , PIN Security 是三個支付卡產業最重要的標準，本次加上代表技術安全的 PCI ASV ，將可以完善地提供金融支付產業從制度、流程管理到技術安全管理的完整認證的服務，為客戶打造「一站式」PCI 合規解決方案。

🔍ASV 不只是一般規格的漏洞掃描，而是一套經 PCI SSC 驗證的完整漏洞檢查的服務方式

根據 PCI DSS 要求，所有儲存、處理或傳輸持卡人資料的機構，須每季提交弱點掃描報告，PCI SSC 支付卡產業安全標準協會（Payment Card Industry Security Standard Council，以下稱 PCI SSC）規定，所適用的金融支付機構均需要每一季通過其認可的 ASV（Approved Scanning Vendor）服務機構執行掃描及提供報告。

金融支付業界認可的 ASV 是業界最嚴格的服務執行方式，包含三重要求：

1️⃣ 掃描工具 — ASV 服務所使用的漏洞檢測方式 (包含人工、流程及技術工具)，須依據 PCI SSC 制定的標準完整辨識所有已知漏洞的嚴格測試，並在限時 18 小時內完成 Test Bed 的全面掃描與分析。

2️⃣ 執行顧問、團隊— 執行檢測的工程師及服務管理人員須每年通過一次 PCI SSC的專業考試，確保其專業知識及服務流程均符合 PCI SSC 的規定。

3️⃣ 報告產出 — 經官方稽核，確保結果判讀、確保報告內容詳實呈現漏洞的發現結果，後續工具誤報處理、報告格式皆具一致性與管理的可追溯性。

所以，一個核可的PCI SSC ASV 檢測服務需經過 PCI SSC 進行最終審查與核可，經官方確認通過後，該公司與方案才能獲得正式 ASV 資格。

這項過程，全面考驗服務公司與方案：

🔎偵測廣度 — 能否覆蓋多層級協定弱點
🎯判斷準確度 — 能否區分誤報與真實風險
📋報告嚴謹性 — 能否提供可審核的合規證據

✨ ASV 的價值：不僅完整漏洞掃描，更是被全球支付產業信任的結果

📅2025 年 10 月，安律國際正式通過 PCI SSC 嚴格審核，正式列入官方 ASV（Approved Scanning Vendor）名單。

這項榮譽代表：

金融支付業界認可：僅有 ASV 掃描報告能作為 PCI DSS 合規審核依據。
技術、團隊與流程皆經 PCI SSC 驗證。
支付產業信任基準：身為亞太區少數同時具 QSA × 3DS × PIN Security × ASV資格的顧問公司，安律國際將協助企業在多國監管體系下維持持續合規。

未來，我們將以此為起點，不只協助金融支付業者完成 ASV 掃描與合規報告，
更為所有關注資安的企業，提供跨產業、跨區域的外部網域弱點掃描、報告及相關服務。
—— 讓「合規」成為你的商業成長優勢。

立即聯絡，獲取專屬ASV 弱點掃描支援
👉 聯絡我們

FAQ

Q1：什麼是 PCI DSS ASV？

ASV（Approved Scanning Vendor）是由 PCI Security Standards Council（PCI SSC）認可、其掃描解決方案經測試核可的外部弱點掃描服務商。依 PCI DSS 要求 11.3.2，組織須每三個月由 ASV 執行外部掃描並出具通過報告，以維持近 12 個月的合規證據。

Q2：ASV 與一般掃描工具有何不同？

ASV 不僅是掃描工具，而是經 PCI Security Standards Council（PCI SSC）驗證的完整掃描解決方案（program）；其工具、執行團隊、程序與報告流程皆須通過官方測試與稽核。因此，僅有經 PCI SSC 認可的 ASV 掃描報告，才可作為 PCI DSS 合規審核的正式依據，為金融與支付產業所信任。

🔒 微軟釋出重大資安更新：修補 130 項漏洞！

2025 年 7 月 9 日，微軟發布本月的 Patch Tuesday 更新，一口氣修補 130 項資安漏洞，其中包含 10 項「重大（Critical）」漏洞，涵蓋 SQL Server、Windows、Office (Word, PowerPoint, Excel) 等多個關鍵產品。

從 PCI DSS 合規角度，需要特別注意其中一項漏洞（CVE-2025-49719，CVSS 評分 7.5）出現在 Microsoft SQL Server 中，屬於資訊洩漏風險，可能允許未授權的攻擊者讀取未初始化的記憶體，洩漏如密碼或加密金鑰等敏感資料。

Rapid7 的首席軟體工程師 Adam Barnett 表示，雖然攻擊者可能無法立即獲得有價值的資訊，但透過技巧性操作，仍有可能取得加密金鑰等關鍵資料。

Action1 總裁 Mike Walters 則指出，此漏洞可能源於 SQL Server 記憶體管理中的輸入驗證不足，導致可讀取未初始化記憶體，進而洩漏如帳號密碼或連線字串等敏感資訊，影響範圍包括 SQL Server 引擎與使用 OLE DB 驅動的應用程式。

⚠️ 資安專家強烈呼籲：

系統管理員與 IT 團隊應立即部署本次更新，尤其是使用 SQL Server 的企業，以防止潛在大規模攻擊。

Source:

https://thehackernews.com/2025/07/microsoft-patches-130-vulnerabilities.html

https://krebsonsecurity.com/2025/07/microsoft-patch-tuesday-july-2025-edition/

#PCI #資安更新 #漏洞修補 #SQLServer #PatchTuesday #資安警示 #資訊安全 #CVSS

【安律資安小教室】

📌 什麼是 CVSS？

CVSS 是一套由 FIRST 組織（Forum of Incident Response and Security Teams）推動的評分標準，制定目的是提供一致、量化的方法來衡量資訊系統中弱點的嚴重性。

CVSS 的評分範圍從 0.0 到 10.0，分數越高代表弱點越嚴重。

【PCI DSS 過證懶人包】資安小白也能輕鬆達標

2024年電商、遠程工作及外送平台消費等等型態持續成長，加速跨境交易和線上支付的使用率，支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用，支付卡產業安全標準協會 (簡稱 PCI SSC) 規定，凡儲存、處理或傳輸持卡人資訊的所有機構，都必需遵守 PCI DSS 合規要求，簡單來說，PCI DSS 合規中的12個主要要求及其子要求的種種安全控制措施，最終目的是為了保護持卡人的信用卡資料。

當您被收單機構或主管要求 PCI DSS 取證，卻不知道該怎麼做時，最想問的五大問題 (2W3H)

What - 什麼是 PCI DSS ?

PCI DSS 是 Payment Card Industry Data Security Standards 的縮寫，是由國際組織 Payment Card Industry Security Standard Council (以下簡稱 PCI SSC) ，負責制定及管理 PCI DSS 安全標準，這是一套關於支付卡資訊安全的標準，旨在保護持卡人數據免受未經授權的訪問及不當使用。

PCI SSC 是多家主要國際信用卡組織，成員包含 American Express、Discover Financial Services、JCB、MasterCard、Visa Inc. 和中國銀聯。PCI DSS 標準內容針對處理這些品牌的持卡人資訊安全所訂定的共同產業標準，適用於儲存，處理或傳輸持卡人資訊的所有機構。接觸這些品牌的支付卡的商戶 (Merchant) 或服務供應商 (Service Provider) 無論其規模大小或交易量多寡，都須依據並符合 PCI DSS 安全標準進行對於持卡人資訊的安全保護。

Who - 誰需要? 誰可協助?

誰需要通過 PCI DSS 的審查?

凡儲存、處理或傳輸持卡人資訊的所有機構，都必需遵守 PCI DSS 合規要求。
依機構如何儲存、處理或傳輸持卡人資訊方式，分為不同類別及等級，故首先，需要判斷是特約商店 (Merchant) 還是服務供應商 (Service Provider)。

特約商店是接受支付卡付款，以換取產品或服務的組織，故一般接受信用卡消費的商店、線上商店，包含提供下載的虛擬商品或服務、大型百貨公司，都屬於特約商店。

服務供應商是因所提供的服務會傳輸、處理或儲存 (Transmit, Process, Store) 支付卡持卡人資料，或是提供的服務可以控制或影響持卡人資料的安全，例如第三方支付公司、代收代付業者提供金流服務、錢包服務供應商、線上商城；另外，提供虛擬主機服務的 Data Center 及雲端服務供應商等，都歸類於服務供應商。

判定是特約商店還是服務供應商後，便可再進一步判定 PCI DSS等級。

等級一 – 特約商店及服務供應商

需由 QSA (Qualified Security Assessor) 也是 PCI DSS 的核可稽核員進行現場審查，完成後提供報告。

等級二至四 – 特約商店及等級二的服務供應商

可使用 PCI DSS Self-Assessment Questionnaire (以下簡稱 SAQ) 自行評估，或請 QSA 來協助，可更快速準確地完成評估。

請參考: 您適用哪一個 PCI DSS SAQ 類型?

誰可協助通過 PCI DSS 的審查?

特別是對於等級一的特約商店或服務供應商，第一次 PCI DSS 審查過證建議借助專業人員的輔導説明。

QSA (Qualified Security Assessor)

QSA 是由 PCI 安全標準委員會授權的專業人員，經過訓練和認證，執行 PCI DSS 審查並提供合規報告 (ROC) 和合規證明 (AOC)，QSA 需要定期且即時接受 PCI DSS 版本更新的認證。若您的特約商店或服務供應商為等級一，必須由 QSA 進行現場審查。

QSAC (Qualified Security Assessor Company)

QSAC 聘請 QSA，提供專業的審查和輔導服務，幫助您理解 PCI DSS 的具體條文，指導如何建立一個安全的支付環境。

如何選擇 QSA 及 QSAC ?

您可以透過 [PCI 安全標準委員會官網] 查找經過認證的 QSA 或 QSAC。
諮詢同業或合作夥伴：詢問其他已經完成 PCI DSS 審查的公司，瞭解他們的經驗和推薦。
評價和案例分析：查看潛在 QSA 或 QSAC 的客戶評價和案例分析，確保他們有相關的經驗和專業知識。
諮詢服務：與多個 QSA 或 QSAC 進行初步諮詢，瞭解他們的服務範圍、收費標準和工作流程。通過這些步驟，希望您可以找到適合的 QSA 或 QSAC 幫助您完成 PCI DSS 審查，確保支付環境安全和合規。

How - 該怎麼做?

PCI DSS 合規認證通常分為四大階段:

1. 準備階段：驗證環境確認和顧問階段

驗證環境確認

– 初步評估：對現有的安全措施進行初步評估，識別差距及需調整的地方。
– 定義審查範圍：確定需要符合 PCI DSS 標準的系統、網路和應用。

顧問階段

– 聘請顧問或 QSA：選擇合適的 QSA 或 QSAC 來協助上述之驗證環境確認，後續整改過程輔導及審查安排等。
– 安全訓練：為員工提供相關的安全訓練，提高整體安全意識。

2. 資料準備階段：準備和實施必要的控制措施

資料準備

– 政策和程式：制定和更新安全政策、操作程式，確保符合 PCI DSS 要求。
– 文件收集：收集和整理所有需要的文件和證據，以證明合規性。

3. 審查階段：QSA 進行現場審查

審查執行

– 內部審查：在正式審查之前進行內部自查，確保所有問題在正式審查前得到解決。
– 現場審查：由 QSA 進行現場審查，驗證實際操作與文件的一致性。

4. 報告階段：QSA 準備並提交合規報告和證明

報告和認證

– 報告編寫：QSA 編寫 ROC（Report on Compliance）和 AOC（Attestation of Compliance）報告。
– 報告提交：您可將報告提交給於卡組織或收單機構。
– 認證頒發：收到合規證明，表明公司符合 PCI DSS 標準。

How long - 該花多少時間?

PCI DSS 合規認證，從一開始的驗證環境確認到最後提供報告的整體認證所需時程，一般預估為三至五個月可完成認證，以下是合規認證的主要階段及各階段的描述:

準備階段（1-2 個月）：包括驗證環境確認和顧問階段。
資料準備階段（1 個月）：準備和實施必要的控制措施。
審查階段（5-7天）：QSA 進行現場審查。
報告階段（0.5-1 個月）：QSA 準備並提交合規報告和證明。

實際所需時間可能會因以下因素而有所不同:
– 準備程度：若組織認證前的準備工作充分或有較好的安全基礎，認證過程可能更快。
– 系統和營運流程的複雜度：IT 環境、網路架構和營運流程的複雜性會影響認證的進度。
– 資源投入：公司投入的資源（包括人力、時間和預算）以及專案管理的效率。

為了確保認證過程順利進行，建議：
– 提前準備：儘早開始準備工作，尤其是文件和政策的整理。
– 有效溝通：在整個認證過程中，與 QSA 保持緊密溝通，及時解決發現的問題。
– 持續改進：認證後，繼續維持和改進安全措施，確保長期符合 PCI DSS 要求。

How much - 該花多少錢?

第一次為了符合 PCI DSS 的要求，企業須考量可能新增的軟硬體項目，條列費用如下:

系統相關費用
拆分主機至不同功能，如 Web Server、Application Server、DB Server，可能需要增加設備或使用虛擬伺服器。此外，需設立 NTP Server、FIM Server 和 Log Server 等安全服務元件。
安全設備費用
增購網路安全控制設備 (NSCs)，如防火牆、、入侵偵測防禦系統 (IPS、IDS)、網頁應用防火牆 (WAF) 等。
資料加密設備費用
對卡資料進行卡號加密，可能需採用 HSM 硬體加密器以確保安全。
人員訓練費用
PCI DSS 要求進行認知訓練、安全編程訓練和事故應對計劃演練等，內部人員需接受足夠的安全技術訓練。
技術檢測費用
定期進行內外部弱點掃描、滲透測試、無線溢波掃描、卡號掃描和源碼掃描等。
其他費用支出
服務供應商需進行卡組織服務供應商的登記，如 VISA 和 MasterCard 的登記。

除了上述可能的增加費用，還有 PCI DSS 的審查認證費用，這與 PCI DSS QSA 需要花多少時間來完成審查及編寫報告而定。

不管您是跨境線上購物業者、第三方支付平台或服務供應商，遵守 PCI DSS 合規要求非常重要，透過執行合規要求措施，不僅僅是交給收單機構及主管一張合規證書，也直接幫助您的企業減少資料洩漏和盜竊的風險，同時提升消費者對其交易安全的信心。

PCI DSS 合規條文共有 400 多項，從認識、理解、提供證據到合規取證，取證後未來又該如何持續合規狀態…?

建議可以考慮聘請 QSAC 幫助您短期內快速有效達到合規要求，取證後再藉由合規管理系統，利用自動監測、告警、定期繳交資料及即時可視化狀態…等功能，讓您的企業時時刻刻合規、安全!

*如想了解更多合規服務，歡迎聯繫我們。

如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求？

2023-09-15/0 評論/在：新聞, 知識

集團業務重整公告

2023-08-25/0 評論/在：新聞

您好！
安律信息技術有限公司營運已經邁入第十個年度，也發展了新加坡、美國、中國、越南等國際分公司，為了擴大營運及更有效率的服務大家，公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構，成立的新的公司主體「安律國際股份有限公司 Secure Vectors Information Technologies Inc.」進行集團的合併，所有管理成員均不變，並強化各地的營運及管理一體化，因此需要大家的幫忙協助我們進行換約至新公司安律國際，為了讓改變更順暢，近期將由專人與貴公司聯絡換約事宜，我們確保原有合約權益及服務內容將完全不受換約的影響。業務重整可能造成的不便，還請多多見諒！並期待安律集團資源整合後能提供更完善服務給大家。