PCI DSS
PCI DSS 是支付卡產業的安全標準,由 American Express, Discover, JCB, MasterCard, 以及 Visa 組成的 PCI SSC 組織所制定,作爲保護持卡人數據的安全標準,所有與前述國際卡組織相關的單位均需要遵循 PCI DSS 的規範。
什麼是 PCI DSS?
Payment Card Industry Data Security Standards,(簡稱 PCI DSS ) 是多家主要的國際信用卡組織針對處理他們品牌的持卡人信息安全所訂定的共同產業標準,適用於存儲、處理或傳輸持卡人信息的所有機構。 接觸這些品牌的支付卡的商戶 (Merchant) 或服務提供商 (Service Provider) 無論其規模大小或交易量多寡,都須依據符合 PCI DSS 安全標準進行對於持卡人信息的安全保護。
PCI DSS 標準的制定由 PCI SSC (Payment Card Industry Security Standards Council) 委員會負責制訂及管理此安全標準。委員會由 American Express、Discover Financial Services、JCB、MasterCard和Visa Inc. 爲創始成員,目前 PCI DSS 的適用範圍在此五大卡組織相關的支付卡。
標準
PCI DSS 標準是目前各類安全標準中,最嚴格的安全標準之一,它在 6 個安全原則下建立了 12 項的安全領域要求。
| 建立并维护网络与系统的安全 | 1. 安装并维护防火墙设定,以保护持卡人数据 2. 不使用供货商提供的默认系统密码和其他参数 |
| 保护持卡人的数据 | 3. 保护储存的持卡人数据 4. 在公共网络中传输加密的持卡人数据 |
| 维护弱点管理计划 | 5. 保护信息系统避免恶意软件攻击并定期更新防病毒软件码及程序 6. 开发并维护系统与应用程序之安全 |
| 实施严格的访问控制措施 | 7. 限制仅有业务需求的人存取持卡人数据 8. 识别与授权可存取的信息系统 9. 限制持卡人数据的实体存取 |
| 定期监控和测试网络 | 10. 追踪和监控网络环境和持卡人数据的所有操作纪录 11. 定期测试系统和作业流程之安全 |
| 维护信息安全政策 | 12. 维护对于所有人员的信息安全政策 |
持卡人信息
PCI DSS 作爲支付卡產業的安全標準,主要的安全保護關注在持卡人的數據上,依據實施的組織不同,可以分爲 Card Present (卡片出示的交易),例如面對面的交易、實體商店交易的方式,以及 Card Not Present (無卡交易的方式),例如網絡交易、電子商務交易等。
其中不同交易碰觸到的持卡人信息將不同,Card Present 交易可以碰觸到磁條或芯片內的數據用於交易上。
無卡交易方式則僅使用卡片上的卡號以及卡片上的安全碼。
以下是PCI DSS 對於持卡人信息的安全要求規定:
| 項目 | 訪問權限 | 使存儲數據不可讀 | ||
| 賬號數據 | 持卡人資料 | 卡號 (PAN) | 是 | 是 |
| 持卡人姓名 | 是 | 否 | ||
| 服務碼 | 是 | 否 | ||
| 到期日 | 是 | 否 | ||
| 敏感性驗證數據 | 磁道 | 否 | 無法儲存 | |
| CAV2/CVC2/CVV2/CID | 否 | 無法儲存 | ||
| PIN/PIN Block | 否 | 無法儲存 |
如何通過PCI DSS 安全審查
PCI DSS 實施的階段可以分爲四個工作階段,依據達成 PCI DSS 合規要求的需要,共有準備階段、盤點清查階段、建置階段及合規審查階段等四個階段:
- Scoping 界定範圍
- 信用卡數據流分析
- PCI DSS 標準教育訓練
盤點清查階段
- 信息資產清查作業
- 風險評鑑作業
- 系統強化查覈作業
- 管控措施規畫(風險處理計劃)
- 信用卡數據掃描作業
- 內部及外部滲透測試(初測)
- 弱點掃描作業初測
建制階段
- 信息安全政策與組織設計
- 文件準備
- 信息安全事件演練
- 信息安全事件管理教育訓練
- 內部及外部滲透測試(複測)
- 弱點掃描作業複測
- 無線溢波偵測作業
審查階段
- PCI DSS 審查前準備
- PCI DSS 正式審查
聯繫我們
如有任何問題,歡迎隨時與我們聯繫!