PCI 3DS 验证 3 步骤

Share on social media

Categories : 知识

3D 验证（3-D Secure）

消费者（Consumer）在商户（Merchant）的电子商务平台使用信用卡付款时，需先输入一次性密码完成 3D 验证（3-D Secure），才可以完成一笔交易。这是一个让信用卡交易加倍安全的技术。 3D 验证服务流程，由以下系统组件组成 3DS Server （3DSS）， 3DS Directory Server （DS）和 3DS Access Control Server （ACS）。

谁提供 3DS 验证服务

3DS 验证服务的系统部件包含了 3DSS、DS 和 ACS，其使用对象包含：

3DSS的使用对象包含银行（Bank）、收单机构（Acquirer），除了可以自行建置管理3DSS之外，也可以使用提供3DS Solution服务提供商（Hosting Service Provider）的服务，提供商户连接以及和卡组织DS进行3D验证消息交换。
DS为信用卡组织（VISA、MasterCard、JCB、Discover、American Express）所拥有，以做为提供 3DSS 和 ACS 之间的 3D 验证数据交换交界中心。
ACS 的使用对象为发卡行（Issuer），也可以通过提供 3DS Solution 的服务提供商（Hosting Service Provider）进行托管。

以上的系统组件除了需通过 EMVCo 制定了产品与功能的标准（EMV®3-D Secure-Protocol and Core Functions Specification v2.0）之外，提供服务者也需要通过由 PCI 安全标准委员会（PCI SSC）制定的 PCI 3DS 安全审查标准（Security Requirements and Assessment Procedures for EMV®3-D Secure Core Components： ACS，DS and 3DS Server），来保障 3DS 系统的运营环境及数据安全。

PCI 3DS 审查准备

所有 3DS 产品（ACS， DS 和 3DSS）需要通过 EMVCo 的产品测试，并通过各信用卡组织（VISA、MasterCard、JCB、Discover、American Express）的运营测试后才能确保其互通性（Interoperability）。而 3DS 产品的运营环境安全，则需通过 PCI SSC 制定的 PCI 3DS 安全审查标准。

PCI 3DS 审查，由PCI SSC核可的QSA公司进行安全的审查，卡组织通常在于3DS产品通过其运营测试、支付机构与商户（Acquirers，Merchants）通过PCI 3DS审查后才正式核可3DS的服务上线。 PCI 3DS 标准分为 Part 1 和 Part 2 两部分：

Part 1 包含3DS 系统运营环境所需要的安全规定（3DS Baseline Security Requirements）。
Part 2 为 3DS 系统运行本身的系统安全及数据安全规定（3DS Security Requirements）。

如果支付机构或服务供应商使用的环境，或3DS系统所运作存在的环境，已通过PCI DSS合规审查，且PCI DSS合规审查的范围与PCI 3DS的运作需求相同（无不当的排除项目存在），则可以仅建置PCI 3DS Part 2的合规规定项目。

PCI 3DS 审查前，需进行以下三个准备阶段

I. 确保3DS资料的保存与保护合规

为了确保所经手处理的 3DS 交易数据均符合PCI 3DS 标准合规要求，支付机构或服务供应商应检视现有或规划运行的 3DS 系统资料流程及数据保存已依据PCI 3DS Data Matrix 对于各项数据保存、安全保护的规定。包括对于 Authentication Data， Key Data 已及 Cryptographic Key （适用于 ACS， DS）的保护及保存规定。合规规定中不得储存的数据应确保于系统交易处理过程中不保存，如系统供应商所提供或协助建置者，也应咨询该系统厂商有关 3DS 数据的处理方式。

II. 备妥并实施相关程序及管理作业

PCI 3DS 规范支付机构或服务供应商建立管理政策及程序确保 3DS 服务的安全管理作业合于 PCI 3DS 规范，例如存取控制政策及软件开发程序等。 PCI 3DS 以运营的风险为前提，建立对应的保护措施及实施等级，并要求建立及留存管理必须的文件及纪录，包括风险评鉴结果、软硬件清册、网络架构图及资料流程图（Network Diagrams， Data Flow Diagrams）以及各项的测试及实施纪录。

III. 进行合规要求的各项技术检测

PCI 3DS 请求以下技术测试：

软件安全测试（ Software Security Tests）
每季一次内外部弱点扫描（Vulnerability Scans）
每年一次的渗透测试（ Penetration Tests）

相关测试可以委由专业技术检测公司提供服务或由内部专门人员进行。其中外部弱点扫描需使用PCI SSC核可的ASV服务供应商。

进行PCI 3DS审查

PCI 3DS 的核可服务商为PCI 3DS QSA公司，相关核可名单可以于PCI SSC网站中可查询。安律信息技术公司是目前亚太地区少数提供PCI 3DS审查服务的QSA公司。

审查作业依据各组织的规模大小与 3DS 系统的建置方式而有不同，通常在审查前或审查开始阶段会进行 Scoping 的范围确认作业，审查期间在现场（On-site） 3-5 天查核以及 QSA 人员的报告及证据会在非现场（Off-site）进行检视。审查完成后，由QSA公司签署Report On Compliance（ROC）报告，并由是受审查组织签署Attestation of Compliance（AOC）后完成。

支付机构或服务供应商应依据卡组织或收单机构的要求提交AOC或ROC完成年度的审查。 PCI 3DS 标准应每年进行一次审查。

Max Tsai

安律信息技术公司 PCI 资深合规 QSA 与顾问 - PCI QSA and Senior Consultant

• Payment Card Industry Security, IT Security Management, Cloud Service Management
• 专业认证： PCI DSS QSA, CISSP, ISO27001 LA

安律信息技术有限公司 Secure Vectors Information Technologies Inc., 是一家专门从事支付产业安全管理服务的公司，包含技术检测、顾问咨询以即合规审查服务。我们的服务范围包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡产业安全标准并提供个人资料保护及 GDPR 适法性查检与顾问服务。安律信息技术在美国、中国、新加坡、越南、台湾等地设有服务据点，提供完整的服务。与合规相关的产品包含认证服务 (合规审查)、合规安全代管以及合规管理平台等服务。