PCI DSS 認證的流程以及合規費用說明

本文提供您 2021 年最新 PCI DSS 認證的標準流程, 介紹 PCI DSS 認證等級以及相關費用說明

PCI DSS 標準的說明

Payment Card Industry Data Security Standards,(簡稱PCI DSS) 是多家主要的國際信用卡組織針對處理他們品牌的持卡人資訊安全所訂定的共同產業標準,適用於儲存,處理或傳輸持卡人資訊的所有機構。接觸這些品牌的支付卡的商戶 (Merchant) 或服務提供商 (Service Provider) 無論其規模大小或交易量多寡,都須依據符合 PCI DSS 安全標準進行對於持卡人資訊的安全保護。

PCI DSS 認證標準的制定由 PCI SSC (Payment Card Industry Security Standard Council) 理事會負責制訂及管理此安全標準。理事會由 American Express、Discover Financial Services、JCB、MasterCard 和 Visa Inc. 為創始成員。

PCI DSS 認證 等級介紹

PCI DSS 認證通常稱為 PCI DSS 審查 (PCI DSS Assessment),依據各卡組織的實施要求,商戶 (Merchant) 或服務商 (Service Providers) 的等級不同,可以分為等級一至四 (Level 1-4) 的不同 (各卡組織對於等級的規定有些許不同,以下的例子以 VISA 卡組織規定為例子)。

  • Merchant  等級

  • Service Providers 等級

Service Provider 等級

其中商戶或服務商等級為 Level 1 的,需要由 QSA (Qualified Security Assessor) 就是 PCI DSS 的核可稽核員來進營現場的審查後初報告。 商戶的 Level 2-4,或是服務商的 Level 2 可以使用 PCI DSS SAQ 自我評估表 (Self-Assessment Questionnaire) 由受審的公司/組織自行評估或請 QSA 來協助評估。

商戶或服務商可以洽你的收單機構來確認你的等級及需要通過的 SAQ 種類。

PCI DSS 認證 時間介紹

一般 PCI DSS 的認證大致可以分為以下階段

PCI DSS 認證 階段 時間

從開始準備到顧問階段,進行驗證的時間一般會在 3-5 個月的周期,其中要看接受審查組織的準備程度與系統,運營的流程的複雜度而有所不同。

PCI DSS 相關的費用說明

  1. 系統相關費用

與系統相關的費用增加,由於 PCI DSS 要求高強度的安全保護,例如 One Primary Function Per Server 主機單一功能要求 ( Req. 2.2.1),過往可能 Web Server,Application Server,DB Server 都同時置放在一台主機的必須被拆分至不同主機執行,因此可能多了一些主機設備的需求 (可以使用 Virtual Server).

另外由於 PCI DSS 對於安全的要求,要求要建立 DNS Server,NTP Server,FIM Server (File Integrity Management),Log Server 等安全服務的元件,因此也可能較過往多出幾台機器來滿足合規的要求。

  1. 安全設備的費用

因應 PCI DSS 的安全要求,可能需要增購一些安全設備;例如防火牆,IPS,IDS,WAF 等安全設備。

  1. 資料加密設備費用

PCI DSS 要求對卡資料進行卡號加密的措施,安全等級高,效能需求高的組織會採取使用 HSM (Hardware Secure Module) 硬體加密器的方式,確保卡資料儲存時的安全。

  1. 人員訓練相關費用

PCI DSS 要求對於人員的訓練包含認知訓練 (Awareness Training),程式安全訓練 (Secure Coding Training),以及對於 IRP (Incident Response Plan) 的演練等,另外如果自己執行弱點掃描 (Vulnerability Scan),滲透測試 (Penetration Tests) 那內部人員也可能要經過足夠的安全技術訓練,因此可能在人員訓練的費用上也會有增加。

  1. 技術檢測費用

PCI DSS 要求多項,定期的技術檢測,包含:

    • 卡號掃描 (Card Number Scanning)
    • 原始碼掃描 (Code Review)
    • 內部弱點掃描 (Internal Vulnerability Scan)
    • 外部弱點掃描 (ASV, External Vulnerability Scan)
    • 內部滲透測試 (Internal Penetration Test)
    • 外部滲透測試 (External Penetration Test)
    • 無線溢波掃描 (Wireless Scan)

這個部分應該會有一些新增的費用支出。

  1. 其他費用支出

其他 PCI DSS 的費用增加如果為服務商 (Service Provider), 收單機構或卡組織會要求進行卡組織服務商的登記,例如 VISA 的 VISA Registry (https://usa.visa.com/splisting/splistingindex.html) 或 MasterCard 的 SDP 服務商登記 (https://www.mastercard.us/en-us/business/overview/safety-and-security/security-recommendations/site-data-protection-PCI/service-providers-need-to-know.html)

以一個中小型的服務商 (Service Provider) 來做預估,如果過去沒有做過 PCI DSS 的話一般而言可能多出的費用支出預估為:

PCI DSS 合規相關的費用說明

 

PCI DSS 認證 費用

除了上述可能的增加費用,PCI DSS 的審查費用與  PCI DSS QSA 需要花多少時間來完成審查及報告而定。預估審查的時間與下列的因素有關

  • 系統複雜度:主機的數量,系統使用 OS 的種類,系統上的元件 (Component)安裝的多少,如果使用的OS 同時有多種,安全配置有多種,檢測時的抽樣 (Sampling) 會增加許多。
  • 安全設備及網段:受審查的範圍內部有多少安全設備例如 Firewall,IPS,IDS,WAF,Switch,Router,SIEM,DRP…. 這些安全設備會有設定,更新,存取控制,Log 等需要被檢查及留存紀錄,因此數量越多,網段規劃越複雜會需要更多的檢查時間。
  • 連接的收單機構,服務商的多寡: 越多的收單機構,服務商的連結會形成較複雜的資料流 (Dataflows) 因此需要更多的時間來檢查。
  • 資料庫及卡資料的留存,加密:越多樣的卡資料流程及越多樣的卡資料儲存都會需求更多的加密或安全保護,因此會多出更多的檢查項目。
  • 運營單位數量:門市店點,使用的機房數量,運營辦公室的數量會直接增加審查的天數,銀行,電信等有大量門市,辦公室的,需要進行抽樣的數量更多。備援機房如果有存放卡資料的,一般也會被納入審查範圍。

一般而言,各地區的 PCI DSS 審查的費用並不相同,因為 PCI SSC 對於各地區的年費不相同,各地區的 QSA 審查員的人員薪資也不相同,如果以東南亞地區的行情而言,一個中小型的服務商,首次的審查,應該需要 3-5 天的現場審查 (On-site Assessment),以及大約一周的報告整理時間,不計入交通的成本地話,PCI DSS 認證的費用會落在 40-60 萬台幣間。但實際的價格還是需要依據上述的複雜度來估算正確的審查時間需求而定。

*如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com


         

Vincent Huang

安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
  • IT Security Management, Payment Card Industry Security, Data Center Security and Cloud Security
  • 專業認證:PCI DSS QSA, PCI 3DS Assessor, PIN Security QPA, CISSP, CEH, NSPA, ISMS LA, ITSM LA, Certified CSA STAR Auditor, Europrise Technical Expert

安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一個專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。


你可能會喜歡看

acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
PCI 3DS 驗證 3 步驟_Max

PCI DSS 認證的流程以及合規費用說明

/
本文提供您 2021 年最新 PCI DSS 認證的標準流程,…

Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?

/
本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用…

即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

/
Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…
PCI 3DS 驗證 3 步驟_Max

PCI 3DS 驗證 3 步驟

3D 驗證 (3-D Secure) 消費者 (Consumer) 在商戶…
acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

/
Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

八大祕訣讓中小企業在疫情中保護信用卡資料

由於新冠肺炎 (COVID-19) 的衝擊導致商業模式改變,中小型商店原來接受面對面交易的,紛紛移向線上電子商務的交易,因而產生信用卡資料安全保護的需求。…

誰需要通過 PCI DSS 的審查呢 ? Part 2

在 PCI SSC 定義的特約商店,是「接受消費者使用 PCI SSC 五大品牌的信用卡來提供商品或服務的付款」,所以針對特約商店的合規性,就會有相對應的規範了。以下針對特約商店的等級及相關要求 (以 VISA 為例) 進行說明:

智慧型手機被盜刷,mPOS的安全性?

『 智慧型手機被盜刷!!! 』 規模較小的公司與商店都開始設計及導入…
acceptable formats for truncation of primary account numbers pci dss 2021

支付卡營運標準的安全管理層次與精神

大部分初接觸 PCI DSS 支付卡產業資料安全標準的朋友們,在閱讀標準的過程中,很大一部份的思維會落入 "這個標準只看技術實施和落實” 這樣的情境。原因無他,PCI DSS 的第一個 Requirement 就是網路基礎建設的安全管控機制 (如下圖)。
攻擊增加了 475%

SamSam 勒索軟體賺很大! 3年內成功敲詐近 600 萬美元

各種系統的漏洞未及時更新,常常是駭客利用各式工具掃描進而入侵的管道之一。一旦入侵成功,再進一步搜尋不安全的,或是破解服務安裝,

Reddit 遭駭了,Two Factor 被破解!

由於長期以來駭客攻擊或資料洩漏的原因,過半是透過釣魚、竊取自其他來源先取得 Credential 後,才攻入目標的網站或主機,因此過去我們都稱 Two Factor Authentication 應該是防禦駭客最便宜的解決方案, 在以信用卡交易安全為標的的 PCI DSS 標準中...

*如想了解更多合規服務,歡迎與我們聯繫  service@securevectors.com

我們會儘快回覆您的任何問題!

    請輸入右方所示文字 captcha

    0 回復

    發表評論

    Want to join the discussion?
    Feel free to contribute!

    發佈留言

    發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *