如何準備 PCI DSS 認證 PART I
第一次通過 PCI DSS
第一次被銀行通知或 Partner 通知要通過 PCI DSS 嗎?別緊張,安律為你提供因應的步驟來面對 PCI DSS 認證
本文章會讓你了解以下五個重點:
- PCI DSS 是甚麼?
- 先判斷你是 Merchant 還是 Service Provider?
- 決定 PCI DSS Merchant 特約商店的級別
- 執行 ASV 外部弱點掃描
- Service Provider 服務商級別
PCI DSS 是甚麼?
PCI DSS 是國際卡組織 VISA, MasterCard, JCB, American Express 以及 Discover 等組成的 PCI SSC (Payment Card Industry Security Standards Council) 所訂定的安全標準。PCI SSC 制定了 PCI DSS 的標準,並核可 QSA (Qualified Security Assessor)
兩個名詞我們先解釋,PCI SSC 通常使用 Payment Card 支付卡這個詞,因為跟 PCI DSS 有關的卡片不只信用卡 (Credit Card), Debit Card 或其他卡組織發行或銀行發行但上面有這五大卡組織的 Logo 的卡片都算在 Payment Card 的範圍。另外 Card Holder Data 持卡人資料就是卡片的面上那些資料,包含卡號、有效月年、持卡人姓名等,這些資料是 PCI DSS 需要保護的重點。
先判斷你是 Merchant 還是 Service Provider?
首先,需要判斷你是 Merchant (特約商店) 還是 Service Provider (服務商)? Merchant 特約商店接受支付卡付款以換取產品或服務的組織。所以一般接受信用卡消費的商店、線上商店或者提供音樂下載的虛擬商品或服務的都是特約商店,包含大型的百貨公司也都是特約商店。
Service Provider 服務商 因為所提供的服務會傳輸、處理、或儲存 (Transmit, Process, Store) 支付卡持卡人資料,或是提供的服務可以控制或影響持卡人資料的安全的都是服務商。例如三方支付公司、代收代付業者提供金流服務、錢包服務商、線上的商城服務,但是提供虛擬主機服務的 Data Center、雲端服務商等都歸類在 Service Provider。
所以先判定你是 Merchant 還是 Service Provider 以便知道你的 PCI DSS 是屬於哪一個等級。
決定 PCI DSS Merchant 特約商店的級別
PCI DSS 的規定級別是由各卡組織訂定,然後由收單銀行 (Acquirer) 來落實要求底下的 Merchant 及 Service Provider。以下以 VISA 卡組織為例子來看級別的規定:
參考來源:https://www.visa.com.tw/partner-with-us/pci-dss-compliance-information.html#1
VISA 將 Merchant 分為四個等級,其中如果你的年交易筆數超過 600 萬筆的特約商店,是要接受 PCI SSC 核可的 QSA 公司每年來做稽核審查的。QSA (Qualified Security Assessor) 公司在 PCI SSC 的網站上可以找得到。
例如你可以尋找到安律信息服務的公司為 Secure Vectors,顯示結果如下:
其他的等級,年交易的筆數不同,要求的項目也不一樣,二三四等的特約商店,除了收單銀行有特別要求以外,一般被要求進行 SAQ (Self-Assessment Questionnaire) 自我審查的問卷。PCI SSC 針對 Merchant,Service Provider 的技術特性,處理持卡人資料的方式分類特約商店及服務商,雖然使用的標準都是同一個,但調整需要適用的條文數量 (最少的 SAQ A 只有 14 條規定,最多的 SAQ D 有超過 300 個條文規定)。
但是由於分辨使用哪一種類型的問卷判定的方式較為複雜,這裡可能不一一細述如何區分。最簡單要判定的方式可以直接詢問收單銀行的人員,他們也是決定最後特約商店該使用哪一種類型的單位,或是找 QSA 公司詢問,應該可以獲得解答。
執行 ASV 外部弱點掃描
除了 SAQ 以外,另外每季無論哪一個等級都需要做 ASV (Approved Scanning Vendor) 這個是外部的弱點掃描 ( External Vulnerability Scan) 的要求,但必須由 PCI SSC 核可的 ASV 服務商來執行。ASV 服務商的核可名單在 PCI SSC 網站上也可以找到。
目前大部分的公司會使用 ASV 遠端掃描的服務,例如 TrustWave 或 Qualys 等 ASV 掃描服務,開立了服務的帳號,把 IP 位址提交到網站後,會進行自動的掃瞄,掃描完成後會以 Email 通知技術人員掃描結果。
以下的是 Qualys 的掃瞄完成畫面:
參考來源:https://www.qualys.com/docs/pci-compliance-datasheet.pdf
Service Provider 服務商級別
針對 Service Provider 服務商的級別,我們一樣參考 VISA 卡組織的規定。
如果你的公司屬於服務商,每年處理的交易筆述如果超過 30 萬筆以上,你就被歸類為第一級別,需要接受 PCI QSA 公司的現場審查。 一般而言,收單銀行認為服務商的處理量都會超過 30 萬筆,所以可能公司提出要進行服務商的業務時就會直接要求通過 PCI DSS Level 1 的審查。
如果是 Level 2 的級別,需要通過的 SAQ D 自我審查問卷以及一年四次的 ASV 掃描。
從以上的部分,我們先提出小結論如下:
- 判斷自己是 Merchant 特約商店還是 Service Provider 服務商。
- 詢問收單銀行自己的級別 (Level) 如果是 Level 1,需要由 QSA 公司來做年度的審查。
- 如果是 Level 2-4 的 Merchant 或 Service Provider,詢問收單銀行該用哪一個類型的 SAQ 自我審查問卷。如果是 Service Provider Level 2,需要使用 SAQ D。
- 選擇一個 ASV 的服務商 (通常透過 QSA 公司來購買),進行每季的外部弱點掃描作業。
Vincent Huang
- IT Security Management, Payment Card Industry Security, Data Center Security and Cloud Security
- 專業認證:PCI DSS QSA, PCI 3DS Assessor, PIN Security QPA, CISSP, CEH, NSPA, ISMS LA, ITSM LA, Certified CSA STAR Auditor, Europrise Technical Expert
安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一家專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。
- PCI 安全認證: www.securevectors.com
- SecuCollab 合規安全代管服務: www.secucollab.com
- SecuCompliance 合規管理平台: www.secucompliance.com
你可能會喜歡看
https://www.securevectors.com/wp-content/uploads/2021/07/acceptable-formats-for-truncation-of-primary-account-numbers-pci-dss-2021.jpg
850
1332
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2022-04-14 17:38:092022-04-15 10:11:052022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?
https://www.securevectors.com/wp-content/uploads/2022/04/表單img20220330-e1649919971244.jpg
339
351
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2022-04-14 14:52:402022-04-14 16:33:20支付產業合規新挑戰-研討會簡報檔案
https://www.securevectors.com/wp-content/uploads/2021/08/h_mp06-scaled.jpg
1707
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-08-19 15:52:252022-04-14 15:03:34PCI DSS V4.0 您準備好了嗎?-研討會簡報檔案
https://www.securevectors.com/wp-content/uploads/2021/08/如何準備-PCI-DSS-認證-PART-I-第一次通過-PCI-DSS-2.png
628
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-08-11 14:34:232022-03-10 15:15:56如何準備PCI DSS 認證 PART I | 第一次通過 PCI DSS
https://www.securevectors.com/wp-content/uploads/2021/02/PCI-3DS-驗證-3-步驟-scaled.jpg
1564
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-08-02 17:49:272021-08-10 11:12:43PCI DSS 認證的流程以及合規費用說明
https://www.securevectors.com/wp-content/uploads/2021/07/Screenshot-2021-07-30-172522.jpg
345
464
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-07-30 17:26:372021-09-10 11:52:36Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?
https://www.securevectors.com/wp-content/uploads/2021/07/即刻因應-Windows-1011-提全安全漏洞-1-1.png
628
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-07-29 18:03:392021-08-19 16:53:12即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞
https://www.securevectors.com/wp-content/uploads/2021/02/PCI-3DS-驗證-3-步驟-scaled.jpg
1564
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-02-02 11:58:182021-08-19 16:55:59PCI 3DS 驗證 3 步驟
https://www.securevectors.com/wp-content/uploads/2018/04/rawpixel-com-568381-unsplash-拷貝.jpg
600
600
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2018-09-07 15:07:032021-08-03 18:22:44PCI DSS 之 Incident Response Plan
https://www.securevectors.com/wp-content/uploads/2023/05/PCI-DSS-QSA-Vincent.jpg
630
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2023-03-19 17:57:192023-05-19 17:59:05合規共管助企業完成交易安全驗證
https://www.securevectors.com/wp-content/uploads/2021/07/acceptable-formats-for-truncation-of-primary-account-numbers-pci-dss-2021.jpg
850
1332
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2022-04-14 17:38:092022-04-15 10:11:052022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?
https://www.securevectors.com/wp-content/uploads/2021/07/即刻因應-Windows-1011-提全安全漏洞-1-1.png
628
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-07-29 18:03:392021-08-19 16:53:12即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞
https://www.securevectors.com/wp-content/uploads/2021/07/Protect-Payment-Card-Data-1.png
1080
1920
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-07-28 11:23:102021-08-19 16:43:52八大祕訣讓中小企業在疫情中保護信用卡資料
https://www.securevectors.com/wp-content/uploads/2018/05/table.jpg
800
900
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2018-08-29 18:44:252021-08-03 18:10:35UPI 銀聯國際邀請安律信息技術参加於新加坡的UPI 3DS 2.0 Workshop 成功召開
https://www.securevectors.com/wp-content/uploads/2018/05/induction.jpg
800
900
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2018-08-28 18:28:322021-08-03 18:23:43誰需要通過 PCI DSS 的審查呢 ? Part 2
https://www.securevectors.com/wp-content/uploads/2018/05/black.jpg
800
900
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2018-08-22 09:38:022021-08-03 18:25:24智慧型手機被盜刷,mPOS的安全性?
https://www.securevectors.com/wp-content/uploads/2021/07/acceptable-formats-for-truncation-of-primary-account-numbers-pci-dss-2021.jpg
850
1332
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2018-08-16 15:05:082021-08-03 18:26:09支付卡營運標準的安全管理層次與精神
https://www.securevectors.com/wp-content/uploads/2021/07/Untitled-design.png
1080
1080
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2018-08-13 18:46:002021-08-03 18:27:03SamSam 勒索軟體賺很大! 3年內成功敲詐近 600 萬美元*如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com
我們會儘快回覆您的任何問題 !
