您适用哪一个 PCI DSS SAQ 类型?

您适用哪一个 PCI DSS SAQ 类型?

PCI DSS Self-Assessment Questionnaire (以下简称SAQ) 是用来检视支付系统合规状态的自我评估表,适用于特约商店等级 2-4 及服务供应商等级 2。
为了 PCI DSS 规范所设计的问卷,用来评估组织是否符合各项要求,以 Visa 规定为例,特约商店每年度总交易量在600万笔以下,或服务供应商每年度交易数在30万笔以下适用。

Table of Contents

PCI DSS SAQ 自我评估五个步骤

  1. 选择适用你的 SAQ 类型。
  2. 确认您的 PCI DSS 环境范围是否正确。
  3. 自我评估是否符合 PCI DSS 相关条文要求。
  4. 填写 SAQ 文件,包含评估资讯、自评问卷及细节证明。
  5. 提交 SAQ 的评估结果、Attestation of Compliance (AOC) 文件给提出要求的组织 (收单机构)。
以上,最重要的是,选择适用你的 SAQ 类型!
 
以电子商务为例,可能适用以下三种版本:

服务商

仅适用SAQ D for Service Provider 版本,除了包含SAQ D for Merchant 所要求的项目外,另外增加是否有文件及提供给客户、政策程序检查、配置检查、有无告警、渗透测试纪录等类型项目,多达259 个问题。

商戶

  1. SAQ A

    当你的支付系统为完全委外服务供应商 (如,支付页使用URL Redirect、iFrame方式)。 SAQ A需确认内容可分为检查文件、检查配置、检查政策程序、检查资料的保存与移除、外部弱点扫描报告等,此版本为所有SAQ 版本中最短,只有 29 个问题。
  1. SAQ A-EP

    当你的支付系统为委外服务供应商处理,且支付页面为自行建置。 SAQ A-EP需确认内容,除了上述SAQ A 项目之外,另外还增加了网路管理、主机管理、资料安全、弱点管理、存取控制、定期监控及测试网路等的部分,要求项目将会因为现行系统参与了部分的支付服务而有大幅度的增加。
  1. SAQ D for Merchant

    当你的支付系统为自行建置,或在交易的过程中以电子形式储存任何持卡人资料时。 SAQ D for Merchant 确认内容较上述SAQ A-EP 条文包含更广,适用 PCI DSS 中 Merchant 所有要求。
PCI DSS SAQ 共有10 种不同类型,各类型的判断基准,是依据你所提供支付服务的不同而对应不同类型,通常是透过收单机构告知,或藉由QSA 协助检视CDE (Cardholder Data Environment) 环境、持卡人资料(如卡号) 的相关作业流程及资料流程等,来准确地判断适用类型,或先参考下方 PCI DSS SAQ 类型说明 来做简易判断。
建议:PCI DSS SAQ 是需要每年定期进行评估及更新,若您尚未具备PCI DSS 相关知识或需要了解更详细的SAQ 类型差异,可直接寻求QSA 或QSAC 的专业意见,以有效且准确地达成PCI DSS合规。
first time PCI DSS Compliance

【PCI DSS 过证懒人包】资安小白也能轻松达标

【PCI DSS 过证懒人包】资安小白也能轻松达标

2024年电商、远程工作及外送平台消费等等型态持续成长,加速跨境交易和线上支付的使用率,支付卡资讯安全变成尤其重要。为了确保消费者的个人资料不被盗取或滥用,支付卡产业安全标准协会(简称 PCI SSC) 规定,凡储存、处理或传输持卡人资讯的所有机构,都必需遵守 PCI DSS 合规要求,简单来说,PCI DSS 合规中12个主要要求及其子要求的种种安全控制措施,最终目的是为了保护持卡人的信用卡资料。

当您被收单机构或主管要求 PCI DSS 取证,却不知道该怎么做时,最想问的五大问题 (2W3H)

目錄

What - 什么是 PCI DSS ?

PCI DSS 是 Payment Card Industry Data Security Standards 的缩写,是由国际组织 Payment Card Industry Security Standard Council (以下简称PCI SSC) ,负责制定及管理 PCI DSS 安全标准,这是一套关于支付卡资讯安全的标准,旨在保护持卡人数据免受未经授权的访问及不当使用。

PCI SSC 是多家主要国际信用卡组织,成员包含 American Express、Discover Financial Services、JCB、MasterCard、Visa Inc. 和中国银联。 PCI DSS 安全标准内容针对处理这些品牌的持卡人资讯安全所订定的共同产业标准,适用于储存,处理或传输持卡人资讯的所有机构。接触这些品牌的支付卡的商户 (Merchant) 或服务商 (Service Provider),无论其规模大小或交易量多寡,都须依据并符合 PCI DSS 安全标准进行对于持卡人资讯的安全保护。

Who - 谁需要? 谁可协助?

谁需要通过 PCI DSS 的审查?

凡储存、处理或传输持卡人资讯的所有机构,都必需遵守 PCI DSS 合规要求。
依机构如何储存、处理或传输持卡人资讯方式,分为不同类别及等级,故首先,需要判断是商户 (Merchant) 还是服务商 (Service Provider)。

商户是接受支付卡付款,以换取产品或服务的组织,故一般接受信用卡消费的商户、线上商户,包含提供下载的虚拟商品或服务、大型百货公司,都属于商户。

服务商是因所提供的服务会传输、处理或储存(Transmit, Process, Store) 支付卡持卡人资料,或是提供的服务可以控制或影响持卡人资料的安全,例如第三方支付公司、代收代付业者提供金流服务、钱包服务商、线上商城;另外,提供虚拟主机服务的 Data Center 及云端服务供应商等,都归类于服务商。

判定是商户还是服务商后,便可再进一步判定 PCI DSS等级。

等级一 – 商户及服务商

需由 QSA (Qualified Security Assessor)  也是 PCI DSS 的核可稽核员进行现场审查,完成后提供报告。

等级二至四 – 商户及等级二的服务商

可使用 PCI DSS Self-Assessment Questionnaire (以下简称 SAQ) 自行评估,或由 QSA 来协助,可更快速准确地完成评估。

请参考:您适用哪一个 PCI DSS SAQ 类型?

谁可协助通过 PCI DSS 的审查?

特别是对于等级一的商户或服务商,第一次 PCI DSS 审查过证建议借助专业人员的辅导说明。

QSA (Qualified Security Assessor)

QSA 是由 PCI 安全标准委员会授权的专业人员,经过训练和认证,执行 PCI DSS 审查并提供合规报告 (ROC) 和合规证明 (AOC),QSA 需要定期且即时接受 PCI DSS 版本更新的认证。若您的商户或服务商为等级一,必须由 QSA 进行现场审查。

QSAC (Qualified Security Assessor Company)

QSAC 聘请 QSA,提供专业的审查和辅导服务,帮助您理解 PCI DSS 的具体条文,指导如何建立一个安全的支付环境。

如何选择 QSA 及 QSAC ?

  1. 您可以透过 [PCI 安全标准委员会官网] 查找经过认证的 QSA 或 QSAC。
  2. 咨询同业或合作伙伴:询问其他已经完成 PCI DSS 审查的公司,了解他们的经验和推荐。
  3. 评价和案例分析:查看潜在 QSA 或 QSAC 的客户评价和案例分析,确保他们有相关的经验和专业知识。
  4. 咨询服务:与多个 QSA 或 QSAC 进行初步咨询,了解他们的服务范围、收费标准和工作流程。通过这些步骤,希望您可以找到适合的 QSA 或 QSAC 帮助您完成 PCI DSS 审查,确保支付环境安全和合规:

How - 该怎么做?

PCI DSS 合规认证通常分为四大阶段:

1. 准备阶段:验证环境确认和顾问阶段

**验证环境确认**

– 初步评估:对现有的安全措施进行初步评估,识别差距及需调整的地方。
– 定义审查范围:确定需要符合 PCI DSS 标准的系统、网路和应用。

**顾问阶段**

– 聘请顾问或 QSA:选择合适的 QSA 或 QSAC 来协助上述之验证环境确认,后续整改过程辅导及审查安排等。
– 安全训练:为员工提供相关的安全训练,提高整体安全意识。

2. 资料准备阶段:准备和实施必要的控制措施

**资料准备**

– 政策和程式:制定和更新安全政策、操作程式,确保符合 PCI DSS 要求。
– 文件收集:收集和整理所有需要的文件和证据,以证明合规性。

3. 审查阶段:QSA 进行现场审查

**审查执行**

– 内部审查:在正式审查之前进行内部自查,确保所有问题在正式审查前得到解决。
– 现场审查:由 QSA 进行现场审查,验证实际操作与文件的一致性。

4. 报告阶段:QSA 准备并提交合规报告和证明

**报告和认证**

– 报告编写:QSA 编写 ROC (Report on Compliance) 和 AOC (Attestation of Compliance) 报告。
– 报告提交:您可将报告提交给于卡组织或收单机构。
– 认证颁发:收到合规证明,表明公司符合 PCI DSS 标准。

PCI DSS 認證 階段 時間

How long - 该花多少时间?

PCI DSS 合规认证,从一开始的验证环境确认到最后提供报告的整体认证所需时程,一般预估为三至五个月可完成认证,以下是合规认证的主要阶段及各阶段的描述:

  1. 准备阶段 (1-2 个月):包括验证环境确认和顾问阶段。
  2. 资料准备阶段 (1 个月):准备和实施必要的控制措施。
  3. 审查阶段 (5-7天):QSA 进行现场审查。
  4. 报告阶段 (0.5-1 个月):QSA 准备并提交合规报告和证明。

实际所需时间可能会因以下因素而有所不同: – 准备程度:若组织认证前的准备工作充分或有较好的安全基础,认证过程可能更快。 – 系统和营运流程的复杂度:IT 环境、网路架构和营运流程的复杂性会影响认证的进度。 – 资源投入:公司投入的资源(包括人力、时间和预算)以及专案管理的效率。

为了确保认证过程顺利进行,建议: – 提前准备:尽早开始准备工作,尤其是文件和政策的整理。 – 有效沟通:在整个认证过程中,与 QSA 保持紧密沟通,及时解决发现的问题。 – 持续改进:认证后,继续维持和改进安全措施,确保长期符合 PCI DSS 要求。

How much - 该花多少钱?

第一次为了符合 PCI DSS 的要求,企业须考量可能新增的软硬体项目,条列费用如下:

  1. 系统相关费用

    拆分主机至不同功能,如 Web Server、Application Server、DB Server,可能需要增加设备或使用虚拟伺服器。此外,需设立 NTP Server、FIM Server 和 Log Server 等安全服务元件。

  2. 安全设备费用

    增购网路安全控制设备 (NSCs),如防火墙、、入侵侦测防御系统 (IPS、IDS)、网页应用防火墙 (WAF) 等。

  3. 资料加密设备费用

    对卡资料进行卡号加密,可能需采用 HSM 硬体加密器以确保安全。

  4. 人员训练费用

    PCI DSS 要求进行认知训练、安全编程训练和事故应对计划演练等,内部人员需接受足够的安全技术训练。

  5. 技术检测费用

    定期进行内外部弱点扫描、渗透测试、无线溢波扫描、卡号扫描和源码扫描等。

  6. 其他费用支出

    服务商需进行卡组织服务供应商的登记,如 VISA 和 MasterCard 的登记。


除了上述可能的增加费用,还有 PCI DSS 的审查认证费用,这与PCI DSS QSA 需要花多少时间来完成审查及编写报告而定。

不管您是跨境线上购物业者、第三方支付平台或服务商,遵守 PCI DSS 合规要求非常重要,透过执行合规要求措施,不仅仅是交给收单机构及主管一张合规证书,也直接帮助您的企业减少资料泄漏和盗窃的风险,同时提升消费者对其交易安全的信心。

PCI DSS 合规条文共有400多项,从认识、理解、提供证据到合规取证,取证后又该如何持续合规状态…?

建议可考虑聘请QSAC帮助您短期内快速有效达到合规要求,取证后再藉由合规管理系统,利用自动监测、告警、定期缴交资料及即时可视化状态…等功能,让您的企业时时刻刻合规、安全!

 
*如想了解更多合规服务,欢迎联系我们

如何达成 PCI DSS v4.0 条文中 12.4.2 针对服务供应商的额外要求?

1

服务供货商 (Service Providers) 每季需依据 PCI DSS v4.0 – 12.4.2 条文( PCI DSS v3.2.1 – 12.11 ) 确认公司的安全政策、程序等,是被实质上执行且进行定期各项控制措施检查。

 

PCI DSS v4.0 – 12.4.2条文中,列举了五项检查项目,包含但不限于:

a) 每日日誌審核

每三個月執行日誌審查,確保審查作業如期完成。

在 PCI DSS v4.0 的要求中,以 “自動化方式” 執行審查為主,故在環境中建議配置如 SIEM、Log Analyzer 等機制,確保標的日誌自動化執行定期審查。

b) 網路安全控制的配置審核

針對網路安全控制設備 (如防火牆),每半年需進行 Rule-set 審查。

確認相關人員是否執行定期作業;Rule-set 的申請作業是否遵循公司規定,執行核准及相關測試等等。

c) 在新加入的系統、設備應用配置標準

環境中若有新增系統設備,需套用已建立完善的配置標準並於每季執行網路設備、主機環境 (作業系統)、資料庫…等等檢查。

d) 回應安全警報

各類安全事件告警,是否依照公司規定的事件/事故回應流程 (如 Incident Response Plan, IRP) 進行處理及回應。

e) 變更管理程序

各類系統設備、應用系統,若有變更、部署的需求,應遵循公司規定的部署/發布流程進行。

 

在 PCI DSS v4.0 12.4.2.1 条文中,也要求:

  1. 上述审查,需留下审查纪录。
  2. 若有未审查、未符合事项,需提供强化或补偿措施。
  3. 需对公司 PCI DSS 合规的专责人员 (如合规主责窗口、高阶主管指派的专责人员、PM 等) 进行审查并签署。

 

简言之,PCI DSS v4.0 12.4.2 条文主要要求「遵循性」,专责人员需将已订立的各项措施、流程、政策等,确实地执行并定期检查,使公司的合规作业更趋完整及稳定。

【GCP】使用 GCP 的 CI/CD 服务 Google Cloud Build 要小心了!

Sequoia 漏洞 (CVE-2021-33909),听听 PCI DSS 专家怎么说 ?

資訊資訊

  • 作业系统帐户的安全性 (PCI DSS Req. 2.1) – 验证本机的所有不必要的预设帐户已被删除或停用。检查目前所有的机器预设帐户是否已被删除或停用,可检查 /etc/password 内的帐户设定是否已删除或是配置 nologin,避免不必要使用者可登入进行恶意漏洞利用攻击。
  • 重大风险应于 30 天内完成 Patch 更新 (PCI DSS Req. 6.2) – 安装适用的供应商安全补丁,确保所有系统组件和软件免受已知漏洞的影响。如供应商发布 Patch 后,应在发布后的一个月内安装关键的安全补丁。

检查目前作业系统供应商是否有释出相关 Patch,并尽可能安排时间于一个月内完成作业系统 Patch。如作业系统供应商尚未发布 Patch 则应实施缓解措施。

目前各家系统提供商正如火如荼的发布更新 Patch 来解决这次由 Qualys 安全研究团队所发布的漏洞 (CVE-2021-33909)。目前收集的风险判定 Patch 参考清单可参考下方整理表格:

                         來源                         风险等级
NESSUS https://www.tenable.com/cve/CVE-2021-33909NO SCORE
NIST NVD https://nvd.nist.gov/vuln/detail/CVE-2021-33909N/A
Redhat https://access.redhat.com/security/cve/cve-2021-33909CVSS (v3) 7.0
CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33909Source:· MITRE

Qualys 安全研究团队目前已经验证了成功取得 root 权限的漏洞作业系统包含 Ubuntu 20.04、Ubuntu 20.10、Ubuntu 21.04、Debian 11 和 Fedora 34 Workstation 等。而其他的 Linux 作业系统也可能因为这次的漏洞产生恶意利用攻击。Linux Server 版本所对应的安全补丁整理:

                          作业系统                          安全补丁连结
Redhathttps://access.redhat.com/security/cve/cve-2021-33909
CentOS尚未發布
SUSEhttps://www.suse.com/security/cve/CVE-2021-33909.html
ubuntuhttps://ubuntu.com/security/CVE-2021-33909

如 Patch 尚未出现,可先采用的缓解做法。

sysctl kernel.unprivileged_userns_clone=1   # 将 unprivileged_userns_clone 设定为 0

sysctl kernel.unprivileged_bpf_disabled=1   # 将 unprivileged_bpf_disabled 设定为 1

技术细节请看:https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-privilege-escalation-linux.txt


Max Tsai

安律信息技术公司 PCI 资深合规 QSA 与 顾问 - PCI QSA and Senior Consultant

• Payment Card Industry Security, IT Security Management, Cloud Service Management
• 专业认证:PCI DSS QSA, CISSP, ISO27001 LA


安律信息技术有限公司 Secure Vectors Information Technologies Inc., 是一家专门从事支付产业安全管理服务的公司,包含技术检测、顾问咨询以即合规审查服务。我们的服务范围包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡产业安全标准并提供个人资料保护及 GDPR 适法性查检与顾问服务。 安律信息技术在美国、中国、新加坡、越南、台湾等地设有服务据点,提供完整的服务。与合规相关的产品包含认证服务(合规审查)、合规安全代管以及合规管理平台等服务。

* 如想了解更多合规服务,欢迎与我们联系 service@securevectors.com


你可能会喜欢看

您适用哪一个 PCI DSS SAQ 类型?

/
您适用哪一个 PCI DSS SAQ 类型? PCI DSS Self-Assessment…
first time PCI DSS Compliance

【PCI DSS 过证懒人包】资安小白也能轻松达标

/
【PCI DSS 过证懒人包】资安小白也能轻松达标 2024年电商、远程工作及外送平台消费等等型态持续成长,加速跨境交易和线上支付的使用率,支付卡资讯安全变成尤其重要。为了确保消费者的个人资料不被盗取或滥用,支付卡产业安全标准协会(简称…

如何达成 PCI DSS v4.0 条文中 12.4.2 针对服务供应商的额外要求?

/
1 服务供货商 (Service Providers) 每季需依据 PCI…

Sequoia 漏洞 (CVE-2021-33909),听听 PCI DSS 专家怎么说 ?

/
資訊資訊 作业系统帐户的安全性 (PCI DSS Req.…

即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞

Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞…
PCI 3DS 驗證 3 步驟_Max

PCI 3DS 验证 3 步骤

3D 验证 (3-D Secure) 消费者 (Consumer)…

即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞

Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞…
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

八大秘诀让中小企业在疫情中保护信用卡资料

由于新冠肺炎 (COVID-19) 的冲击导致商业模式改变,中小型商店原来接受面对面交易的,纷纷移向线上电子商务的交易,因而产生信用卡资料安全保护的需求。PCI…
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

支付卡营运标准的安全管理层次与精神

大部分初接觸 PCI DSS 支付卡產業資料安全標準的朋友們,在閱讀標準的過程中,很大一部份的思維會落入 "這個標準只看技術實施和落實” 這樣的情境。原因無他,PCI DSS 的第一個 Requirement 就是網路基礎建設的安全管控機制 (如下圖)。
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

Reddit 遭骇了,Two Factor 被破解!

由於長期以來駭客攻擊或資料洩漏的原因,過半是透過釣魚、竊取自其他來源先取得 Credential 後,才攻入目標的網站或主機,因此過去我們都稱 Two Factor Authentication 應該是防禦駭客最便宜的解決方案, 在以信用卡交易安全為標的的 PCI DSS 標準中...
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞

Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞 (CVE-2021-36934)。这个可提升权限的漏洞源自于系统中对于部分系统档案的过度宽松的存取政策,包括 Security Accounts Manager (SAM) 资料库,一般使用者可以透过该漏洞提升权限,以系统权限执行恶意码、查阅、更改或删除资料或建立有完整权限的新使用者帐号等。

目前受影响到的是主要 Windows 10 以及测试中的 Windows 11,不过从 Microsoft 官方发布的讯息中,看到了 Windows Server 2019 也是受影响的标的之一。这个问题需要被特别注意的是目前尚无修补程式 (Patch) 可以进行更新,短期因应可以参考官方提出的暂行方案 (workaround),例如可以删除该受影响的 Volume Shadow Copy 等作法。 (请参考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934)

如以 PCI DSS 的合规角度来看这个问题,首先,这个漏洞的 CVSS 分数,在 Base Score Metrics 是 7.8 分属于高于 7 分的高风险项目,是一个应于 30 天内进行 Patch 的项目,如没有合适的 Patch 也应寻求其他的补强方案,如果 ASV (Approved Scanning Vendor) 外部弱点扫描遇到这个问题,应该会导致外弱扫无法通过的窘境。

除了工作人员使用的个人电脑外,在机房中也常见使用 Windows 10 作为跳板机使用,由于 Windows 的跳板机,有可能配置给不同人员权限,也要注意是否会有一般使用者利用这个漏洞进行其他未受权的动作或进行攻击。

针对这个问题要如何保持合规呢? 安律信息为你提供以下建议:

  1. 先依据官方的暂行方案,限制特定的系统目录存取、删除从 Volume Shadow Copy Service (磁碟区阴影复制服务, VSS) 的复制备份。而移除阴影备份档案所造成的影响,则为无法透过ㄧ些备份/还原工具,对系统进行还原。所以这段尚未有修补程式的这段期间,就可先避免进行还原作业。
  2. 暂时性的限制 “非主机管理权限 (Administrator)” 人员登入到主机,这个弱点的问题是在于一般使用者帐号可以存取到核心的配置档案、SAM 资料库等,所以暂时性限制非主机管理权限的人员,可避免提升权限的攻击。
  3. 将内部弱点扫描工具的扫描资料库更新到最新版本,并进行扫描,以确认目前使用的工具是否能扫描到这个问题。

[/av_one_third]

Bryan Cheng

安律信息技术公司 PCI 资深合规 QSA 与 顾问 - PCI QSA and Senior Consultant
  • Payment Card Industry Security, IT Security Management, Cloud Service Management
  • 专业认证:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

安律信息技术有限公司  Secure Vectors Information Technologies Inc.

安律信息技术有限公司,Secure Vectors Information Technologies Inc., 是一个专门从事支付产业安全管理服务的公司,包含技术检测、顾问咨询以即合规审查服务。我们的服务范围包括 PCI DSS 、PCI 3DS、PCI PIN Security 支付等卡产业安全标准并提供个人资料保护及 GDPR 适法性查检与顾问服务。

安律信息技术在美国、中国、新加坡、越南、台湾等地提供服务资料点,提供完整的服务。与合规相关的产品提供认证服务(合规审查)、合规安全代管以及合规管理 平台等服务。


你可能会喜欢看

您适用哪一个 PCI DSS SAQ 类型?

/
您适用哪一个 PCI DSS SAQ 类型? PCI DSS Self-Assessment…
first time PCI DSS Compliance

【PCI DSS 过证懒人包】资安小白也能轻松达标

/
【PCI DSS 过证懒人包】资安小白也能轻松达标 2024年电商、远程工作及外送平台消费等等型态持续成长,加速跨境交易和线上支付的使用率,支付卡资讯安全变成尤其重要。为了确保消费者的个人资料不被盗取或滥用,支付卡产业安全标准协会(简称…

如何达成 PCI DSS v4.0 条文中 12.4.2 针对服务供应商的额外要求?

/
1 服务供货商 (Service Providers) 每季需依据 PCI…

Sequoia 漏洞 (CVE-2021-33909),听听 PCI DSS 专家怎么说 ?

/
資訊資訊 作业系统帐户的安全性 (PCI DSS Req.…

即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞

Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞…
PCI 3DS 驗證 3 步驟_Max

PCI 3DS 验证 3 步骤

3D 验证 (3-D Secure) 消费者 (Consumer)…

即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞

Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞…
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

八大秘诀让中小企业在疫情中保护信用卡资料

由于新冠肺炎 (COVID-19) 的冲击导致商业模式改变,中小型商店原来接受面对面交易的,纷纷移向线上电子商务的交易,因而产生信用卡资料安全保护的需求。PCI…
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

支付卡营运标准的安全管理层次与精神

大部分初接觸 PCI DSS 支付卡產業資料安全標準的朋友們,在閱讀標準的過程中,很大一部份的思維會落入 "這個標準只看技術實施和落實” 這樣的情境。原因無他,PCI DSS 的第一個 Requirement 就是網路基礎建設的安全管控機制 (如下圖)。
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

Reddit 遭骇了,Two Factor 被破解!

由於長期以來駭客攻擊或資料洩漏的原因,過半是透過釣魚、竊取自其他來源先取得 Credential 後,才攻入目標的網站或主機,因此過去我們都稱 Two Factor Authentication 應該是防禦駭客最便宜的解決方案, 在以信用卡交易安全為標的的 PCI DSS 標準中...
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

* 如想了解更多合规服务,请您与我们联系 service@securevectors.com 我们会尽快回覆您的任何问题!

与我们联系

PCI 3DS 驗證 3 步驟_Max

PCI 3DS 验证 3 步骤

3D 验证 (3-D Secure)

消费者 (Consumer) 在商户 (Merchant) 的电子商务平台使用信用卡付款时,需先输入一次性密码完成 3D 验证 (3-D Secure),才可以完成一笔交易。 这是一个让信用卡交易加倍安全的技术。 3D 验证服务流程,由以下系统组件组成 3DS Server (3DSS), 3DS Directory Server (DS) 和 3DS Access Control Server (ACS)。

谁提供 3DS 验证服务

3DS 验证服务的系统部件包含了 3DSS、DS 和 ACS,其使用对象包含:

  1. 3DSS的使用对象包含银行(Bank)、收单机构(Acquirer),除了可以自行建置管理3DSS之外,也可以使用提供3DS Solution服务提供商(Hosting Service Provider)的服务,提供商户连接以及和卡组织DS进行3D验证消息交换。
  2. DS为信用卡组织 (VISA、MasterCard、JCB、Discover、American Express) 所拥有,以做为提供 3DSS 和 ACS 之间的 3D 验证数据交换交界中心。
  3. ACS 的使用对象为发卡行 (Issuer),也可以通过提供 3DS Solution 的服务提供商 (Hosting Service Provider) 进行托管。

以上的系统组件除了需通过 EMVCo 制定了产品与功能的标准 (EMV®3-D Secure-Protocol and Core Functions Specification v2.0) 之外,提供服务者也需要通过由 PCI 安全标准委员会 (PCI SSC) 制定的 PCI 3DS 安全审查标准 (Security Requirements and Assessment Procedures for EMV®3-D Secure Core Components: ACS,DS and 3DS Server),来保障 3DS 系统的运营环境及数据安全。

PCI 3DS 审查准备

所有 3DS 产品 (ACS, DS 和 3DSS) 需要通过 EMVCo 的产品测试,并通过各信用卡组织 (VISA、MasterCard、JCB、Discover、American Express) 的运营测试后才能确保其互通性 (Interoperability)。 而 3DS 产品的运营环境安全,则需通过 PCI SSC 制定的 PCI 3DS 安全审查标准。

PCI 3DS 审查,由PCI SSC核可的QSA公司进行安全的审查,卡组织通常在于3DS产品通过其运营测试、支付机构与商户(Acquirers,Merchants)通过PCI 3DS审查后才正式核可3DS的服务上线。 PCI 3DS 标准分为 Part 1 和 Part 2 两部分:

  1. Part 1 包含3DS 系统运营环境所需要的安全规定 (3DS Baseline Security Requirements)。
  2. Part 2 为 3DS 系统运行本身的系统安全及数据安全规定 (3DS Security Requirements)。

如果支付机构或服务供应商使用的环境,或3DS系统所运作存在的环境,已通过PCI DSS合规审查,且PCI DSS合规审查的范围与PCI 3DS的运作需求相同(无不当的排除项目存在),则可以仅建置PCI 3DS Part 2的合规规定项目。

PCI 3DS 审查前,需进行以下三个准备阶段

PCI 3DS 驗證 3 步驟_Max

I. 确保3DS资料的保存与保护合规

为了确保所经手处理的 3DS 交易数据均符合PCI 3DS 标准合规要求,支付机构或服务供应商应检视现有或规划运行的 3DS 系统资料流程及数据保存已依据PCI 3DS Data Matrix 对于各项数据保存、安全保护的规定。 包括对于 Authentication Data, Key Data 已及 Cryptographic Key (适用于 ACS, DS) 的保护及保存规定。 合规规定中不得储存的数据应确保于系统交易处理过程中不保存,如系统供应商所提供或协助建置者,也应咨询该系统厂商有关 3DS 数据的处理方式。

II. 备妥并实施相关程序及管理作业

PCI 3DS 规范支付机构或服务供应商建立管理政策及程序确保 3DS 服务的安全管理作业合于 PCI 3DS 规范,例如存取控制政策及软件开发程序等。 PCI 3DS 以运营的风险为前提,建立对应的保护措施及实施等级,并要求建立及留存管理必须的文件及纪录,包括风险评鉴结果、软硬件清册、网络架构图及资料流程图 (Network Diagrams, Data Flow Diagrams) 以及各项的测试及实施纪录。

III. 进行合规要求的各项技术检测

PCI 3DS 请求以下技术测试:

  1. 软件安全测试( Software Security Tests)
  2. 每季一次内外部弱点扫描(Vulnerability Scans)
  3. 每年一次的渗透测试( Penetration Tests)

相关测试可以委由专业技术检测公司提供服务或由内部专门人员进行。 其中外部弱点扫描需使用PCI SSC核可的ASV服务供应商。

进行PCI 3DS审查

PCI 3DS 的核可服务商为PCI 3DS QSA公司,相关核可名单可以于PCI SSC网站中可查询。 安律信息技术公司是目前亚太地区少数提供PCI 3DS审查服务的QSA公司。

审查作业依据各组织的规模大小与 3DS 系统的建置方式而有不同,通常在审查前或审查开始阶段会进行 Scoping 的范围确认作业,审查期间在现场 (On-site) 3-5 天查核以及 QSA 人员的报告及证据会在非现场 (Off-site) 进行检视。 审查完成后,由QSA公司签署Report On Compliance(ROC)报告,并由是受审查组织签署Attestation of Compliance(AOC)后完成。

支付机构或服务供应商应依据卡组织或收单机构的要求提交AOC或ROC完成年度的审查。 PCI 3DS 标准应每年进行一次审查。


Max Tsai

安律信息技术公司 PCI 资深合规 QSA 与 顾问 - PCI QSA and Senior Consultant

• Payment Card Industry Security, IT Security Management, Cloud Service Management
• 专业认证: PCI DSS QSA, CISSP, ISO27001 LA


安律信息技术有限公司 Secure Vectors Information Technologies Inc., 是一家专门从事支付产业安全管理服务的公司,包含技术检测、顾问咨询以即合规审查服务。我们的服务范围包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡产业安全标准并提供个人资料保护及 GDPR 适法性查检与顾问服务。安律信息技术在美国、中国、新加坡、越南、台湾等地设有服务据点,提供完整的服务。与合规相关的产品包含认证服务 (合规审查)、合规安全代管以及合规管理平台等服务。


你可能会喜欢看

PCI 3DS 驗證 3 步驟_Max

*如想了解更多合规服务,请您与我们联系 service@securevectors.com 我们会尽快回覆您的任何问题!

    请输入右方所示文字 captcha