【PCI DSS 过证懒人包】资安小白也能轻松达标
2024年电商、远程工作及外送平台消费等等型态持续成长,加速跨境交易和线上支付的使用率,支付卡资讯安全变成尤其重要。为了确保消费者的个人资料不被盗取或滥用,支付卡产业安全标准协会(简称PCI SSC) 规定,凡储存、处理或传输持卡人资讯的所有机构,都必需遵守PCI DSS 合规要求,简单来说,PCI DSS 合规中的12个主要要求及其子要求的种种安全控制措施,最终目的是为了保护持卡人的信用卡资料。
当您被收单机构或主管要求 PCI DSS 取证,却不知道该怎么做时,最想问的五大问题 (2W3H)
目錄
What - 什么是 PCI DSS ?
PCI DSS 是Payment Card Industry Data Security Standards 的缩写,是由国际组织Payment Card Industry Security Standard Council (以下简称PCI SSC) ,负责制定及管理PCI DSS 安全标准,这是一套关于支付卡资讯安全的标准,旨在保护持卡人数据免受未经授权的访问及不当使用。
PCI SSC 是多家主要国际信用卡组织,成员包含 American Express、Discover Financial Services、JCB、MasterCard、Visa Inc. 和中国银联。 PCI DSS 标准内容针对处理这些品牌的持卡人资讯安全所订定的共同产业标准,适用于储存,处理或传输持卡人资讯的所有机构。接触这些品牌的支付卡的商户 (Merchant) 或服务供应商 (Service Provider) 无论其规模大小或交易量多寡,都须依据并符合 PCI DSS 安全标准进行对于持卡人资讯的安全保护。Who - 谁需要? 谁可协助?
谁需要通过 PCI DSS 的审查?
凡储存、处理或传输持卡人资讯的所有机构,都必需遵守 PCI DSS 合规要求。
依机构如何储存、处理或传输持卡人资讯方式,分为不同类别及等级,故首先,需要判断是商户 (Merchant) 还是服务商 (Service Provider)。
商户是接受支付卡付款,以换取产品或服务的组织,故一般接受信用卡消费的商户、线上商户,包含提供下载的虚拟商品或服务、大型百货公司,都属于商户。
服务商是因所提供的服务会传输、处理或储存(Transmit, Process, Store) 支付卡持卡人资料,或是提供的服务可以控制或影响持卡人资料的安全,例如第三方支付公司、代收代付业者提供金流服务、钱包服务商、线上商城;另外提供虚拟主机服务的Data Center 及云端服务供应商等,都归类于服务商。
判定是商户还是服务商后,便可再进一步判定 PCI DSS等级。
等级一 – 商户及服务商
需由 QSA (Qualified Security Assessor) 也是 PCI DSS 的核可稽核员进行现场审查,完成后提供报告。
等级二至四 – 商户及等级二的服务商
可使用 PCI DSS Self-Assessment Questionnaire (以下简称 SAQ) 自行评估,或请 QSA 来协助,可更快速准确地完成评估。
谁可协助通过 PCI DSS 的审查?
特别是对于等级一的商户或服务商,第一次 PCI DSS 审查过证建议借助专业人员的辅导说明。
QSA (Qualified Security Assessor)
QSA 是由 PCI 安全标准委员会授权的专业人员,经过训练和认证,执行 PCI DSS 审查并提供合规报告 (ROC) 和合规证明 (AOC),QSA 需要定期且即时接受 PCI DSS 版本更新的认证。若您的商户或服务商为等级一,必须由 QSA 进行现场审查。
QSAC (Qualified Security Assessor Company)
QSAC 聘请 QSA,提供专业的审查和辅导服务,帮助您理解 PCI DSS 的具体条文,指导如何建立一个安全的支付环境。
如何选择 QSA 及 QSAC ?
- 您可以透过 [PCI 安全标准委员会官网] 查找经过认证的 QSA 或 QSAC。
- 咨询同业或合作伙伴:询问其他已经完成 PCI DSS 审查的公司,了解他们的经验和推荐。
- 评价和案例分析:查看潜在 QSA 或 QSAC 的客户评价和案例分析,确保他们有相关的经验和专业知识。
- 咨询服务:与多个 QSA 或 QSAC 进行初步咨询,了解他们的服务范围、收费标准和工作流程。通过这些步骤,希望您可以找到适合的 QSA 或 QSAC 帮助您完成 PCI DSS 审查,确保支付环境安全和合规。
How - 该怎么做?
PCI DSS 合规认证通常分为四大阶段:
1. 准备阶段:验证环境确认和顾问阶段
**验证环境确认**
– 初步评估:对现有的安全措施进行初步评估,识别差距及需调整的地方。
– 定义审查范围:确定需要符合 PCI DSS 标准的系统、网路和应用。
**顾问阶段**
– 聘请顾问或 QSA:选择合适的 QSA 或 QSAC 来协助上述之验证环境确认,后续整改过程辅导及审查安排等。
– 安全训练:为员工提供相关的安全训练,提高整体安全意识。
2. 资料准备阶段:准备和实施必要的控制措施
**资料准备**
– 政策和程式:制定和更新安全政策、操作程式,确保符合 PCI DSS 要求。
– 文件收集:收集和整理所有需要的文件和证据,以证明合规性。
3. 审查阶段:QSA 进行现场审查
**审查执行**
– 内部审查:在正式审查之前进行内部自查,确保所有问题在正式审查前得到解决。
– 现场审查:由 QSA 进行现场审查,验证实际操作与文件的一致性。
4. 报告阶段:QSA 准备并提交合规报告和证明
**报告和认证**
– 报告编写:QSA 编写 ROC (Report on Compliance) 和 AOC (Attestation of Compliance) 报告。
– 报告提交:您可将报告提交给于卡组织或收单机构。
– 认证颁发:收到合规证明,表明公司符合 PCI DSS 标准。
How long - 该花多少时间做
PCI DSS 合规认证,从一开始的验证环境确认到最后提供报告的整体认证所需时程,一般预估为三至五个月可完成认证,以下是合规认证的主要阶段及各阶段的描述:
- 准备阶段 (1-2 个月):包括验证环境确认和顾问阶段。
- 资料准备阶段 (1 个月):准备和实施必要的控制措施。
- 审查阶段 (5-7天):QSA 进行现场审查。
- 报告阶段 (0.5-1 个月):QSA 准备并提交合规报告和证明。
实际所需时间可能会因以下因素而有所不同: – 准备程度:若组织认证前的准备工作充分或有较好的安全基础,认证过程可能更快。 – 系统和营运流程的复杂度:IT 环境、网路架构和营运流程的复杂性会影响认证的进度。 – 资源投入:公司投入的资源(包括人力、时间和预算)以及专案管理的效率。
为了确保认证过程顺利进行,建议: – 提前准备:尽早开始准备工作,尤其是文件和政策的整理。 – 有效沟通:在整个认证过程中,与 QSA 保持紧密沟通,及时解决发现的问题。 – 持续改进:认证后,继续维持和改进安全措施,确保长期符合 PCI DSS 要求。How much - 该花多少钱?
第一次为了符合 PCI DSS 的要求,企业须考量可能新增的软硬体项目,条列费用如下:
系统相关费用
拆分主机至不同功能,如 Web Server、Application Server、DB Server,可能需要增加设备或使用虚拟伺服器。此外,需设立 NTP Server、FIM Server 和 Log Server 等安全服务元件。
安全设备费用
增购网路安全控制设备 (NSCs),如防火墙、、入侵侦测防御系统 (IPS、IDS)、网页应用防火墙 (WAF) 等。
资料加密设备费用
对卡资料进行卡号加密,可能需采用 HSM 硬体加密器以确保安全。
人员训练费用
PCI DSS 要求进行认知训练、安全编程训练和事故应对计划演练等,内部人员需接受足够的安全技术训练。
技术检测费用
定期进行内外部弱点扫描、渗透测试、无线溢波扫描、卡号扫描和源码扫描等。
其他费用支出
服务商需进行卡组织服务供应商的登记,如 VISA 和 MasterCard 的登记。
除了上述可能的增加费用,还有 PCI DSS 的审查认证费用,这与PCI DSS QSA 需要花多少时间来完成审查及编写报告而定。
不管您是跨境线上购物业者、第三方支付平台或服务商,遵守PCI DSS 合规要求非常重要,透过执行合规要求措施,不仅仅是交给收单机构及主管一张合规证书,也直接帮助您的企业减少资料泄漏和盗窃的风险,同时提升消费者对其交易安全的信心。
PCI DSS 合规条文共有400多项,从认识、理解、提供证据到合规取证,取证后未来又该如何持续合规状态…?
建议可以考虑聘请QSAC帮助您短期内快速有效达到合规要求,取证后再藉由合规管理系统,利用自动监测、告警、定期缴交资料及即时可视化状态…等功能,让您的企业时时刻刻合规、安全!
