由於新冠肺炎 (COVID-19) 的衝擊導致商業模式改變,中小型商店原來接受面對面交易的,紛紛移向線上電子商務的交易,因而產生信用卡資料安全保護的需求。 PCI SSC [1] 是五大信用卡組織組成的安全委員會,特別針對中小型商店提出一些信用卡資料安全保護的小祕訣提供大家參考 (8 Tips to Help Small Merchants Protect Payment Card Data During COVID-19)
網路犯罪分子利用支付卡環境的快速變化採取各種行動
從 2020 年三月起跟 Coronavirus 有關的攻擊增加了 475%,伴隨著疫情,惡意攻擊者藉由疫情的主題進行釣魚或木馬植入時有所聞。
依據 Bank of America 2019年的研究顯示 41% 的小型企業至少需要支付五萬美金以上才能從資料洩漏的事件中復原。[2]
29% 的消費者表示不繼續使用有資料洩漏事件的小型企業。[3]
因此,PCI SSC 提出以下八個資料安全保護的小秘訣 (中小型商店適用)
- 減少能發現卡資料的位置:
- 適用強度較強的密碼 (通行碼):
- 保持軟體修補及最新:
- 惡意攻擊者通常會刻意尋找停止支援的軟體利用這些未更新的系統的漏洞來進行攻擊。 因此及時進行安全修補可以降低被攻破的風險。確保做到必要的安全變更的主要方法可以透過定期弱點掃描來發現安全問題。 PCI 組織核可的 外部弱點掃描廠商 – ASV (Approved Scanning Vendors)可以協助發現線上的支付系統、電商網站及相關系統是否有漏洞或錯誤的設定及如何因應,例如應該安裝那些修補程式等。 建議每季至少一次針對 ASV 漏洞掃描進行相關修補作業並確保你的軟體更新到最新狀態。
- 更多的資訊可以參考: https://blog.pcisecuritystandards.org/infographic-patching
- 使用高強度加密方式:
- 使用安全的遠端存取:
- 確保防火牆已有適當的配置設定:
- 點擊連結前要三思而後行:
- 選擇可信任的合作夥伴:
文章資料原文:https://www.pcisecuritystandards.org/documents/PCI_COVID-19_Resource_Guide.pdf
[1] PCI SSC Payment Card Industry Security Standards Council https://www.pcisecuritystandards.org/
[2] https://nypost.com/2019/09/28/rise-in-data-breaches-wreaking-havoc-on-small-businesses-study/ according to Bank of America Merchant Services Third Annual Small Business Spotlight.
[3] 同上
作者簡介
Bryan Cheng
安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
- Payment Card Industry Security, IT Security Management, Cloud Service Management
- 專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant
安律信息技術有限公司 Secure Vectors Information Technologies Inc.
安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一個專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。
你可能會喜歡看

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
https://www.securevectors.com/wp-content/uploads/2021/07/acceptable-formats-for-truncation-of-primary-account-numbers-pci-dss-2021.jpg
850
1332
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2022-04-14 17:38:092022-04-15 10:11:052022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?
https://www.securevectors.com/wp-content/uploads/2022/04/表單img20220330-e1649919971244.jpg
339
351
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2022-04-14 14:52:402022-04-14 16:33:20支付產業合規新挑戰-研討會簡報檔案
https://www.securevectors.com/wp-content/uploads/2021/08/h_mp06-scaled.jpg
1707
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-08-19 15:52:252022-04-14 15:03:34PCI DSS V4.0 您準備好了嗎?-研討會簡報檔案
https://www.securevectors.com/wp-content/uploads/2021/08/如何準備-PCI-DSS-認證-PART-I-第一次通過-PCI-DSS-2.png
628
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-08-11 14:34:232022-03-10 15:15:56如何準備PCI DSS 認證 PART I | 第一次通過 PCI DSS
本文提供您 2021 年最新 PCI DSS 認證的標準流程,…
https://www.securevectors.com/wp-content/uploads/2021/02/PCI-3DS-驗證-3-步驟-scaled.jpg
1564
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-08-02 17:49:272021-08-10 11:12:43PCI DSS 認證的流程以及合規費用說明
本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用…
https://www.securevectors.com/wp-content/uploads/2021/07/Screenshot-2021-07-30-172522.jpg
345
464
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-07-30 17:26:372021-09-10 11:52:36Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?
Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…
https://www.securevectors.com/wp-content/uploads/2021/07/即刻因應-Windows-1011-提全安全漏洞-1-1.png
628
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-07-29 18:03:392021-08-19 16:53:12即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞
3D 驗證 (3-D Secure)
消費者 (Consumer) 在商戶…
https://www.securevectors.com/wp-content/uploads/2021/02/PCI-3DS-驗證-3-步驟-scaled.jpg
1564
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-02-02 11:58:182021-08-19 16:55:59PCI 3DS 驗證 3 步驟
https://www.securevectors.com/wp-content/uploads/2018/04/rawpixel-com-568381-unsplash-拷貝.jpg
600
600
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2018-09-07 15:07:032021-08-03 18:22:44PCI DSS 之 Incident Response Plan
https://www.securevectors.com/wp-content/uploads/2023/05/PCI-DSS-QSA-Vincent.jpg
630
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2023-03-19 17:57:192023-05-19 17:59:05合規共管助企業完成交易安全驗證
2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
https://www.securevectors.com/wp-content/uploads/2021/07/acceptable-formats-for-truncation-of-primary-account-numbers-pci-dss-2021.jpg
850
1332
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2022-04-14 17:38:092022-04-15 10:11:052022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?
Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…
https://www.securevectors.com/wp-content/uploads/2021/07/即刻因應-Windows-1011-提全安全漏洞-1-1.png
628
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-07-29 18:03:392021-08-19 16:53:12即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞
由於新冠肺炎 (COVID-19) 的衝擊導致商業模式改變,中小型商店原來接受面對面交易的,紛紛移向線上電子商務的交易,因而產生信用卡資料安全保護的需求。…
https://www.securevectors.com/wp-content/uploads/2021/07/Protect-Payment-Card-Data-1.png
1080
1920
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2021-07-28 11:23:102021-08-19 16:43:52八大祕訣讓中小企業在疫情中保護信用卡資料
https://www.securevectors.com/wp-content/uploads/2018/05/table.jpg
800
900
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2018-08-29 18:44:252021-08-03 18:10:35UPI 銀聯國際邀請安律信息技術参加於新加坡的UPI 3DS 2.0 Workshop 成功召開
在 PCI SSC 定義的特約商店,是「接受消費者使用 PCI SSC 五大品牌的信用卡來提供商品或服務的付款」,所以針對特約商店的合規性,就會有相對應的規範了。以下針對特約商店的等級及相關要求 (以 VISA 為例) 進行說明:
https://www.securevectors.com/wp-content/uploads/2018/05/induction.jpg
800
900
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2018-08-28 18:28:322021-08-03 18:23:43誰需要通過 PCI DSS 的審查呢 ? Part 2
『 智慧型手機被盜刷!!! 』
規模較小的公司與商店都開始設計及導入…
https://www.securevectors.com/wp-content/uploads/2018/05/black.jpg
800
900
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2018-08-22 09:38:022021-08-03 18:25:24智慧型手機被盜刷,mPOS的安全性?
大部分初接觸 PCI DSS 支付卡產業資料安全標準的朋友們,在閱讀標準的過程中,很大一部份的思維會落入 "這個標準只看技術實施和落實” 這樣的情境。原因無他,PCI DSS 的第一個 Requirement 就是網路基礎建設的安全管控機制 (如下圖)。
https://www.securevectors.com/wp-content/uploads/2021/07/acceptable-formats-for-truncation-of-primary-account-numbers-pci-dss-2021.jpg
850
1332
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2018-08-16 15:05:082021-08-03 18:26:09支付卡營運標準的安全管理層次與精神
各種系統的漏洞未及時更新,常常是駭客利用各式工具掃描進而入侵的管道之一。一旦入侵成功,再進一步搜尋不安全的,或是破解服務安裝,
https://www.securevectors.com/wp-content/uploads/2021/07/Untitled-design.png
1080
1080
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li2018-08-13 18:46:002021-08-03 18:27:03SamSam 勒索軟體賺很大! 3年內成功敲詐近 600 萬美元
*如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com
我們會儘快回覆您的任何問題!