標籤存檔: BIN

acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的 8 碼 BIN (銀行識別碼 Bank Identification Number, 簡稱 BIN ), 支付卡交易相關的上下游公司應該已經收到銀行的通知,要求對系統、交易資料處理甚至簽帳單上的卡號列印格式做好調整。

 

卡組織支持新的BIN 格式後,使用信用卡支付的產業會有哪一些改變呢?

首先,原來已發出的 6 碼 BIN可以繼續使用,但從這個月 (2022 年 4 月) 後新發的 BIN 將以 8 碼為主;目前看起來卡組織還是維持原來的 16 碼卡號 (AE、Discover 才有 15 或低於 15 碼),所以對發卡單位、產製卡系統應該沒有太多的困擾產生。但原來使用卡號第七碼、第八碼做卡片等級、種類等利用模式,就需要重新調整對於 8 碼 BIN 的作業。

但由於 6 碼、8 碼 BIN 是會並存於交易系統及網路中。使用 BIN 來進行繞行 (Routing,透過 BIN 識別發卡行) 的系統如:ATM 系統、交易系統、收單系統,或是支付公司目前用來做自行卡交易繞行 (Routing,依據 BIN 送到自行卡的收單機制) 的功能,必須做好支援 8 碼 BIN 的格式,以避免在 6 碼、8 碼並存的階段發生錯誤。

 

其次對於儲存信用卡資料並使用截斷 (Truncation) 技術作為信用卡資料的保護措施者,在今年 的 1 月,PCI SSC (支付卡產業安全標準委員會 Payment Card Industry Security Standards Council) 有正式發表針各卡組織可接受的新截斷格式,應該也是大家關心的議題。

 

新的 BIN 出來後,必須改變儲存的方式,並考慮到 6 碼、 8 碼並存的情形,那螢幕顯示及儲存截斷後卡號又該如何配置呢?

PCI SSC在 2021 年 2 月發布了 “如果開始用8碼 BIN,要如何滿足 PCI DSS 對支付卡號 (Primary Account Number, PAN) 遮罩及截斷要求” 的 FAQ (請參考 https://www.pcisecuritystandards.org/faqs FAQ #1492),簡述如下:

  1. 遮罩:依據 PCI DSS 要求 3.3,在一般狀況下,針對支付卡僅能顯示前 6 碼及後 4 碼。
    若要超出,如顯示前 8 碼及後 4 碼,則需要有合理的商業考量,並且有文件化的書面文件,內容包含什麼人(或角色)、因為什麼理由而能檢視超過前 6 後 4 的卡號,並需要由該公司高階管理階層核可。
  1. 截斷:依據 PCI DSS 要求 3.4,支付卡號要儲存的時候,必須先將卡號變為不可讀 (Rendered Unreadable),其中一種做法就是卡號截斷 (Truncation)。雖然在 PCI DSS 的 Guidance 中描述一般截斷的格式為前 6 碼 + 後 4 碼,但因為各家卡組織對於截斷方式有不同的規定,因此該文章 (FAQ #1492) 內也附上了另一個 FAQ 編號 1091 “什麼是可接受的卡號截斷格式” 的文章來補充說明 (更新於 2022年1月)。

所以今年 1 月起,可接受的截斷格式正式修改如下:

資料來源: https://www.pcisecuritystandards.org/faqs (FAQ 編號 1091)

 

需注意這次的更新,已不再針對 6 或 8 碼 BIN 區分不同的格式。整體來說:

  1. VISA, Mastercard, JCB, Discover 以及 UnionPay 對於 16 碼卡號都可接受前 8 碼 + 其他任意 4 碼的格式。
  2. American Express 僅接受前 6 碼 + 後 4 碼
  3. 小於 15 碼的 Discover 不論移除幾碼,都是接受前 6 碼 + 其他任意 4 碼的格式。

同時卡組織也說明,雖然這些是 “可接受” 的截斷格式,但大家還是要以 “最少保存需求” 的角度來考量,不用因為格式異動,就馬上修改自己的系統。

 

另外提醒與截斷有關的安全保護事項:

  1. 依據 PCI DSS 規範,對於同時會使用 SHA 雜湊方式的系統,保留前 6 後 4,或前 8 後4 都需要注意,對於同時存取到截斷格式跟 SHA 格式後的風險,尤其前 8 後 4 的格式僅移除了 4 碼,所以與 SHA 並存時被測試出正確卡號的機率就會更大。
  2. 對於使用前 8 碼 + 其他任意 4 碼的截斷格式,僅剩下 1000 筆的資料會符合 MOD-10 公式,也就是說這 1000 筆中至少會有一筆是真實卡號,故對於資料庫存取的管制,就需要有更進一步的管制措施或內容檢視的要求,以降低卡號被重新建立、計算出來的風險。

參考資料:https://www.pcisecuritystandards.org/faqs

  • FAQ No. 1492: How can an entity meet PCI DSS requirements for PAN masking and truncation if it has migrated to 8-digit BINs? (by Feb. 2021)
  • FAQ No. 1091: What are acceptable formats for truncation of primary account numbers? (by Jan. 2022)

Bryan Cheng

安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
  • Payment Card Industry Security, IT Security Management, Cloud Service Management
  • 專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一個專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。


你可能會喜歡看

first time PCI DSS Compliance

PCI DSS 過證懶人包:資安小白也能輕鬆達標

/
【PCI DSS 過證懶人包】資安小白也能輕鬆達標 2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成尤其重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會…
PCI 3DS 驗證 3 步驟_Max

PCI DSS 認證的流程以及合規費用說明

/
PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。
PCI DSS v4.0

您適用哪一個 PCI DSS SAQ 類型?

/
您適用哪一個 PCI DSS SAQ 類型? PCI DSS Self-Assessment…
acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
PCI 3DS 驗證 3 步驟_Max

PCI DSS 認證的流程以及合規費用說明

/
PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。

集團業務重整 公告

/
安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司 Secure Vectors Information Technologies Inc.」
acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?

/
本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用…

*如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com

我們會儘快回覆您的任何問題!

    請輸入右方所示文字 captcha

    acceptable formats for truncation of primary account numbers pci dss 2021

    2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

    2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的 8 碼 BIN (銀行識別碼 Bank Identification Number, 簡稱 BIN ), 支付卡交易相關的上下游公司應該已經收到銀行的通知,要求對系統、交易資料處理甚至簽帳單上的卡號列印格式做好調整。

     

    卡組織支持新的BIN 格式後,使用信用卡支付的產業會有哪一些改變呢?

    首先,原來已發出的 6 碼 BIN可以繼續使用,但從這個月 (2022 年 4 月) 後新發的 BIN 將以 8 碼為主;目前看起來卡組織還是維持原來的 16 碼卡號 (AE、Discover 才有 15 或低於 15 碼),所以對發卡單位、產製卡系統應該沒有太多的困擾產生。但原來使用卡號第七碼、第八碼做卡片等級、種類等利用模式,就需要重新調整對於 8 碼 BIN 的作業。

    但由於 6 碼、8 碼 BIN 是會並存於交易系統及網路中。使用 BIN 來進行繞行 (Routing,透過 BIN 識別發卡行) 的系統如:ATM 系統、交易系統、收單系統,或是支付公司目前用來做自行卡交易繞行 (Routing,依據 BIN 送到自行卡的收單機制) 的功能,必須做好支援 8 碼 BIN 的格式,以避免在 6 碼、8 碼並存的階段發生錯誤。

     

    其次對於儲存信用卡資料並使用截斷 (Truncation) 技術作為信用卡資料的保護措施者,在今年 的 1 月,PCI SSC (支付卡產業安全標準委員會 Payment Card Industry Security Standards Council) 有正式發表針各卡組織可接受的新截斷格式,應該也是大家關心的議題。

     

    新的 BIN 出來後,必須改變儲存的方式,並考慮到 6 碼、 8 碼並存的情形,那螢幕顯示及儲存截斷後卡號又該如何配置呢?

    PCI SSC在 2021 年 2 月發布了 “如果開始用8碼 BIN,要如何滿足 PCI DSS 對支付卡號 (Primary Account Number, PAN) 遮罩及截斷要求” 的 FAQ (請參考 https://www.pcisecuritystandards.org/faqs FAQ #1492),簡述如下:

    1. 遮罩:依據 PCI DSS 要求 3.3,在一般狀況下,針對支付卡僅能顯示前 6 碼及後 4 碼。
      若要超出,如顯示前 8 碼及後 4 碼,則需要有合理的商業考量,並且有文件化的書面文件,內容包含什麼人(或角色)、因為什麼理由而能檢視超過前 6 後 4 的卡號,並需要由該公司高階管理階層核可。
    1. 截斷:依據 PCI DSS 要求 3.4,支付卡號要儲存的時候,必須先將卡號變為不可讀 (Rendered Unreadable),其中一種做法就是卡號截斷 (Truncation)。雖然在 PCI DSS 的 Guidance 中描述一般截斷的格式為前 6 碼 + 後 4 碼,但因為各家卡組織對於截斷方式有不同的規定,因此該文章 (FAQ #1492) 內也附上了另一個 FAQ 編號 1091 “什麼是可接受的卡號截斷格式” 的文章來補充說明 (更新於 2022年1月)。

    所以今年 1 月起,可接受的截斷格式正式修改如下:

    資料來源: https://www.pcisecuritystandards.org/faqs (FAQ 編號 1091)

     

    需注意這次的更新,已不再針對 6 或 8 碼 BIN 區分不同的格式。整體來說:

    1. VISA, Mastercard, JCB, Discover 以及 UnionPay 對於 16 碼卡號都可接受前 8 碼 + 其他任意 4 碼的格式。
    2. American Express 僅接受前 6 碼 + 後 4 碼
    3. 小於 15 碼的 Discover 不論移除幾碼,都是接受前 6 碼 + 其他任意 4 碼的格式。

    同時卡組織也說明,雖然這些是 “可接受” 的截斷格式,但大家還是要以 “最少保存需求” 的角度來考量,不用因為格式異動,就馬上修改自己的系統。

     

    另外提醒與截斷有關的安全保護事項:

    1. 依據 PCI DSS 規範,對於同時會使用 SHA 雜湊方式的系統,保留前 6 後 4,或前 8 後4 都需要注意,對於同時存取到截斷格式跟 SHA 格式後的風險,尤其前 8 後 4 的格式僅移除了 4 碼,所以與 SHA 並存時被測試出正確卡號的機率就會更大。
    2. 對於使用前 8 碼 + 其他任意 4 碼的截斷格式,僅剩下 1000 筆的資料會符合 MOD-10 公式,也就是說這 1000 筆中至少會有一筆是真實卡號,故對於資料庫存取的管制,就需要有更進一步的管制措施或內容檢視的要求,以降低卡號被重新建立、計算出來的風險。

    參考資料:https://www.pcisecuritystandards.org/faqs

    • FAQ No. 1492: How can an entity meet PCI DSS requirements for PAN masking and truncation if it has migrated to 8-digit BINs? (by Feb. 2021)
    • FAQ No. 1091: What are acceptable formats for truncation of primary account numbers? (by Jan. 2022)

    Bryan Cheng

    安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
    • Payment Card Industry Security, IT Security Management, Cloud Service Management
    • 專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

    安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一個專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。


    你可能會喜歡看

    first time PCI DSS Compliance

    PCI DSS 過證懶人包:資安小白也能輕鬆達標

    /
    【PCI DSS 過證懶人包】資安小白也能輕鬆達標 2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成尤其重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會…
    PCI 3DS 驗證 3 步驟_Max

    PCI DSS 認證的流程以及合規費用說明

    /
    PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。
    PCI DSS v4.0

    您適用哪一個 PCI DSS SAQ 類型?

    /
    您適用哪一個 PCI DSS SAQ 類型? PCI DSS Self-Assessment…
    acceptable formats for truncation of primary account numbers pci dss 2021

    2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

    2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
    PCI 3DS 驗證 3 步驟_Max

    PCI DSS 認證的流程以及合規費用說明

    /
    PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。

    集團業務重整 公告

    /
    安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司 Secure Vectors Information Technologies Inc.」
    acceptable formats for truncation of primary account numbers pci dss 2021

    2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

    2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

    Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?

    /
    本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用…

    *如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com

    我們會儘快回覆您的任何問題!

      請輸入右方所示文字 captcha