PCI PIN Security
PCI PIN Security 是 Visa, MasterCard, JCB, American Express, Discover 等卡組織,針對處理 PIN 交易(PIN Transaction) 的參與者所規範的一個安全標準,目前的版本為PCI PIN Security 3.1
PCI PIN Security 是 Visa, MasterCard, JCB, American Express, Discover 等卡組織,針對處理 PIN 交易(PIN Transaction) 的參與者所規範的一個安全標準,目前的版本為PCI PIN Security 3.1. 一般而言,提供 ATM, POS 進行 PIN 交易的機構及其協助機構都需要遵循此標準,包含提供 ATM, POS 的收單機構,發卡機構,以及中間的交易網路 (Switch, Network), 卡組織網路等。
另外提供 Key Injection (注入金鑰) 服務的KIF, 憑證 (Certification Authority) 服務的單位。 程度上依據個卡組織的規定,可能有自我評估 (Self-assessment Questionnaire) 或者由 PCI SSC核可的 QPA (Qualified PIN Security Assessor)來進行審查。
要做到 PCI PIN Security 合規的必要工作大約分為以下幾項
PCI PIN Security 分為七大控制目標 (Control Objectives),每一個控制目標都要求管理安全政策及程序,包含各類 POI – Point of Interaction (ATM, POS) 的管理程序,HSM 的管理程序,但更重要的是金鑰管理 (Key Management) 的相關程序,從 Key 的產生、傳輸、更新、廢止、銷毀,與其他機構各類交換的管理程序,PIN Block 及Key Block 的使用, 到設備的實體安全等。
PIN Security 的相關設備包含 POI (ATM, POS) 設備, HSM 金鑰、加密設備,金鑰載入設備 (Key Loading Device) , 主機及其Host Software 等均需要進行盤點及進行管理,POI的數量通常較多,將 Key 載入設備也是一個需要嚴格、精確管理的步驟,機構內部使用的Key、HSM,以及交易的參與機構、交換機構等,最後還要注意對於委外服務商的盤點及管理。
對於各類設備 POI (ATM, POS), HSM, 主機,Key Loading Device 的使用、紀錄、檢視的管理,必須依據程序的規定運行並留下適當的紀錄。 Key 交換、載入 (Key Loading) ,產生等都需要做到規定的 Dual Control、Split Knowledge 以及監督 (Monitoring)。 相關紀錄並需要有對應的監督跟審查。
差距分析 (Gap analysis) 開始,來確定現有的環境、設備、運行管理與 PCI PIN Security 的標準尚有哪些差距,需要完成的工作。
由專業的 PCI PIN Security 顧問,按照標準的要求,提供各項技術、管理的建議,並協助受審查機構實施並達到合規。
由 PCI QPA 進行對受審查單位的實施狀況進行審查,依據 PCI PIN Security 審查的規定,以及卡組織規範的審查頻率、產出審查的結果。
審查可能發現實施現況與標準不符合的事項 (Non-compliance), 須由受審查單位進行修復、矯正的作業,或者進行技術的補強、流程的修正等,待修復完成、產出適當的實施紀錄後,可以讓PCI QSA 進行再次的檢查或透過證據審查來確認合規。
當所有不符合事項都已完成,PCI QPA 將產出審查的報告,包含 ROC (Report on Compliance), AOC (Attestation of Compliance),並由受審查單位簽署了 AOC 的報告後,審查就算完成。
需要過 PCI PIN Security 認證 ?
請儘快與我們聯絡!