PCI DSS 是 Payment Card Industry Data Security Standards 的缩写,是由国际组织 Payment Card Industry Security Standard Council (以下简称PCI SSC) ,负责制定及管理 PCI DSS 安全标准,这是一套关于支付卡资讯安全的标准,旨在保护持卡人数据免受未经授权的访问及不当使用。
PCI SSC 是多家主要国际信用卡组织,成员包含 American Express、Discover Financial Services、JCB、MasterCard、Visa Inc. 和中国银联。 PCI DSS 安全标准内容针对处理这些品牌的持卡人资讯安全所订定的共同产业标准,适用于储存,处理或传输持卡人资讯的所有机构。接触这些品牌的支付卡的商户 (Merchant) 或服务商 (Service Provider),无论其规模大小或交易量多寡,都须依据并符合 PCI DSS 安全标准进行对于持卡人资讯的安全保护。
服务商是因所提供的服务会传输、处理或储存(Transmit, Process, Store) 支付卡持卡人资料,或是提供的服务可以控制或影响持卡人资料的安全,例如第三方支付公司、代收代付业者提供金流服务、钱包服务商、线上商城;另外,提供虚拟主机服务的 Data Center 及云端服务供应商等,都归类于服务商。
目前受影响到的是主要 Windows 10 以及测试中的 Windows 11,不过从 Microsoft 官方发布的讯息中,看到了 Windows Server 2019 也是受影响的标的之一。这个问题需要被特别注意的是目前尚无修补程式 (Patch) 可以进行更新,短期因应可以参考官方提出的暂行方案 (workaround),例如可以删除该受影响的 Volume Shadow Copy 等作法。 (请参考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934)
消费者 (Consumer) 在商户 (Merchant) 的电子商务平台使用信用卡付款时,需先输入一次性密码完成 3D 验证 (3-D Secure),才可以完成一笔交易。 这是一个让信用卡交易加倍安全的技术。 3D 验证服务流程,由以下系统组件组成 3DS Server (3DSS), 3DS Directory Server (DS) 和 3DS Access Control Server (ACS)。
谁提供 3DS 验证服务
3DS 验证服务的系统部件包含了 3DSS、DS 和 ACS,其使用对象包含:
3DSS的使用对象包含银行(Bank)、收单机构(Acquirer),除了可以自行建置管理3DSS之外,也可以使用提供3DS Solution服务提供商(Hosting Service Provider)的服务,提供商户连接以及和卡组织DS进行3D验证消息交换。
DS为信用卡组织 (VISA、MasterCard、JCB、Discover、American Express) 所拥有,以做为提供 3DSS 和 ACS 之间的 3D 验证数据交换交界中心。
ACS 的使用对象为发卡行 (Issuer),也可以通过提供 3DS Solution 的服务提供商 (Hosting Service Provider) 进行托管。
以上的系统组件除了需通过 EMVCo 制定了产品与功能的标准 (EMV®3-D Secure-Protocol and Core Functions Specification v2.0) 之外,提供服务者也需要通过由 PCI 安全标准委员会 (PCI SSC) 制定的 PCI 3DS 安全审查标准 (Security Requirements and Assessment Procedures for EMV®3-D Secure Core Components: ACS,DS and 3DS Server),来保障 3DS 系统的运营环境及数据安全。
