PCI 3-D Secure

3DS 是由EMVCo 制定的交易訊息協定，運用在無卡交易(Card-not-Present) 的電子商務交易時，透過3DS 發卡行可以取得對於持卡人的驗證。

EMV 3-D Secure 是一個新的交易安全介面，提供 APP 交易確認、與數字錢包 (Digital Wallet) 整合並支持傳統的瀏覽器電商交易。新的持卡人確認方式也同時被引進，臉部辨識、指紋在手持設備上可以用來做持卡人的確認大大的增進了手機商務的便利性。

3DS 簡介

PCI 安全標準委員會 (PCI SSC) 宣布了兩項新的安全標準，以支持安全實施 EMVCo 的 EMV 3DS 協議。EMV 3DS 有助於防止未被持卡人確認的無卡交易 (CNP)。通過電腦瀏覽器或行動設備進行網路購物時，它可以保護商家免受 CNP 欺詐的風險。EMVCo 和 PCI SSC 的共同工作確保了 EMV 3DS 服務的功能審驗和環境、資料安全審查的確實性，能夠確保 3DS 服務的整體安全。

EMV 3DS 1.0 規格由最早提出的 Verified by Visa 至今已經 17 年，3DS 1.0 致力於提供發卡行取得持卡人在無卡交易 (CNP) 時的確認。但由於 1.0 的持卡人登錄 (enrollment) 方式與確認方式 (Authentication)過於複雜且容易產生阻礙造成使用後商戶的轉換率下降 (Conversion Rate)，加上目前 Mobile Commerce 行動商務的盛行，3DS 2.0 的出現讓確認的過程容易、簡單且更安全。PCI 3DS 的標準產生，更加快了整體營運安全審查的便利性。

前往「PCI 資料安全標準協會」網站

3DS標準

3DS 由 EMVCo 制定了產品與功能的標準 (EMV®3-D Secure–Protocol and Core Functions Specification v2.0) 用於規範 3D 交易中的 ACS, DS ,以及 3DSS 的產品及訊息的規格，並結合 PCI 安全標準委員會 (PCI SSC) 制定的 PCI 3DS 安全審查標準 (Security Requirements and Assessment Procedures for EMV®3-D Secure Core Components: ACS,DS and 3DS Server)，應用在對於 3DS 系統的運營環境及資料安全。對於行動裝置上的支持，EMVCo 訂定了 3DS SDK 的技術規格標準，並由 PCI SSC 進行 3DS SDK 的審查。應用上，所有 3DS 產品 (ACS,DS,3DSS) 需要通過 EMVCo 的產品測試，並通過各卡組織 (AE, JCB, Discover, MasterCard,Union Pay, Visa) 的運營測試後才能確保其互通性 (Interoperability)。 PCI SSC 的安全需求則是在 3DS 產品的運營環境中的安全需求，並由 PCI SSC 核可的 QSA 公司進行安全的審查，卡組織通常在於 3DS 產品通過其運營測試、支付機構與商戶 (Acquirers, Merchants) 通過 PCI 3DS 審查後才正式核可 3DS 的服務上線。

以下分別說明三個組織的角色、需求及使用標準 :

EMVCo

EMV 三個字母分別代表 Europay、MasterCard 與 Visa，是制定該標準最初的三家公司。目前標準由 EMVCo 機構管理，EMVCo 最初由 EMV 三大組織於 1999 年 2 月共同成立，目前由 AE, Discover, JCB, MasterCard, Union Pay, Visa共同負責。

主要任務系發展制定與主管維護 3DS 的產品規格、標準與認證，監督並確保該標準於全球的安全互通性。 EMV 3DS 2.0 標準用於測試審驗 ACS, DS 以及 3DSS 產品，包括 3DS SDK 標準用於規範行動裝置的 3DS SDK 底層開發工具。 3DS 的產品均需要先通過 EMVCo 的測試審驗後才能進入 3DS 服務的市場。

卡組織 (Card Brands)

參與 3DS 的卡組織包含 AE, Discover, JCB, MasterCard, Union Pay, Visa, 卡組織通常訂定 3DS 服務中支付機構的實施管理規定 (Implementation Guidance) 以及規範 3DS 標準以外與原有支付系統 (Payment Systems) 的連結運作規範。

另外卡組織也規範所轄的支付機構 (發卡行、商戶、服務商) 不使用 3DS 2.0 進行無卡交易 (CNP) 的 Liability Transfer 期限，例如 Visa 目前規定發卡行如不支持 3DS 2.0 交易，將於 2019年四月強制 Liability 的轉移。

卡組織依據其 Implementation Guidance 以及測試標準，進行對於 3DS 產品的營運測試，通常產品通過卡組織的營運測試後，Letter of Approval 將發出並允許該運營支付機構開始提供 3DS 交易服務。卡組織另外要求參與支付機構對於 3DS 運營環境及資料的安全需求，並透過 PCI SSC 核可的 QSA 公司進行合規的審查。

PCI SSC 及 QSA 公司

PCI SSC 由 AE, Discover, JCB, MasterCard, 及 Visa 所組成，主要在訂定及維持支付卡產業相關的安全標準，包含 PCI DSS, PCI 3DS, PCI 3DS SDK 等安全檢查要求 (Security Requirements), PCI SSC 也同時負責遴選、訓練及核可可以執行標準和規審查的 QSA 公司 (Qualified Security Assessor), 安律信息技術公司就是首批通過 PCI 3DS 核可作業的 QSA 公司。

支付機構中發卡行 (Issuer) 以及其使用的 ACS (Access Control System) 需通過 EMV 產品審驗、卡組織運營測試，發卡行的運營環境，資料安全則需要通過 QSA 公司依據 PCI 3DS 安全要求標準的合規審查取得 ROC 及 AOC 的報告書，交付卡組織後才能開始提供 3DS 的服務。服務商 (Service Provider) 或商戶 (Merchant) 所使用的 3DSS 系統也需要通過相同的審驗，才符合卡組織的實施規範。

如何通過PCI 3DS安全審查

1.確認使用的產品 (ACS, DS, 3DSS) 已通過 EMV 產品審驗

EMVCo 制定的 EMV® 3-D Secure–Protocol and Core Functions Specification v2.0 (EMV 3DS 2.0) 用於 3DS 產品 (ACS,DS,3DSS,3DS SDK) 的產品功能、規格審驗，確保產品間的互通性 (Interoperability), EMVCo 於產品審驗完成後會授與產品 Letter of Approval 並將產品登錄於 EMVCo 的網站。

2. 依據 PCI 3DS 安全標準建立符合 PCI 3DS 環境

PCI 3DS 標準 (Security Requirements and Assessment Procedures for EMV® 3-D Secure Core Components: ACS, DS, and 3DS Server)包含 Part 1 及 Part 2 兩部分，其中

Part 1: 3DS Baseline Security Requirements 包含3DS 系統運營環境所需要的安全規定

Part 2: 3DS Security Requirements 為 3DS 系統運行本身的系統安全及資料安全規定

支付機構或服務機構應依據相對應的系統及其 PCI 3DS 標準進行對於環境、人員、系統、資料安全做好合規的各項技術及管理要求。

如果支付機構或服務供應商使用的環境，或 3DS 系統所運作存在的環境，已通過 PCI DSS 合規審查，且PCI DSS 合規審查的範圍與 PCI 3DS 的運作需求相同 (無不當的排除項目存在)，則可以僅建置 PCI 3DS Part 2 的合規規定項目。

3. 確保3DS資料的保存與保護合規

為了確保所經手處理的 3DS 交易資料均符合PCI 3DS 標準合規要求，支付機構或服務供應商應檢視現有或規劃運行的 3DS 系統資料流程及資料保存已依據PCI 3DS Data Matrix 對於各項資料保存、安全保護的規定。包括對於 Authentication Data, Key Data 已及 Cryptographic Key (適用於 ACS, DS) 的保護及保存規定。合規規定中不得儲存的資料應確保於系統交易處理過程中不保存，如系統供應商所提供或協助建置者，也應諮詢該系統廠商有關 3DS 資料的處理方式。

4. 備妥並實施相關程序及管理作業

PCI 3DS 規範支付機構或服務供應商建立管理政策及程序確保 3DS 服務的安全管理作業合於 PCI 3DS 規範，例如存取控制政策及軟體開發程序等。 PCI 3DS 以運營的風險為前提，建立對應的保護措施及實施等級，並要求建立及留存管理必須的文件及紀錄，包括風險評鑑結果、軟硬體清冊、網路架構圖及資料流程圖 (Network Diagrams, Data Flow Diagrams) 以及各項的測試及實施紀錄。

5. 進行合規要求的各項技術檢測

PCI 3DS 要求以下技術測試

軟體安全測試 (Software Security Tests)
每季一次內外部弱點掃描 (Vulnerability Scans)
每年一次的滲透測試 (Penetration Tests)

相關測試可以委由專業技術檢測公司提供服務或由內部專門人員進行。其中外部弱點掃描需使用 PCI SSC 核可的 ASV 服務供應商。

6. 進行 PCI 3DS 審查服務

PCI 3DS 的核可服務商為 PCI 3DS QSA 公司，相關核可名單可以於 PCI SSC 網站中可查詢。安律信息技術公司是目前亞太地區少數提供 PCI 3DS 審查服務的 QSA 公司。審查作業依據各組織的規模大小與 3DS 系統的建置方式而有不同，通常在審查前或審查開始階段會進行 Scoping 的範圍確認作業，審查期間在現場 (On-site) 3-5 天查核以及 QSA 人員的報告及證據會在非現場 (Off-site) 進行檢視。審查完成後，由 QSA 公司簽署 Report On Compliance (ROC) 報告，並由是受審查組織簽署 Attestation of Compliance (AOC) 後完成。

支付機構或服務供應商應依據卡組織或收單機構的要求提交 AOC 或 ROC 完成年度的審查。PCI 3DS 標準應每年進行一次審查。

聯繫我們

如有任何問題，歡迎隨時與我們聯繫！

關於我們

聯繫我們