集團業務重整 公告

親愛的客戶,
您好!
安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司 Secure Vectors Information Technologies Inc.」進行集團的合併,所有管理成員均不變,並強化各地的營運及管理一體化,因此需要大家的幫忙協助我們進行換約至新公司安律國際,為了讓改變更順暢,近期將由專人與貴公司聯絡換約事宜,我們確保原有合約權益及服務內容將完全不受換約的影響。業務重整可能造成的不便,還請多多見諒!並期待安律集團資源整合後能提供更完善服務給大家。

安律國際股份有限公司
安律信息技術有限公司
敬上

acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的 8 碼 BIN (銀行識別碼 Bank Identification Number, 簡稱 BIN ), 支付卡交易相關的上下游公司應該已經收到銀行的通知,要求對系統、交易資料處理甚至簽帳單上的卡號列印格式做好調整。

 

卡組織支持新的BIN 格式後,使用信用卡支付的產業會有哪一些改變呢?

首先,原來已發出的 6 碼 BIN可以繼續使用,但從這個月 (2022 年 4 月) 後新發的 BIN 將以 8 碼為主;目前看起來卡組織還是維持原來的 16 碼卡號 (AE、Discover 才有 15 或低於 15 碼),所以對發卡單位、產製卡系統應該沒有太多的困擾產生。但原來使用卡號第七碼、第八碼做卡片等級、種類等利用模式,就需要重新調整對於 8 碼 BIN 的作業。

但由於 6 碼、8 碼 BIN 是會並存於交易系統及網路中。使用 BIN 來進行繞行 (Routing,透過 BIN 識別發卡行) 的系統如:ATM 系統、交易系統、收單系統,或是支付公司目前用來做自行卡交易繞行 (Routing,依據 BIN 送到自行卡的收單機制) 的功能,必須做好支援 8 碼 BIN 的格式,以避免在 6 碼、8 碼並存的階段發生錯誤。

 

其次對於儲存信用卡資料並使用截斷 (Truncation) 技術作為信用卡資料的保護措施者,在今年 的 1 月,PCI SSC (支付卡產業安全標準委員會 Payment Card Industry Security Standards Council) 有正式發表針各卡組織可接受的新截斷格式,應該也是大家關心的議題。

 

新的 BIN 出來後,必須改變儲存的方式,並考慮到 6 碼、 8 碼並存的情形,那螢幕顯示及儲存截斷後卡號又該如何配置呢?

PCI SSC在 2021 年 2 月發布了 “如果開始用8碼 BIN,要如何滿足 PCI DSS 對支付卡號 (Primary Account Number, PAN) 遮罩及截斷要求” 的 FAQ (請參考 https://www.pcisecuritystandards.org/faqs FAQ #1492),簡述如下:

  1. 遮罩:依據 PCI DSS 要求 3.3,在一般狀況下,針對支付卡僅能顯示前 6 碼及後 4 碼。
    若要超出,如顯示前 8 碼及後 4 碼,則需要有合理的商業考量,並且有文件化的書面文件,內容包含什麼人(或角色)、因為什麼理由而能檢視超過前 6 後 4 的卡號,並需要由該公司高階管理階層核可。
  1. 截斷:依據 PCI DSS 要求 3.4,支付卡號要儲存的時候,必須先將卡號變為不可讀 (Rendered Unreadable),其中一種做法就是卡號截斷 (Truncation)。雖然在 PCI DSS 的 Guidance 中描述一般截斷的格式為前 6 碼 + 後 4 碼,但因為各家卡組織對於截斷方式有不同的規定,因此該文章 (FAQ #1492) 內也附上了另一個 FAQ 編號 1091 “什麼是可接受的卡號截斷格式” 的文章來補充說明 (更新於 2022年1月)。

所以今年 1 月起,可接受的截斷格式正式修改如下:

資料來源: https://www.pcisecuritystandards.org/faqs (FAQ 編號 1091)

 

需注意這次的更新,已不再針對 6 或 8 碼 BIN 區分不同的格式。整體來說:

  1. VISA, Mastercard, JCB, Discover 以及 UnionPay 對於 16 碼卡號都可接受前 8 碼 + 其他任意 4 碼的格式。
  2. American Express 僅接受前 6 碼 + 後 4 碼
  3. 小於 15 碼的 Discover 不論移除幾碼,都是接受前 6 碼 + 其他任意 4 碼的格式。

同時卡組織也說明,雖然這些是 “可接受” 的截斷格式,但大家還是要以 “最少保存需求” 的角度來考量,不用因為格式異動,就馬上修改自己的系統。

 

另外提醒與截斷有關的安全保護事項:

  1. 依據 PCI DSS 規範,對於同時會使用 SHA 雜湊方式的系統,保留前 6 後 4,或前 8 後4 都需要注意,對於同時存取到截斷格式跟 SHA 格式後的風險,尤其前 8 後 4 的格式僅移除了 4 碼,所以與 SHA 並存時被測試出正確卡號的機率就會更大。
  2. 對於使用前 8 碼 + 其他任意 4 碼的截斷格式,僅剩下 1000 筆的資料會符合 MOD-10 公式,也就是說這 1000 筆中至少會有一筆是真實卡號,故對於資料庫存取的管制,就需要有更進一步的管制措施或內容檢視的要求,以降低卡號被重新建立、計算出來的風險。

參考資料:https://www.pcisecuritystandards.org/faqs

  • FAQ No. 1492: How can an entity meet PCI DSS requirements for PAN masking and truncation if it has migrated to 8-digit BINs? (by Feb. 2021)
  • FAQ No. 1091: What are acceptable formats for truncation of primary account numbers? (by Jan. 2022)

Bryan Cheng

安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
  • Payment Card Industry Security, IT Security Management, Cloud Service Management
  • 專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一個專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。


你可能會喜歡看

【PCI DSS】 如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

/
服務供應商 (Service Providers) 每季需依據 PCI DSS…
acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
PCI 3DS 驗證 3 步驟_Max

PCI DSS 認證的流程以及合規費用說明

/
本文提供您 2021 年最新 PCI DSS 認證的標準流程,…

Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?

/
本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用…

即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

/
Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…

集團業務重整 公告

/
親愛的客戶, 您好! 安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司…
acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

/
Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

八大祕訣讓中小企業在疫情中保護信用卡資料

由於新冠肺炎 (COVID-19) 的衝擊導致商業模式改變,中小型商店原來接受面對面交易的,紛紛移向線上電子商務的交易,因而產生信用卡資料安全保護的需求。…

*如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com

我們會儘快回覆您的任何問題!

    請輸入右方所示文字 captcha

    即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

    Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞 (CVE-2021-36934)。這個可提升權限的漏洞源自於系統中對於部分系統檔案的過度寬鬆的存取政策,包括 Security Accounts Manager (SAM) 資料庫,一般使用者可以透過該漏洞提升權限,以系統權限執行惡意碼、查閱、更改或刪除資料或建立有完整權限的新使用者帳號等。

    目前受影響到的是主要 Windows 10 以及測試中的 Windows 11,不過從 Microsoft 官方發布的訊息中,看到了 Windows Server 2019 也是受影響的標的之一。這個問題需要被特別注意的是目前尚無修補程式 (Patch) 可以進行更新,短期因應可以參考官方提出的暫行方案 (workaround),例如可以刪除該受影響的 Volume Shadow Copy 等作法。(請參考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934)

    如以 PCI DSS 的合規角度來看這個問題,首先,這個漏洞的 CVSS 分數,在 Base Score Metrics 是 7.8 分屬於高於 7 分的高風險項目,是一個應於 30 天內進行 Patch 的項目,如沒有合適的 Patch 也應尋求其他的補強方案,如果 ASV (Approved Scanning Vendor) 外部弱點掃描遇到這個問題,應該會導致外弱掃無法通過的窘境。

    除了工作人員使用的個人電腦外,在機房中也常見使用 Windows 10 作為跳板機使用,由於 Windows 的跳板機,有可能配置給不同人員權限,也要注意是否會有一般使用者利用這個漏洞進行其他未受權的動作或進行攻擊。

    針對這個問題要如何保持合規呢? 安律信息為你提供以下建議:

    1. 先依據官方的暫行方案,限制特定的系統目錄存取、刪除從 Volume Shadow Copy Service (磁碟區陰影複製服務, VSS) 的複製備份。而移除陰影備份檔案所造成的影響,則為無法透過ㄧ些備份/還原工具,對系統進行還原。所以這段尚未有修補程式的這段期間,就可先避免進行還原作業。
    2. 暫時性的限制 “非主機管理權限 (Administrator)” 人員登入到主機,這個弱點的問題是在於一般使用者帳號可以存取到核心的配置檔案、SAM 資料庫等,所以暫時性限制非主機管理權限的人員,可避免提升權限的攻擊。
    3. 將內部弱點掃描工具的掃描資料庫更新到最新版本,並進行掃描,以確認目前使用的工具是否能掃描到這個問題。

             

    Bryan Cheng

    安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
    • Payment Card Industry Security, IT Security Management, Cloud Service Management
    • 專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

    安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一家專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。


    你可能會喜歡看

    【PCI DSS】 如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

    /
    服務供應商 (Service Providers) 每季需依據 PCI DSS…
    acceptable formats for truncation of primary account numbers pci dss 2021

    2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

    2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
    PCI 3DS 驗證 3 步驟_Max

    PCI DSS 認證的流程以及合規費用說明

    /
    本文提供您 2021 年最新 PCI DSS 認證的標準流程,…

    Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?

    /
    本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用…

    即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

    /
    Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…

    集團業務重整 公告

    /
    親愛的客戶, 您好! 安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司…
    acceptable formats for truncation of primary account numbers pci dss 2021

    2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

    2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

    即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

    /
    Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…
    因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

    八大祕訣讓中小企業在疫情中保護信用卡資料

    由於新冠肺炎 (COVID-19) 的衝擊導致商業模式改變,中小型商店原來接受面對面交易的,紛紛移向線上電子商務的交易,因而產生信用卡資料安全保護的需求。…

    *如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com

    我們會儘快回覆您的任何問題!

      請輸入右方所示文字 captcha

      因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

      八大祕訣讓中小企業在疫情中保護信用卡資料

      由於新冠肺炎 (COVID-19) 的衝擊導致商業模式改變,中小型商店原來接受面對面交易的,紛紛移向線上電子商務的交易,因而產生信用卡資料安全保護的需求。 PCI SSC [1] 是五大信用卡組織組成的安全委員會,特別針對中小型商店提出一些信用卡資料安全保護的小祕訣提供大家參考 (8 Tips to Help Small Merchants Protect Payment Card Data During COVID-19)  

      網路犯罪分子利用支付卡環境的快速變化採取各種行動

       

      攻擊增加了 475%

      小型企業需要支付五萬美金以上才能從資料洩漏的事件中復原

      29% 的消費者表示不會在繼續使用有資料洩漏事件的小型企業

      從 2020 年三月起跟 Coronavirus 有關的攻擊增加了 475%,伴隨著疫情,惡意攻擊者藉由疫情的主題進行釣魚或木馬植入時有所聞。

      依據 Bank of America 2019年的研究顯示 41% 的小型企業至少需要支付五萬美金以上才能從資料洩漏的事件中復原。[2]

      29% 的消費者表示不繼續使用有資料洩漏事件的小型企業。[3]

       

       

       

      因此,PCI SSC 提出以下八個資料安全保護的小秘訣 (中小型商店適用)

      1. 減少能發現卡資料的位置:
      2. 適用強度較強的密碼 (通行碼):
        • 使用預設及強度低的密碼是企業卡號洩漏的主要原因之一,有效的預防可以使用強度強的密碼並且定期更新。 小型商店洩漏資料的原因經常是因為便宜行事使用了強度低的密碼以及廠商預設密碼。
        • 更多的資訊可以參考: https://blog.pcisecuritystandards.org/infographic-strong-passwords
      3. 保持軟體修補及最新:
        • 惡意攻擊者通常會刻意尋找停止支援的軟體利用這些未更新的系統的漏洞來進行攻擊。 因此及時進行安全修補可以降低被攻破的風險。確保做到必要的安全變更的主要方法可以透過定期弱點掃描來發現安全問題。 PCI 組織核可的 外部弱點掃描廠商 – ASV (Approved Scanning Vendors)可以協助發現線上的支付系統、電商網站及相關系統是否有漏洞或錯誤的設定及如何因應,例如應該安裝那些修補程式等。 建議每季至少一次針對 ASV 漏洞掃描進行相關修補作業並確保你的軟體更新到最新狀態。
        • 更多的資訊可以參考: https://blog.pcisecuritystandards.org/infographic-patching
      4. 使用高強度加密方式:
        • 加密可以使信用卡資料在沒有金鑰下無法被讀取,在儲存或傳輸時受到保護。建議企業詢問刷卡機的供應商是否支援點對點加密 (Point-to-Point Encryption) ,如果是一個新的網站,必須先確認購物車使用正確的加密機制,例如 TLS v1.2 來保護客戶資料。

        • 更多的資訊可以參考: https://www.pcisecuritystandards.org/document_library?document=ssl&hs

      5. 使用安全的遠端存取:
        • 確保最小化被攻破的風險,企業知道委外的系統供應商如何及何時存取系統是相當重要的。 惡意攻擊者會透過利用遠端存取控制的弱點來取得對系統的存取權。因此需要限制遠端存取的功能且在不使用時停止該功能。如果開放遠端存取,必須要求系統供應商使用多因素認證及高強度的遠端存取帳號密碼,而且必須不同於該供應商使用於其他客戶的帳號密碼。

        • 更多的資訊可以參考: https://blog.pcisecuritystandards.org/infographic-secure-remote-access

      6. 確保防火牆已有適當的配置設定:
        • 硬體/軟體式防火牆主要做為網際網路與企業系統之間的保護屏障,防火牆可以將不允許、或未授權的存取阻擋在外,以保護內部的系統。儘管有些防火牆的設定看起來可能很複雜,但適當的配置對於整體安全來說是不可或缺的,如果需要進一步的支援,可以尋找供應商或網路相關專業人員來進行協助。

        • 更多的資訊可以參考: https://blog.pcisecuritystandards.org/resource-for-small-merchants-firewall-basics
      7. 點擊連結前要三思而後行:
        • 惡意攻擊者常使用網路釣魚或社交工程方式,透過看起來合法的 email 郵件或社交工具訊息來騙取使用者提供一些機密資料,如信用卡號碼、特約商店的帳號密碼等。小型特約商店對這類網路釣魚或社交工程等的攻擊,必須特別注意並提高警覺性。

        • 更多的資訊可以參考: https://blog.pcisecuritystandards.org/beware-of-covid-19-online-scams-and-threats
      8. 選擇可信任的合作夥伴:
        • 認識服務供應商是誰,並需要問他們相關安全的問題,是非常關鍵重要的。這個服務供應商是否有遵守 PCI DSS 的要求? 對於線上購物的特約商店 (和一些目前正準備開始使用線上購物平台來取代實體交易的單位) 來說,選擇的服務供應商,包括管理支付作業流程的服務供應商 (可能稱之為 Payment Service Provider,或 PSP),通過 PCI DSS 是非常重要的。

        • 更多的資訊可以參考: https://www.pcisecuritystandards.org/pdfs/Small_Merchant_Questions_to_ Ask_Your_Vendors.pdf

      文章資料原文:https://www.pcisecuritystandards.org/documents/PCI_COVID-19_Resource_Guide.pdf

      [1] PCI SSC Payment Card Industry Security Standards Council https://www.pcisecuritystandards.org/

      [2] https://nypost.com/2019/09/28/rise-in-data-breaches-wreaking-havoc-on-small-businesses-study/ according to Bank of America Merchant Services Third Annual Small Business Spotlight.

      [3] 同上


      作者簡介

      Bryan Cheng

      安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
      • Payment Card Industry Security, IT Security Management, Cloud Service Management
      • 專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

      安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一個專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。


      你可能會喜歡看

      【PCI DSS】 如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

      /
      服務供應商 (Service Providers) 每季需依據 PCI DSS…
      acceptable formats for truncation of primary account numbers pci dss 2021

      2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

      2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
      PCI 3DS 驗證 3 步驟_Max

      PCI DSS 認證的流程以及合規費用說明

      /
      本文提供您 2021 年最新 PCI DSS 認證的標準流程,…

      Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?

      /
      本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用…

      即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

      /
      Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…

      集團業務重整 公告

      /
      親愛的客戶, 您好! 安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司…
      acceptable formats for truncation of primary account numbers pci dss 2021

      2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

      2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

      即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

      /
      Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…
      因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

      八大祕訣讓中小企業在疫情中保護信用卡資料

      由於新冠肺炎 (COVID-19) 的衝擊導致商業模式改變,中小型商店原來接受面對面交易的,紛紛移向線上電子商務的交易,因而產生信用卡資料安全保護的需求。…

      *如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com

      我們會儘快回覆您的任何問題!

        請輸入右方所示文字 captcha

        誰需要通過 PCI DSS 的審查呢 ? Part 2

        在 PCI SSC 定義的特約商店,是「接受消費者使用 PCI SSC 五大品牌的信用卡來提供商品或服務的付款」,所以針對特約商店的合規性,就會有相對應的規範了。以下針對特約商店的等級及相關要求 (以 VISA 為例) 進行說明: