標籤存檔: pci dss

PCI 3DS 驗證 3 步驟_Max

PCI DSS 認證的流程以及合規費用說明

/0 評論/在: ,

本文提供您 2024 年最新 PCI DSS 認證的標準流程

介紹 PCI DSS 認證等級及相關費用說明

目錄

PCI DSS 標準的說明

Payment Card Industry Data Security Standards (簡稱PCI DSS) 是由多家國際支付卡組織為保障其品牌持卡人資訊安全所訂定的共同產業標準,適用於儲存,處理或傳輸持卡人資訊的所有機構。凡接觸這些品牌支付卡的商戶 (Merchant) 或服務供應商 (Service Provider) 無論其規模大小或交易量多寡,都須依據符合 PCI DSS 安全標準進行對於持卡人資訊的安全保護。

PCI DSS 合規認證標準是由 PCI SSC (Payment Card Industry Security Standard Council) 理事會負責制訂及管理,理事會由創始會員 American Express、Discover Financial Services、JCB、MasterCard 和 Visa Inc. 及策略會員 UnionPay 共六家國際支付卡品牌所組成。

PCI DSS 認證 等級介紹

PCI DSS 合規認證通常被稱為 PCI DSS 審查 (PCI DSS Assessment),依據各卡組織的實施要求,商店 (Merchant) 或服務供應商 (Service Provider) 的等級略有不同,可以分為等級一至四 (Level 1-4) 並各自對應到不同應執行作業。

 

各卡組織對於等級的規定有些許不同,以下為 VISA 卡組織規定為例:

  • 商店等級

PCI DSS Merchant Level 商戶等級_Visa

PCI DSS Merchant Level 商戶等級_Visa

  • 服務供應商等級

PCI DSS Service Provider Level 服務商等級_Visa

PCI DSS Service Provider Level 服務商等級_Visa

其中商店或服務供應商為等級 1 的機構,需要由 QSA (Qualified Security Assessor),也就是 PCI DSS 的核可稽核員進行現場審查後撰寫報告。等級 2-4 的商店或是等級 2 的服務供應商可以使用 PCI DSS SAQ 自我評估表 (Self-Assessment Questionnaire) 由受審的公司/組織自行評估或請 QSA 來協助評估。

商店或服務供應商可以洽你的收單機構來確認你的等級及需要通過的 SAQ 種類。

PCI DSS 認證 時間介紹

一般 PCI DSS 的認證大致可以分為以下階段

PCI DSS 認證 階段 時間

從開始準備到顧問階段,進行審查的時間一般會在 3-5 個月的周期,其中要看接受審查組織的準備程度與系統、營運流程的複雜度而有所不同。

PCI DSS 相關新增費用

系統相關費用

與系統相關的費用增加,由於 PCI DSS 要求高強度的安全保護,例如 One Primary Function Per Server 主機單一功能要求 ( Req. 2.2.3),過往可能 Web Server,Application Server,DB Server 都同時置放在一台主機的必須被拆分至不同主機執行,因此可能多了一些主機設備的需求 (可以使用 Virtual Server),或是透過容器化切割開來 (Containerization)。

另外,由於 PCI DSS 對於安全的要求,要求要建立 DNS Server,NTP Server,FIM Server (File Integrity Management),Log Analysis Service 等安全服務的元件,因此可能較過往多出幾台機器來滿足合規的要求。

安全設備的費用

因應 PCI DSS 的安全要求,可能需要增購一些安全設備;例如防火牆、IPS、IDS、WAF 等安全設備。

資料加密設備費用

PCI DSS 要求對卡資料進行卡號加密的措施,安全等級高,效能需求高的組織會採取使用 HSM (Hardware Secure Module) 硬體加密器的方式,確保卡資料儲存時的安全。

人員訓練相關費用

PCI DSS 要求對於人員的訓練包含認知訓練 (Awareness Training),安全開發訓練 (Secure Coding Training),以及事故反應計畫 (IRP, Incident Response Plan) 的演練等;另外,如果自己執行弱點掃描 (Vulnerability Scan),滲透測試 (Penetration Test) ,內部的執行人員也需要經過足夠的安全技術訓練,因此可能在人員訓練的費用上也會有所增加。

技術檢測費用

PCI DSS 要求多項,定期的技術檢測,包含:

    • 卡號掃描 (Card Number Scanning)

    • 原始碼掃描 (Code Review)

    • 內部弱點掃描 (Internal Vulnerability Scan)

    • 外部弱點掃描 (ASV, External Vulnerability Scan)

    • 內部滲透測試 (Internal Penetration Test)

    • 外部滲透測試 (External Penetration Test)

    • 無線溢波掃描 (Wireless Scan)

這個部分應該會有一些新增的費用支出。

其他費用支出

如果是服務供應商 (Service Provider),收單機構或卡組織會要求進行卡組織服務供應商的登記,例如 VISA 的 VISA SP Registry 或 MasterCard 的 SDP 服務商登記

以一個中小型的服務供應商 (Service Provider) 來做預估,如果過去沒有做過 PCI DSS 的話,一般而言可能多出的費用支出預估條列如下表:

第一次 PCI DSS 可能增加 費用

第一次取得 PCI DSS 可能增加的費用

PCI DSS 認證 費用

除了上述可能的增加費用,還有 PCI DSS 的審查費用,這與  PCI DSS QSA 需要花多少時間來完成審查及報告而定,而預估審查的時間與下列的因素有關:

系統複雜度

主機的數量、系統使用 OS 的種類、系統上的元件 (Component) 安裝的多少,如果同時使用多種的OS ,也有多種安全配置,那麼檢測時的抽樣 (Sampling) 會增加許多。

安全設備及網段

受審查的範圍內部有多少安全設備,例如 Firewall, IPS, IDS, WAF, Switch, Router, SIEM, FIM…等安全設備會有設定、更新、存取控制及Log 等需要被檢查及留存紀錄,因此數量越多,網段規劃越複雜,會需要更多的檢查時間。

連接的收單機構,服務商的多寡

越多的收單機構與服務供應商的連結,會形成較複雜的資料流 (Dataflows),因此需要更多的時間來檢查。

資料庫及卡資料的留存、加密

越多樣的卡資料流程及越多樣的卡資料儲存都會需求更多的加密或安全保護,因此會多出更多的檢查項目。

營運單位數量

門市店點、使用的機房、營運辦公室的數量…等會直接增加審查的天數,例如銀行、電信等有大量門市及辦公室的營運單位,需要進行抽樣的數量更多;另外,如果有存放卡資料的備援機房,一般也會被納入審查範圍。

一般而言,各地區的 PCI DSS 審查的費用不盡相同,因為 PCI SSC 對於各地區的年費不同,各地區的 QSA 審查員的薪資也不同,若以東南亞地區的行情而言,一個中小型的服務商,首次的審查,應該需要 3-5 天的現場審查 (On-site Assessment),及大約一周的報告整理時間,尚且不計入交通的成本的話,PCI DSS 第一次的認證費用會落在 40-60 萬台幣間。但實際的價格仍需依據上述所提的複雜度來估算正確的審查時間需求而定。

           

Vincent Huang

安律國際股份有限公司 PCI QSA 與 資深顧問 – PCI QSA and Senior Consultant

  • IT Security Management, Payment Card Industry Security, Data Center Security and Cloud Security
  • 專業認證:PCI DSS QSA, PCI 3DS Assessor, PIN Security QPA, CISSP, CEH, NSPA, ISMS LA, ITSM LA, Certified CSA STAR Auditor, Europrise Technical Expert’ font_color=” custom_title=” custom_content=” custom_class=” admin_preview_bg=” av_uid=’av-69zvlt’]
安律國際股份有限公司 Secure Vectors Information Technologies Inc.

是專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢及合規審查服務。我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。在美國、英國、中國、日本、新加坡、越南、台灣等地設有服務據點,提供與合規相關的產品服務,包含認證 (合規審查)、合規安全協作代管、合規管理平台及顧問輔導等服務。

*如想了解更多合規服務,歡迎與我們聯繫  service@securevectors.com

我們會儘快回覆您的任何問題!

acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

/0 評論/在: ,

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的 8 碼 BIN (銀行識別碼 Bank Identification Number, 簡稱 BIN ), 支付卡交易相關的上下游公司應該已經收到銀行的通知,要求對系統、交易資料處理甚至簽帳單上的卡號列印格式做好調整。

 

卡組織支持新的BIN 格式後,使用信用卡支付的產業會有哪一些改變呢?

首先,原來已發出的 6 碼 BIN可以繼續使用,但從這個月 (2022 年 4 月) 後新發的 BIN 將以 8 碼為主;目前看起來卡組織還是維持原來的 16 碼卡號 (AE、Discover 才有 15 或低於 15 碼),所以對發卡單位、產製卡系統應該沒有太多的困擾產生。但原來使用卡號第七碼、第八碼做卡片等級、種類等利用模式,就需要重新調整對於 8 碼 BIN 的作業。

但由於 6 碼、8 碼 BIN 是會並存於交易系統及網路中。使用 BIN 來進行繞行 (Routing,透過 BIN 識別發卡行) 的系統如:ATM 系統、交易系統、收單系統,或是支付公司目前用來做自行卡交易繞行 (Routing,依據 BIN 送到自行卡的收單機制) 的功能,必須做好支援 8 碼 BIN 的格式,以避免在 6 碼、8 碼並存的階段發生錯誤。

 

其次對於儲存信用卡資料並使用截斷 (Truncation) 技術作為信用卡資料的保護措施者,在今年 的 1 月,PCI SSC (支付卡產業安全標準委員會 Payment Card Industry Security Standards Council) 有正式發表針各卡組織可接受的新截斷格式,應該也是大家關心的議題。

 

新的 BIN 出來後,必須改變儲存的方式,並考慮到 6 碼、 8 碼並存的情形,那螢幕顯示及儲存截斷後卡號又該如何配置呢?

PCI SSC在 2021 年 2 月發布了 “如果開始用8碼 BIN,要如何滿足 PCI DSS 對支付卡號 (Primary Account Number, PAN) 遮罩及截斷要求” 的 FAQ (請參考 https://www.pcisecuritystandards.org/faqs FAQ #1492),簡述如下:

  1. 遮罩:依據 PCI DSS 要求 3.3,在一般狀況下,針對支付卡僅能顯示前 6 碼及後 4 碼。
    若要超出,如顯示前 8 碼及後 4 碼,則需要有合理的商業考量,並且有文件化的書面文件,內容包含什麼人(或角色)、因為什麼理由而能檢視超過前 6 後 4 的卡號,並需要由該公司高階管理階層核可。
  1. 截斷:依據 PCI DSS 要求 3.4,支付卡號要儲存的時候,必須先將卡號變為不可讀 (Rendered Unreadable),其中一種做法就是卡號截斷 (Truncation)。雖然在 PCI DSS 的 Guidance 中描述一般截斷的格式為前 6 碼 + 後 4 碼,但因為各家卡組織對於截斷方式有不同的規定,因此該文章 (FAQ #1492) 內也附上了另一個 FAQ 編號 1091 “什麼是可接受的卡號截斷格式” 的文章來補充說明 (更新於 2022年1月)。

所以今年 1 月起,可接受的截斷格式正式修改如下:

資料來源: https://www.pcisecuritystandards.org/faqs (FAQ 編號 1091)

 

需注意這次的更新,已不再針對 6 或 8 碼 BIN 區分不同的格式。整體來說:

  1. VISA, Mastercard, JCB, Discover 以及 UnionPay 對於 16 碼卡號都可接受前 8 碼 + 其他任意 4 碼的格式。
  2. American Express 僅接受前 6 碼 + 後 4 碼
  3. 小於 15 碼的 Discover 不論移除幾碼,都是接受前 6 碼 + 其他任意 4 碼的格式。

同時卡組織也說明,雖然這些是 “可接受” 的截斷格式,但大家還是要以 “最少保存需求” 的角度來考量,不用因為格式異動,就馬上修改自己的系統。

 

另外提醒與截斷有關的安全保護事項:

  1. 依據 PCI DSS 規範,對於同時會使用 SHA 雜湊方式的系統,保留前 6 後 4,或前 8 後4 都需要注意,對於同時存取到截斷格式跟 SHA 格式後的風險,尤其前 8 後 4 的格式僅移除了 4 碼,所以與 SHA 並存時被測試出正確卡號的機率就會更大。
  2. 對於使用前 8 碼 + 其他任意 4 碼的截斷格式,僅剩下 1000 筆的資料會符合 MOD-10 公式,也就是說這 1000 筆中至少會有一筆是真實卡號,故對於資料庫存取的管制,就需要有更進一步的管制措施或內容檢視的要求,以降低卡號被重新建立、計算出來的風險。

參考資料:https://www.pcisecuritystandards.org/faqs

  • FAQ No. 1492: How can an entity meet PCI DSS requirements for PAN masking and truncation if it has migrated to 8-digit BINs? (by Feb. 2021)
  • FAQ No. 1091: What are acceptable formats for truncation of primary account numbers? (by Jan. 2022)

Bryan Cheng

安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
  • Payment Card Industry Security, IT Security Management, Cloud Service Management
  • 專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一個專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。

你可能會喜歡看

🔒 微軟釋出重大資安更新:修補 130 項漏洞!

🔒 微軟釋出重大資安更新:修補…

ASV 外部弱點 掃描服務

/
0 評論
親愛的客戶您好,   感謝貴公司長期以來對安律的支持與信任。   即日起,為協助貴公司更有效率地完成每季PCI…

您適用哪一個 PCI DSS SAQ 類型?

/
0 評論
您適用哪一個 PCI DSS SAQ 類型? PCI DSS Self-Assessment…
first time PCI DSS Compliance

【PCI DSS 過證懶人包】資安小白也能輕鬆達標

/
0 評論
【PCI DSS 過證懶人包】資安小白也能輕鬆達標 2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會…
PCI 3DS 驗證 3 步驟_Max

PCI DSS 認證的流程以及合規費用說明

/
0 評論
PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。

如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

【GCP】使用 Google Cloud Build 的要小心了

/
0 評論

【FortiOS】SSL-VPN 重大安全漏洞 (CVE-2023-27997) 你修復了嗎?

/
0 評論
acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

🔒 微軟釋出重大資安更新:修補 130 項漏洞!

🔒 微軟釋出重大資安更新:修補…

ASV 外部弱點 掃描服務

/
0 評論
親愛的客戶您好,   感謝貴公司長期以來對安律的支持與信任。   即日起,為協助貴公司更有效率地完成每季PCI…
first time PCI DSS Compliance

【PCI DSS 過證懶人包】資安小白也能輕鬆達標

/
0 評論
【PCI DSS 過證懶人包】資安小白也能輕鬆達標 2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會…
PCI 3DS 驗證 3 步驟_Max

PCI DSS 認證的流程以及合規費用說明

/
0 評論
PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。

如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

集團業務重整 公告

/
0 評論
安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司 Secure Vectors Information Technologies Inc.」

【GCP】使用 Google Cloud Build 的要小心了

/
0 評論

【FortiOS】SSL-VPN 重大安全漏洞 (CVE-2023-27997) 你修復了嗎?

/
0 評論

金融業上雲大鬆綁!九月新法即將上路,未來將有哪些機會與挑戰?

/
0 評論

*如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com

我們會儘快回覆您的任何問題!

    請輸入右方所示文字 captcha

    PCI 3DS 驗證 3 步驟_Max

    PCI DSS 認證的流程以及合規費用說明

    /0 評論/在: ,

    本文提供您 2024 年最新 PCI DSS 認證的標準流程

    介紹 PCI DSS 認證等級及相關費用說明

    目錄

    PCI DSS 標準的說明

    Payment Card Industry Data Security Standards (簡稱PCI DSS) 是由多家國際支付卡組織為保障其品牌持卡人資訊安全所訂定的共同產業標準,適用於儲存,處理或傳輸持卡人資訊的所有機構。凡接觸這些品牌支付卡的商戶 (Merchant) 或服務供應商 (Service Provider) 無論其規模大小或交易量多寡,都須依據符合 PCI DSS 安全標準進行對於持卡人資訊的安全保護。

    PCI DSS 合規認證標準是由 PCI SSC (Payment Card Industry Security Standard Council) 理事會負責制訂及管理,理事會由創始會員 American Express、Discover Financial Services、JCB、MasterCard 和 Visa Inc. 及策略會員 UnionPay 共六家國際支付卡品牌所組成。

    PCI DSS 認證 等級介紹

    PCI DSS 合規認證通常被稱為 PCI DSS 審查 (PCI DSS Assessment),依據各卡組織的實施要求,商店 (Merchant) 或服務供應商 (Service Provider) 的等級略有不同,可以分為等級一至四 (Level 1-4) 並各自對應到不同應執行作業。

     

    各卡組織對於等級的規定有些許不同,以下為 VISA 卡組織規定為例:

    • 商店等級

    PCI DSS Merchant Level 商戶等級_Visa

    PCI DSS Merchant Level 商戶等級_Visa

    • 服務供應商等級

    PCI DSS Service Provider Level 服務商等級_Visa

    PCI DSS Service Provider Level 服務商等級_Visa

    其中商店或服務供應商為等級 1 的機構,需要由 QSA (Qualified Security Assessor),也就是 PCI DSS 的核可稽核員進行現場審查後撰寫報告。等級 2-4 的商店或是等級 2 的服務供應商可以使用 PCI DSS SAQ 自我評估表 (Self-Assessment Questionnaire) 由受審的公司/組織自行評估或請 QSA 來協助評估。

    商店或服務供應商可以洽你的收單機構來確認你的等級及需要通過的 SAQ 種類。

    PCI DSS 認證 時間介紹

    一般 PCI DSS 的認證大致可以分為以下階段

    PCI DSS 認證 階段 時間

    從開始準備到顧問階段,進行審查的時間一般會在 3-5 個月的周期,其中要看接受審查組織的準備程度與系統、營運流程的複雜度而有所不同。

    PCI DSS 相關新增費用

    系統相關費用

    與系統相關的費用增加,由於 PCI DSS 要求高強度的安全保護,例如 One Primary Function Per Server 主機單一功能要求 ( Req. 2.2.3),過往可能 Web Server,Application Server,DB Server 都同時置放在一台主機的必須被拆分至不同主機執行,因此可能多了一些主機設備的需求 (可以使用 Virtual Server),或是透過容器化切割開來 (Containerization)。

    另外,由於 PCI DSS 對於安全的要求,要求要建立 DNS Server,NTP Server,FIM Server (File Integrity Management),Log Analysis Service 等安全服務的元件,因此可能較過往多出幾台機器來滿足合規的要求。

    安全設備的費用

    因應 PCI DSS 的安全要求,可能需要增購一些安全設備;例如防火牆、IPS、IDS、WAF 等安全設備。

    資料加密設備費用

    PCI DSS 要求對卡資料進行卡號加密的措施,安全等級高,效能需求高的組織會採取使用 HSM (Hardware Secure Module) 硬體加密器的方式,確保卡資料儲存時的安全。

    人員訓練相關費用

    PCI DSS 要求對於人員的訓練包含認知訓練 (Awareness Training),安全開發訓練 (Secure Coding Training),以及事故反應計畫 (IRP, Incident Response Plan) 的演練等;另外,如果自己執行弱點掃描 (Vulnerability Scan),滲透測試 (Penetration Test) ,內部的執行人員也需要經過足夠的安全技術訓練,因此可能在人員訓練的費用上也會有所增加。

    技術檢測費用

    PCI DSS 要求多項,定期的技術檢測,包含:

      • 卡號掃描 (Card Number Scanning)

      • 原始碼掃描 (Code Review)

      • 內部弱點掃描 (Internal Vulnerability Scan)

      • 外部弱點掃描 (ASV, External Vulnerability Scan)

      • 內部滲透測試 (Internal Penetration Test)

      • 外部滲透測試 (External Penetration Test)

      • 無線溢波掃描 (Wireless Scan)

    這個部分應該會有一些新增的費用支出。

    其他費用支出

    如果是服務供應商 (Service Provider),收單機構或卡組織會要求進行卡組織服務供應商的登記,例如 VISA 的 VISA SP Registry 或 MasterCard 的 SDP 服務商登記

    以一個中小型的服務供應商 (Service Provider) 來做預估,如果過去沒有做過 PCI DSS 的話,一般而言可能多出的費用支出預估條列如下表:

    第一次 PCI DSS 可能增加 費用

    第一次取得 PCI DSS 可能增加的費用

    PCI DSS 認證 費用

    除了上述可能的增加費用,還有 PCI DSS 的審查費用,這與  PCI DSS QSA 需要花多少時間來完成審查及報告而定,而預估審查的時間與下列的因素有關:

    系統複雜度

    主機的數量、系統使用 OS 的種類、系統上的元件 (Component) 安裝的多少,如果同時使用多種的OS ,也有多種安全配置,那麼檢測時的抽樣 (Sampling) 會增加許多。

    安全設備及網段

    受審查的範圍內部有多少安全設備,例如 Firewall, IPS, IDS, WAF, Switch, Router, SIEM, FIM…等安全設備會有設定、更新、存取控制及Log 等需要被檢查及留存紀錄,因此數量越多,網段規劃越複雜,會需要更多的檢查時間。

    連接的收單機構,服務商的多寡

    越多的收單機構與服務供應商的連結,會形成較複雜的資料流 (Dataflows),因此需要更多的時間來檢查。

    資料庫及卡資料的留存、加密

    越多樣的卡資料流程及越多樣的卡資料儲存都會需求更多的加密或安全保護,因此會多出更多的檢查項目。

    營運單位數量

    門市店點、使用的機房、營運辦公室的數量…等會直接增加審查的天數,例如銀行、電信等有大量門市及辦公室的營運單位,需要進行抽樣的數量更多;另外,如果有存放卡資料的備援機房,一般也會被納入審查範圍。

    一般而言,各地區的 PCI DSS 審查的費用不盡相同,因為 PCI SSC 對於各地區的年費不同,各地區的 QSA 審查員的薪資也不同,若以東南亞地區的行情而言,一個中小型的服務商,首次的審查,應該需要 3-5 天的現場審查 (On-site Assessment),及大約一周的報告整理時間,尚且不計入交通的成本的話,PCI DSS 第一次的認證費用會落在 40-60 萬台幣間。但實際的價格仍需依據上述所提的複雜度來估算正確的審查時間需求而定。

               

    Vincent Huang

    安律國際股份有限公司 PCI QSA 與 資深顧問 – PCI QSA and Senior Consultant

    • IT Security Management, Payment Card Industry Security, Data Center Security and Cloud Security
    • 專業認證:PCI DSS QSA, PCI 3DS Assessor, PIN Security QPA, CISSP, CEH, NSPA, ISMS LA, ITSM LA, Certified CSA STAR Auditor, Europrise Technical Expert’ font_color=” custom_title=” custom_content=” custom_class=” admin_preview_bg=” av_uid=’av-69zvlt’]
    安律國際股份有限公司 Secure Vectors Information Technologies Inc.

    是專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢及合規審查服務。我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。在美國、英國、中國、日本、新加坡、越南、台灣等地設有服務據點,提供與合規相關的產品服務,包含認證 (合規審查)、合規安全協作代管、合規管理平台及顧問輔導等服務。

    *如想了解更多合規服務,歡迎與我們聯繫  service@securevectors.com

    我們會儘快回覆您的任何問題!

    acceptable formats for truncation of primary account numbers pci dss 2021

    2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

    /在: ,

    2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的 8 碼 BIN (銀行識別碼 Bank Identification Number, 簡稱 BIN ), 支付卡交易相關的上下游公司應該已經收到銀行的通知,要求對系統、交易資料處理甚至簽帳單上的卡號列印格式做好調整。

     

    卡組織支持新的BIN 格式後,使用信用卡支付的產業會有哪一些改變呢?

    首先,原來已發出的 6 碼 BIN可以繼續使用,但從這個月 (2022 年 4 月) 後新發的 BIN 將以 8 碼為主;目前看起來卡組織還是維持原來的 16 碼卡號 (AE、Discover 才有 15 或低於 15 碼),所以對發卡單位、產製卡系統應該沒有太多的困擾產生。但原來使用卡號第七碼、第八碼做卡片等級、種類等利用模式,就需要重新調整對於 8 碼 BIN 的作業。

    但由於 6 碼、8 碼 BIN 是會並存於交易系統及網路中。使用 BIN 來進行繞行 (Routing,透過 BIN 識別發卡行) 的系統如:ATM 系統、交易系統、收單系統,或是支付公司目前用來做自行卡交易繞行 (Routing,依據 BIN 送到自行卡的收單機制) 的功能,必須做好支援 8 碼 BIN 的格式,以避免在 6 碼、8 碼並存的階段發生錯誤。

     

    其次對於儲存信用卡資料並使用截斷 (Truncation) 技術作為信用卡資料的保護措施者,在今年 的 1 月,PCI SSC (支付卡產業安全標準委員會 Payment Card Industry Security Standards Council) 有正式發表針各卡組織可接受的新截斷格式,應該也是大家關心的議題。

     

    新的 BIN 出來後,必須改變儲存的方式,並考慮到 6 碼、 8 碼並存的情形,那螢幕顯示及儲存截斷後卡號又該如何配置呢?

    PCI SSC在 2021 年 2 月發布了 “如果開始用8碼 BIN,要如何滿足 PCI DSS 對支付卡號 (Primary Account Number, PAN) 遮罩及截斷要求” 的 FAQ (請參考 https://www.pcisecuritystandards.org/faqs FAQ #1492),簡述如下:

    1. 遮罩:依據 PCI DSS 要求 3.3,在一般狀況下,針對支付卡僅能顯示前 6 碼及後 4 碼。
      若要超出,如顯示前 8 碼及後 4 碼,則需要有合理的商業考量,並且有文件化的書面文件,內容包含什麼人(或角色)、因為什麼理由而能檢視超過前 6 後 4 的卡號,並需要由該公司高階管理階層核可。
    1. 截斷:依據 PCI DSS 要求 3.4,支付卡號要儲存的時候,必須先將卡號變為不可讀 (Rendered Unreadable),其中一種做法就是卡號截斷 (Truncation)。雖然在 PCI DSS 的 Guidance 中描述一般截斷的格式為前 6 碼 + 後 4 碼,但因為各家卡組織對於截斷方式有不同的規定,因此該文章 (FAQ #1492) 內也附上了另一個 FAQ 編號 1091 “什麼是可接受的卡號截斷格式” 的文章來補充說明 (更新於 2022年1月)。

    所以今年 1 月起,可接受的截斷格式正式修改如下:

    資料來源: https://www.pcisecuritystandards.org/faqs (FAQ 編號 1091)

     

    需注意這次的更新,已不再針對 6 或 8 碼 BIN 區分不同的格式。整體來說:

    1. VISA, Mastercard, JCB, Discover 以及 UnionPay 對於 16 碼卡號都可接受前 8 碼 + 其他任意 4 碼的格式。
    2. American Express 僅接受前 6 碼 + 後 4 碼
    3. 小於 15 碼的 Discover 不論移除幾碼,都是接受前 6 碼 + 其他任意 4 碼的格式。

    同時卡組織也說明,雖然這些是 “可接受” 的截斷格式,但大家還是要以 “最少保存需求” 的角度來考量,不用因為格式異動,就馬上修改自己的系統。

     

    另外提醒與截斷有關的安全保護事項:

    1. 依據 PCI DSS 規範,對於同時會使用 SHA 雜湊方式的系統,保留前 6 後 4,或前 8 後4 都需要注意,對於同時存取到截斷格式跟 SHA 格式後的風險,尤其前 8 後 4 的格式僅移除了 4 碼,所以與 SHA 並存時被測試出正確卡號的機率就會更大。
    2. 對於使用前 8 碼 + 其他任意 4 碼的截斷格式,僅剩下 1000 筆的資料會符合 MOD-10 公式,也就是說這 1000 筆中至少會有一筆是真實卡號,故對於資料庫存取的管制,就需要有更進一步的管制措施或內容檢視的要求,以降低卡號被重新建立、計算出來的風險。

    參考資料:https://www.pcisecuritystandards.org/faqs

    • FAQ No. 1492: How can an entity meet PCI DSS requirements for PAN masking and truncation if it has migrated to 8-digit BINs? (by Feb. 2021)
    • FAQ No. 1091: What are acceptable formats for truncation of primary account numbers? (by Jan. 2022)

    Bryan Cheng

    安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
    • Payment Card Industry Security, IT Security Management, Cloud Service Management
    • 專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

    安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一個專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。

    你可能會喜歡看

    🔒 微軟釋出重大資安更新:修補 130 項漏洞!

    🔒 微軟釋出重大資安更新:修補…

    ASV 外部弱點 掃描服務

    /
    0 評論
    親愛的客戶您好,   感謝貴公司長期以來對安律的支持與信任。   即日起,為協助貴公司更有效率地完成每季PCI…

    您適用哪一個 PCI DSS SAQ 類型?

    /
    0 評論
    您適用哪一個 PCI DSS SAQ 類型? PCI DSS Self-Assessment…
    first time PCI DSS Compliance

    【PCI DSS 過證懶人包】資安小白也能輕鬆達標

    /
    0 評論
    【PCI DSS 過證懶人包】資安小白也能輕鬆達標 2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會…
    PCI 3DS 驗證 3 步驟_Max

    PCI DSS 認證的流程以及合規費用說明

    /
    0 評論
    PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。

    如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

    【GCP】使用 Google Cloud Build 的要小心了

    /
    0 評論

    【FortiOS】SSL-VPN 重大安全漏洞 (CVE-2023-27997) 你修復了嗎?

    /
    0 評論
    acceptable formats for truncation of primary account numbers pci dss 2021

    2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

    2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

    🔒 微軟釋出重大資安更新:修補 130 項漏洞!

    🔒 微軟釋出重大資安更新:修補…

    ASV 外部弱點 掃描服務

    /
    0 評論
    親愛的客戶您好,   感謝貴公司長期以來對安律的支持與信任。   即日起,為協助貴公司更有效率地完成每季PCI…
    first time PCI DSS Compliance

    【PCI DSS 過證懶人包】資安小白也能輕鬆達標

    /
    0 評論
    【PCI DSS 過證懶人包】資安小白也能輕鬆達標 2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會…
    PCI 3DS 驗證 3 步驟_Max

    PCI DSS 認證的流程以及合規費用說明

    /
    0 評論
    PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。

    如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

    集團業務重整 公告

    /
    0 評論
    安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司 Secure Vectors Information Technologies Inc.」

    【GCP】使用 Google Cloud Build 的要小心了

    /
    0 評論

    【FortiOS】SSL-VPN 重大安全漏洞 (CVE-2023-27997) 你修復了嗎?

    /
    0 評論

    金融業上雲大鬆綁!九月新法即將上路,未來將有哪些機會與挑戰?

    /
    0 評論

    *如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com

    我們會儘快回覆您的任何問題!

      請輸入右方所示文字 captcha

      PCI DSS V4.0 您準備好了嗎?-研討會簡報檔案

      /在:
      閱讀更多
      8/17 安律信息線上研討會【 PCI DSS v4.0 您準備好了嗎 ?】

      PCI DSS v4.0 您準備好了嗎?

      /在:

      PCI DSS v4.0 預計在 2022 年第一季發布實施,對於需要通過 PCI DSS 審查的單位將面臨新的標準的要求,針對這些新的改變,您準備好了嗎 ?

      企業最常問的問題是:「新版上路後,我們什麼時候要適用新版要求 ?」,「新版需要準備甚麼東西 ?」,「聽說新版有很多技術的新規定 ?」,「v4.0 與 v3.2.1 有何不同 ?」

      安律信息的顧問群將透過舉辦一系列 PCI DSS 4.0 線上說明會來為大家解答說明 v4.0合規的問題。有 PCI DSS 合規需求的朋友請立刻報名,來取得第一手的資訊分享!

      線上研討會資訊

      PCI DSS 4.0, PCI DSS v4.0

      2021.8.17 (二)
      下午 15:00 ~ 16:30

       

      本次的 PCI DSS 4.0 線上研討會,還特別邀請 Google Cloud 來分享

      雲端服務與 GCP 合規

      因應新版 PCI DSS v4.0 合規準備

      雲端服務與GCP合規分享

      安律合規服務

       

      議程表

       

      註冊報名 PCI DSS 4.0 線上研討會

       

      感謝大家熱烈支持,本次研討會席次已爆滿,

      向隅的朋友歡迎加入粉絲團,隨時關注最新訊息及活動!

      安律信息技術 Secure Vectors Information Technologies Inc.

      安律信息技術 Secure Vectors Information Technologies Inc.

      Facebook 粉絲頁

      LinkedIN

      注意事項

      • 安律信息技術有限公司為辦理相關研討會議,將蒐集您的公司名稱、部門、職稱、姓名、連絡電話、電子郵件等個人資料 (C001 辨識個人者、C061 現行之受僱情形),以在會議時所需期間及地區,進行必要之通知聯繫,並提供給相關單位進行作業,如您未能完整填寫,將會影響後續之相關通知。您得行使個人資料保護法第三條所賦予之權利,如有相關問題請洽安律客服專線 (02) 3393-1006。
      • 主辦單位保留議程、主講人、精美小贈品變更之權利及報名資格審核權,請勿偽造他人身分資料以免觸犯法律。最新議程及其他活動規則請以報名網頁之說明為準。
      • 凡符合得獎資格之參與來賓資料以網⾴報名時所登載內容為準,若因資料填寫不正確造成主辦單位無法聯繫其本人、或精美小贈品無法準確送達等情事,則視為⾃動棄權,獎項將不另外補發。贈品⼀經寄送後,如有遺失、損毀等情事發⽣,主辦單位不負補發之責。

      你可能會喜歡看

      🔒 微軟釋出重大資安更新:修補 130 項漏洞!

      🔒 微軟釋出重大資安更新:修補…

      ASV 外部弱點 掃描服務

      /
      0 評論
      親愛的客戶您好,   感謝貴公司長期以來對安律的支持與信任。   即日起,為協助貴公司更有效率地完成每季PCI…

      您適用哪一個 PCI DSS SAQ 類型?

      /
      0 評論
      您適用哪一個 PCI DSS SAQ 類型? PCI DSS Self-Assessment…
      first time PCI DSS Compliance

      【PCI DSS 過證懶人包】資安小白也能輕鬆達標

      /
      0 評論
      【PCI DSS 過證懶人包】資安小白也能輕鬆達標 2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會…
      PCI 3DS 驗證 3 步驟_Max

      PCI DSS 認證的流程以及合規費用說明

      /
      0 評論
      PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。

      如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

      【GCP】使用 Google Cloud Build 的要小心了

      /
      0 評論

      【FortiOS】SSL-VPN 重大安全漏洞 (CVE-2023-27997) 你修復了嗎?

      /
      0 評論
      acceptable formats for truncation of primary account numbers pci dss 2021

      2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

      2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

      🔒 微軟釋出重大資安更新:修補 130 項漏洞!

      🔒 微軟釋出重大資安更新:修補…

      ASV 外部弱點 掃描服務

      /
      0 評論
      親愛的客戶您好,   感謝貴公司長期以來對安律的支持與信任。   即日起,為協助貴公司更有效率地完成每季PCI…
      first time PCI DSS Compliance

      【PCI DSS 過證懶人包】資安小白也能輕鬆達標

      /
      0 評論
      【PCI DSS 過證懶人包】資安小白也能輕鬆達標 2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會…
      PCI 3DS 驗證 3 步驟_Max

      PCI DSS 認證的流程以及合規費用說明

      /
      0 評論
      PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。

      如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

      集團業務重整 公告

      /
      0 評論
      安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司 Secure Vectors Information Technologies Inc.」

      【GCP】使用 Google Cloud Build 的要小心了

      /
      0 評論

      【FortiOS】SSL-VPN 重大安全漏洞 (CVE-2023-27997) 你修復了嗎?

      /
      0 評論

      金融業上雲大鬆綁!九月新法即將上路,未來將有哪些機會與挑戰?

      /
      0 評論

      誰需要通過 PCI DSS 的審查呢 ? Part 2

      /在:

      在 PCI SSC 定義的特約商店,是「接受消費者使用 PCI SSC 五大品牌的信用卡來提供商品或服務的付款」,所以針對特約商店的合規性,就會有相對應的規範了。以下針對特約商店的等級及相關要求 (以 VISA 為例) 進行說明:

      閱讀更多