PCI 3D Secure

3DS 是由 EMVCo 制定的交易讯息协议，运用在无卡交易 (Card-not-Present) 的电子商务交易时，透过 3DS 发卡行可以取得对于持卡人的验证。

EMV 3-D Secure 是一个新的交易安全接口，提供 APP 交易确认、与数字钱包 (Digital Wallet) 整合并支持传统的浏览器电商交易。新的持卡人确认方式也同时被引进，脸部辨识、指纹在手持设备上可以用来做持卡人的确认大大的增进了手机商务的便利性。

概述

什么是 PCI 3DS　？

PCI 安全标准委员会 (PCI SSC) 宣布了两项新的安全标准，以支持安全实施 EMVCo 的 EMV 3DS 协议。EMV 3DS 有助于防止未被持卡人确认的无卡交易 (CNP)。通过计算机浏览器或行动设备进行网絡购物时，它可以保护商家免受 CNP 欺诈的风险。EMVCo 和 PCI SSC 的共同工作确保了 EMV 3DS 服务的功能审验和环境、数据安全审查的确实性，能够确保 3DS 服务的整体安全。

EMV 3DS 1.0 规格由最早提出的 Verified by Visa 至今已经 17 年，3DS 1.0 致力于提供发卡行取得持卡人在无卡交易 (CNP) 时的认证。但由于 1.0 的持卡人登录 (Enrollment) 方式与确认方式 (Authentication) 过于复杂且容易产生阻碍造成使用后商户的转换率下降 (Conversion Rate)，加上目前 Mobile Commerce 行动商务的盛行，3DS 2.0 的出现让确认的过程容易、简单且更安全。PCI 3DS 的标准产生，更加快了整体营运安全审查的便利性。

前往「PCI SSC」网站

PCI 3DS 标准

3DS 由 EMVCo 制定了产品与功能的标准 (EMV®3-D Secure–Protocol and Core Functions Specification v2.0) 用于规范 3D 交易中的 ACS, DS ,以及 3DSS 的产品及讯息的规格，并结合 PCI 安全标准委员会 (PCI SSC) 制定的 PCI 3DS 安全审查标准 (Security Requirements and Assessment Procedures for EMV®3-D Secure Core Components: ACS,DS and 3DS Server)，应用在对于 3DS 系统的运营环境及数据安全。对于行动装置上的支持，EMVCo 订定了 3DS SDK 的技术规格标准，并由 PCI SSC 进行 3DS SDK 的审查。应用上，所有3DS 产品 (ACS,DS,3DSS) 需要通过 EMVCo 的产品测试，并通过各卡组织 (AE, JCB, Discover, MasterCard,Visa, Union Pay) 的运营测试后才能确保其互操作性 (Interoperability)。 PCI SSC 的安全需求则是在 3DS 产品的运营环境中的安全需求，并由 PCI SSC 核可的 QSA 公司进行安全的审查，卡组织通常在于 3DS 产品通过其运营测试、支付机构与商户 (Acquirers, Merchants) 通过 PCI 3DS 审查后才正式核可 3DS 的服务上线。

以下分别说明三个组织的角色、需求及使用标准 :

EMVCO

EMV 三个字母分别代表 Europay、MasterCard 与 Visa，是制定该标准最初的三家公司。目前标准由 EMVCo 机构管理，EMVCo 最初由 EMV 三大组织于 1999 年 2 月共同成立，目前由 AE, Discover, JCB, MasterCard, Union Pay, Visa共同负责。

主要任务系发展制定与主管维护 3DS 的产品规格、标准与认证，监督并确保该标准于全球的安全互操作性。 EMV 3DS 2.0 标准用于测试审验 ACS, DS 以及 3DSS 产品，包括 3DS SDK 标准用于规范行动装置的 3DS SDK 底层开发工具。 3DS 的产品均需要先通过 EMVCo 的测试审验后才能进入 3DS 服务的市场。

卡组织 (Card Brands)

参与 3DS 的卡组织包含 AE, Discover, JCB, MasterCard, Union Pay, Visa, 卡组织通常订定 3DS 服务中支付机构的实施管理规定 (Implementation Guidance) 以及规范 3DS 标准以外与原有支付系统 (Payment Systems) 的连结运作规范。

另外卡组织也规范所辖的支付机构 (发卡行、商户、服务商) 不使用 3DS 2.0 进行无卡交易 (CNP) 的 Liability Transfer 期限，例如 Visa 目前规定发卡行如不支持 3DS 2.0 交易，将于 2019年四月强制 Liability 的转移。

卡组织依据其 Implementation Guidance 以及测试标准，进行对于 3DS 产品的营运测试，通常产品通过卡组织的营运测试后，Letter of Approval 将发出并允许该运营支付机构开始提供 3DS 交易服务。卡组织另外要求参与支付机构对于 3DS 运营环境及数据的安全需求，并透过 PCI SSC 核可的 QSA 公司进行合规的审查。

PCI SSC 及 QSA 公司

PCI SSC 由 AE, Discover, JCB, MasterCard, 及 Visa 所组成，主要在订定及维持支付卡产业相关的安全标准，包含 PCI DSS, PCI 3DS, PCI 3DS SDK 等安全检查要求 (Security Requirements), PCI SSC 也同时负责遴选、训练及核可可以执行标准和规审查的 QSA 公司 (Qualified Security Assessor), 安律信息技术公司就是首批通过 PCI 3DS 核可作业的 QSA 公司。

支付机构中发卡行 (Issuer) 以及其使用的 ACS (Access Control Server) 需通过 EMV 产品审验、卡组织运营测试，发卡行的运营环境。数据安全则需要通过 QSA 公司依据 PCI 3DS 安全要求标准的合规审查取得 ROC 及 AOC 的报告书，交付卡组织后才能开始提供 3DS 的服务。服务商 (Service Provider) 或商户 (Merchant) 所使用的 3DSS 系统也需要通过相同的审验，才符合卡组织的实施规范。

如何通过PCI 3DS安全审查

1. 确认使用的产品 (ACS, DS, 3DSS) 已通过 EMV 产品审验

EMVCo 制定的 EMV® 3-D Secure–Protocol and Core Functions Specification v2.0 (EMV 3DS 2.0) 用于 3DS 产品 (ACS,DS,3DSS,3DS SDK) 的产品功能、规格审验，确保产品间的互操作性 (Interoperability), EMVCo 于产品审验完成后会授与产品 Letter of Approval 并将产品登录于 EMVCo 的网站。

2. 依据 PCI 3DS 安全标准建立符合 PCI 3DS 环境

PCI 3DS 标准（EMV®3-D 安全核心组件的安全要求和评估程序：ACS，DS 和 3DS 服务器）包含第1部分和第2部分两部分，其中

第1部分：3DS 基准安全要求包含3DS系统运营环境所需要的安全规定

第2部分：3DS 安全要求为3DS系统运行本身的系统安全和资料安全规定

支付机构或服务供货商 (Service Provider) 应依据相对应的 3DS 系统及其 PCI 3DS 标准进行对于环境、人员、系统、数据安全做好合规的各项技术及管理要求。

如果支付机构或服务供货商使用的环境，或 3DS 系统所运作存在的环境，已通过 PCI DSS 合规审查，且PCI DSS 合规审查的范围与 PCI 3DS 的运作需求相同 (无不当的排除项目存在)，则可以仅建置 PCI 3DS Part 2 的合规规定项目。

3. 确保3DS数据的保存与保护合规

为了确保所经手处理的 3DS 交易数据均符合 PCI 3DS 标准合规要求，支付机构或服务供货商应检视现有或规划运行的 3DS 系统数据流及数据保存已依据 PCI 3DS Data Matrix 对于各项数据保存、安全保护的规定。包括对于 Authentication Data, Key Data 已及 Cryptographic Key (适用于 ACS, DS) 的保护及保存规定。合规规定中不得储存的数据应确保于系统事务处理过程中不保存，如系统供货商所提供或协助建置者，也应咨询该系统厂商有关 3DS 资料的处理方式。

4. 备妥并实施相关程序及管理作业

PCI 3DS 规范支付机构或服务供货商建立管理政策及程序确保 3DS 服务的安全管理作业合于 PCI 3DS 规范，例如访问控制政策及软件开发程序等。 PCI 3DS 以运营的风险为前提，建立对应的保护措施及实施等级，并要求建立及留存管理必须的文件及纪录，包括风险评鉴结果、软硬件清册、网络架构图及数据流程图 (Network Diagrams, Data Flow Diagrams) 以及各项的测试及实施纪录。

5. 进行合规要求的各项技术检测

PCI 3DS 要求以下技术测试

软件安全测试 (Software Security Tests)
每季一次内外部弱点扫描 (Vulnerability Scans)
每年一次的渗透测试 (Penetration Tests)

相关测试可以委由专业技术检测公司提供服务或由内部专门人员进行。其中外部弱点扫描需使用 PCI SSC 核可的 ASV 服务供货商。

6. 进行 PCI 3DS 审查服务

PCI 3DS 的核可服务商为 PCI 3DS QSA 公司，相关核可名单可以于 PCI SSC 网站中可查询。安律信息技术公司是目前亚太地区少数提供 PCI 3DS 审查服务的 QSA 公司。审查作业依据各组织的规模大小與 3DS 系统的建置方式而有不同，通常在审查前或审查开始阶段会进行 Scoping 的范围确认作业，审查期间在现场 (On-site) 3-5 天查核以及 QSA 人员的报告及证据会在非现场 (Off-site) 进行检视。审查完成后，由 QSA 公司签署 Report On Compliance (ROC) 报告，并由是受审查组织签署 Attestation of Compliance (AOC) 后完成。

支付机构或服务供货商应依据卡组织或收单机构的要求提交 AOC 或 ROC 完成年度的审查。PCI 3DS 标准应每年进行一次审查。

联系我们

如有任何问题，欢迎随时与我们联系！

关于我们

联系我们

PCI 3D Secure

概述

什么是 PCI 3DS ？

PCI 3DS 标准

如何通过PCI 3DS安全审查

联系我们

什么是 PCI 3DS　？