first time PCI DSS Compliance

【PCI DSS 過證懶人包】資安小白也能輕鬆達標

【PCI DSS 過證懶人包】資安小白也能輕鬆達標

2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會 (簡稱 PCI SSC) 規定,凡儲存、處理或傳輸持卡人資訊的所有機構,都必需遵守 PCI DSS 合規要求,簡單來說,PCI DSS 合規中的12個主要要求及其子要求的種種安全控制措施,最終目的是為了保護持卡人的信用卡資料。

當您被收單機構或主管要求 PCI DSS 取證,卻不知道該怎麼做時,最想問的五大問題 (2W3H)

目錄

What - 什麼是 PCI DSS ?

PCI DSS 是 Payment Card Industry Data Security Standards 的縮寫,是由國際組織 Payment Card Industry Security Standard Council (以下簡稱 PCI SSC) ,負責制定及管理 PCI DSS 安全標準,這是一套關於支付卡資訊安全的標準,旨在保護持卡人數據免受未經授權的訪問及不當使用。

PCI SSC 是多家主要國際信用卡組織,成員包含 American Express、Discover Financial Services、JCB、MasterCard、Visa Inc. 和中國銀聯。PCI DSS 標準內容針對處理這些品牌的持卡人資訊安全所訂定的共同產業標準,適用於儲存,處理或傳輸持卡人資訊的所有機構。接觸這些品牌的支付卡的商戶 (Merchant) 或服務供應商 (Service Provider) 無論其規模大小或交易量多寡,都須依據並符合 PCI DSS 安全標準進行對於持卡人資訊的安全保護。 

Who - 誰需要? 誰可協助?

誰需要通過 PCI DSS 的審查?

凡儲存、處理或傳輸持卡人資訊的所有機構,都必需遵守 PCI DSS 合規要求。
依機構如何儲存、處理或傳輸持卡人資訊方式,分為不同類別及等級,故首先,需要判斷是特約商店 (Merchant) 還是服務供應商 (Service Provider)。

特約商店是接受支付卡付款,以換取產品或服務的組織,故一般接受信用卡消費的商店、線上商店,包含提供下載的虛擬商品或服務、大型百貨公司,都屬於特約商店。

服務供應商是因所提供的服務會傳輸、處理或儲存 (Transmit, Process, Store) 支付卡持卡人資料,或是提供的服務可以控制或影響持卡人資料的安全,例如第三方支付公司、代收代付業者提供金流服務、錢包服務供應商、線上商城;另外,提供虛擬主機服務的 Data Center 及雲端服務供應商等,都歸類於服務供應商。

判定是特約商店還是服務供應商後,便可再進一步判定 PCI DSS等級。

等級一 – 特約商店及服務供應商

需由 QSA (Qualified Security Assessor)  也是 PCI DSS 的核可稽核員進行現場審查,完成後提供報告。

等級二至四 – 特約商店及等級二的服務供應商

可使用 PCI DSS Self-Assessment Questionnaire (以下簡稱 SAQ) 自行評估,或請 QSA 來協助,可更快速準確地完成評估。

請參考: 您適用哪一個 PCI DSS SAQ 類型?

誰可協助通過 PCI DSS 的審查?

特別是對於等級一的特約商店或服務供應商,第一次 PCI DSS 審查過證建議借助專業人員的輔導説明。

QSA (Qualified Security Assessor)

QSA 是由 PCI 安全標準委員會授權的專業人員,經過訓練和認證,執行 PCI DSS 審查並提供合規報告 (ROC) 和合規證明 (AOC),QSA 需要定期且即時接受 PCI DSS 版本更新的認證。若您的特約商店或服務供應商為等級一,必須由 QSA 進行現場審查。

QSAC (Qualified Security Assessor Company)

QSAC 聘請 QSA,提供專業的審查和輔導服務,幫助您理解 PCI DSS 的具體條文,指導如何建立一個安全的支付環境。

如何選擇 QSA 及 QSAC ?

  1. 您可以透過 [PCI 安全標準委員會官網] 查找經過認證的 QSA 或 QSAC。
  2. 諮詢同業或合作夥伴:詢問其他已經完成 PCI DSS 審查的公司,瞭解他們的經驗和推薦。
  3. 評價和案例分析:查看潛在 QSA 或 QSAC 的客戶評價和案例分析,確保他們有相關的經驗和專業知識。
  4. 諮詢服務:與多個 QSA 或 QSAC 進行初步諮詢,瞭解他們的服務範圍、收費標準和工作流程。通過這些步驟,希望您可以找到適合的 QSA 或 QSAC 幫助您完成 PCI DSS 審查,確保支付環境安全和合規。

How - 該怎麼做?

PCI DSS 合規認證通常分為四大階段:

1. 準備階段:驗證環境確認和顧問階段

**驗證環境確認**

– 初步評估:對現有的安全措施進行初步評估,識別差距及需調整的地方。
– 定義審查範圍:確定需要符合 PCI DSS 標準的系統、網路和應用。

**顧問階段**

– 聘請顧問或 QSA:選擇合適的 QSA 或 QSAC 來協助上述之驗證環境確認,後續整改過程輔導及審查安排等。
– 安全訓練:為員工提供相關的安全訓練,提高整體安全意識。

2. 資料準備階段:準備和實施必要的控制措施

**資料準備**

– 政策和程式:制定和更新安全政策、操作程式,確保符合 PCI DSS 要求。
– 文件收集:收集和整理所有需要的文件和證據,以證明合規性。

3. 審查階段:QSA 進行現場審查

**審查執行**

– 內部審查:在正式審查之前進行內部自查,確保所有問題在正式審查前得到解決。
– 現場審查:由 QSA 進行現場審查,驗證實際操作與文件的一致性。

4. 報告階段:QSA 準備並提交合規報告和證明

**報告和認證**

– 報告編寫:QSA 編寫 ROC(Report on Compliance)和 AOC(Attestation of Compliance)報告。
– 報告提交:您可將報告提交給於卡組織或收單機構。
– 認證頒發:收到合規證明,表明公司符合 PCI DSS 標準。

PCI DSS 認證 階段 時間

How long - 該花多少時間?

PCI DSS 合規認證,從一開始的驗證環境確認到最後提供報告的整體認證所需時程,一般預估為三至五個月可完成認證,以下是合規認證的主要階段及各階段的描述:

  1. 準備階段(1-2 個月):包括驗證環境確認和顧問階段。
  2. 資料準備階段(1 個月):準備和實施必要的控制措施。
  3. 審查階段(5-7天):QSA 進行現場審查。
  4. 報告階段(0.5-1 個月):QSA 準備並提交合規報告和證明。

實際所需時間可能會因以下因素而有所不同:
– 準備程度:若組織認證前的準備工作充分或有較好的安全基礎,認證過程可能更快。
– 系統和營運流程的複雜度:IT 環境、網路架構和營運流程的複雜性會影響認證的進度。
– 資源投入:公司投入的資源(包括人力、時間和預算)以及專案管理的效率。

為了確保認證過程順利進行,建議:
– 提前準備:儘早開始準備工作,尤其是文件和政策的整理。
– 有效溝通:在整個認證過程中,與 QSA 保持緊密溝通,及時解決發現的問題。
– 持續改進:認證後,繼續維持和改進安全措施,確保長期符合 PCI DSS 要求。

How much - 該花多少錢?

第一次為了符合 PCI DSS 的要求,企業須考量可能新增的軟硬體項目,條列費用如下: 

  1. 系統相關費用

    拆分主機至不同功能,如 Web Server、Application Server、DB Server,可能需要增加設備或使用虛擬伺服器。此外,需設立 NTP Server、FIM Server 和 Log Server 等安全服務元件。

  2. 安全設備費用

    增購網路安全控制設備 (NSCs),如防火牆、、入侵偵測防禦系統 (IPS、IDS)、網頁應用防火牆 (WAF) 等。

  3. 資料加密設備費用

    對卡資料進行卡號加密,可能需採用 HSM 硬體加密器以確保安全。

  4. 人員訓練費用

    PCI DSS 要求進行認知訓練、安全編程訓練和事故應對計劃演練等,內部人員需接受足夠的安全技術訓練。

  5. 技術檢測費用

    定期進行內外部弱點掃描、滲透測試、無線溢波掃描、卡號掃描和源碼掃描等。

  6. 其他費用支出

    服務供應商需進行卡組織服務供應商的登記,如 VISA 和 MasterCard 的登記。


除了上述可能的增加費用,還有 PCI DSS 的審查認證費用,這與 PCI DSS QSA 需要花多少時間來完成審查及編寫報告而定。

不管您是跨境線上購物業者、第三方支付平台或服務供應商,遵守 PCI DSS 合規要求非常重要,透過執行合規要求措施,不僅僅是交給收單機構及主管一張合規證書,也直接幫助您的企業減少資料洩漏和盜竊的風險,同時提升消費者對其交易安全的信心。
PCI DSS 合規條文共有 400 多項,從認識、理解、提供證據到合規取證,取證後未來又該如何持續合規狀態…?
建議可以考慮聘請 QSAC 幫助您短期內快速有效達到合規要求,取證後再藉由合規管理系統,利用自動監測、告警、定期繳交資料及即時可視化狀態…等功能,讓您的企業時時刻刻合規、安全!
*如想了解更多合規服務,歡迎聯繫我們
PCI 3DS 驗證 3 步驟_Max

PCI DSS 認證的流程以及合規費用說明

本文提供您 2024 年最新 PCI DSS 認證的標準流程

介紹 PCI DSS 認證等級及相關費用說明

目錄

PCI DSS 標準的說明

Payment Card Industry Data Security Standards (簡稱PCI DSS) 是由多家國際支付卡組織為保障其品牌持卡人資訊安全所訂定的共同產業標準,適用於儲存,處理或傳輸持卡人資訊的所有機構。凡接觸這些品牌支付卡的商戶 (Merchant) 或服務供應商 (Service Provider) 無論其規模大小或交易量多寡,都須依據符合 PCI DSS 安全標準進行對於持卡人資訊的安全保護。

PCI DSS 合規認證標準是由 PCI SSC (Payment Card Industry Security Standard Council) 理事會負責制訂及管理,理事會由創始會員 American Express、Discover Financial Services、JCB、MasterCard 和 Visa Inc. 及策略會員 UnionPay 共六家國際支付卡品牌所組成。

PCI DSS 認證 等級介紹

PCI DSS 合規認證通常被稱為 PCI DSS 審查 (PCI DSS Assessment),依據各卡組織的實施要求,商店 (Merchant) 或服務供應商 (Service Provider) 的等級略有不同,可以分為等級一至四 (Level 1-4) 並各自對應到不同應執行作業。

 

各卡組織對於等級的規定有些許不同,以下為 VISA 卡組織規定為例:

  • 商店等級

PCI DSS Merchant Level 商戶等級_Visa

PCI DSS Merchant Level 商戶等級_Visa

  • 服務供應商等級

PCI DSS Service Provider Level 服務商等級_Visa

PCI DSS Service Provider Level 服務商等級_Visa

其中商店或服務供應商為等級 1 的機構,需要由 QSA (Qualified Security Assessor),也就是 PCI DSS 的核可稽核員進行現場審查後撰寫報告。等級 2-4 的商店或是等級 2 的服務供應商可以使用 PCI DSS SAQ 自我評估表 (Self-Assessment Questionnaire) 由受審的公司/組織自行評估或請 QSA 來協助評估。

商店或服務供應商可以洽你的收單機構來確認你的等級及需要通過的 SAQ 種類。

PCI DSS 認證 時間介紹

一般 PCI DSS 的認證大致可以分為以下階段

PCI DSS 認證 階段 時間

從開始準備到顧問階段,進行審查的時間一般會在 3-5 個月的周期,其中要看接受審查組織的準備程度與系統、營運流程的複雜度而有所不同。

PCI DSS 相關新增費用

系統相關費用

與系統相關的費用增加,由於 PCI DSS 要求高強度的安全保護,例如 One Primary Function Per Server 主機單一功能要求 ( Req. 2.2.3),過往可能 Web Server,Application Server,DB Server 都同時置放在一台主機的必須被拆分至不同主機執行,因此可能多了一些主機設備的需求 (可以使用 Virtual Server),或是透過容器化切割開來 (Containerization)。

另外,由於 PCI DSS 對於安全的要求,要求要建立 DNS Server,NTP Server,FIM Server (File Integrity Management),Log Analysis Service 等安全服務的元件,因此可能較過往多出幾台機器來滿足合規的要求。

安全設備的費用

因應 PCI DSS 的安全要求,可能需要增購一些安全設備;例如防火牆、IPS、IDS、WAF 等安全設備。

資料加密設備費用

PCI DSS 要求對卡資料進行卡號加密的措施,安全等級高,效能需求高的組織會採取使用 HSM (Hardware Secure Module) 硬體加密器的方式,確保卡資料儲存時的安全。

人員訓練相關費用

PCI DSS 要求對於人員的訓練包含認知訓練 (Awareness Training),安全開發訓練 (Secure Coding Training),以及事故反應計畫 (IRP, Incident Response Plan) 的演練等;另外,如果自己執行弱點掃描 (Vulnerability Scan),滲透測試 (Penetration Test) ,內部的執行人員也需要經過足夠的安全技術訓練,因此可能在人員訓練的費用上也會有所增加。

技術檢測費用

PCI DSS 要求多項,定期的技術檢測,包含:

    • 卡號掃描 (Card Number Scanning)

    • 原始碼掃描 (Code Review)

    • 內部弱點掃描 (Internal Vulnerability Scan)

    • 外部弱點掃描 (ASV, External Vulnerability Scan)

    • 內部滲透測試 (Internal Penetration Test)

    • 外部滲透測試 (External Penetration Test)

    • 無線溢波掃描 (Wireless Scan)

這個部分應該會有一些新增的費用支出。

其他費用支出

如果是服務供應商 (Service Provider),收單機構或卡組織會要求進行卡組織服務供應商的登記,例如 VISA 的 VISA SP Registry 或 MasterCard 的 SDP 服務商登記

以一個中小型的服務供應商 (Service Provider) 來做預估,如果過去沒有做過 PCI DSS 的話,一般而言可能多出的費用支出預估條列如下表:

第一次 PCI DSS 可能增加 費用

第一次取得 PCI DSS 可能增加的費用

PCI DSS 認證 費用

除了上述可能的增加費用,還有 PCI DSS 的審查費用,這與  PCI DSS QSA 需要花多少時間來完成審查及報告而定,而預估審查的時間與下列的因素有關:

系統複雜度

主機的數量、系統使用 OS 的種類、系統上的元件 (Component) 安裝的多少,如果同時使用多種的OS ,也有多種安全配置,那麼檢測時的抽樣 (Sampling) 會增加許多。

安全設備及網段

受審查的範圍內部有多少安全設備,例如 Firewall, IPS, IDS, WAF, Switch, Router, SIEM, FIM…等安全設備會有設定、更新、存取控制及Log 等需要被檢查及留存紀錄,因此數量越多,網段規劃越複雜,會需要更多的檢查時間。

連接的收單機構,服務商的多寡

越多的收單機構與服務供應商的連結,會形成較複雜的資料流 (Dataflows),因此需要更多的時間來檢查。

資料庫及卡資料的留存、加密

越多樣的卡資料流程及越多樣的卡資料儲存都會需求更多的加密或安全保護,因此會多出更多的檢查項目。

營運單位數量

門市店點、使用的機房、營運辦公室的數量…等會直接增加審查的天數,例如銀行、電信等有大量門市及辦公室的營運單位,需要進行抽樣的數量更多;另外,如果有存放卡資料的備援機房,一般也會被納入審查範圍。

一般而言,各地區的 PCI DSS 審查的費用不盡相同,因為 PCI SSC 對於各地區的年費不同,各地區的 QSA 審查員的薪資也不同,若以東南亞地區的行情而言,一個中小型的服務商,首次的審查,應該需要 3-5 天的現場審查 (On-site Assessment),及大約一周的報告整理時間,尚且不計入交通的成本的話,PCI DSS 第一次的認證費用會落在 40-60 萬台幣間。但實際的價格仍需依據上述所提的複雜度來估算正確的審查時間需求而定。

           

Vincent Huang

安律國際股份有限公司 PCI QSA 與 資深顧問 – PCI QSA and Senior Consultant

  • IT Security Management, Payment Card Industry Security, Data Center Security and Cloud Security
  • 專業認證:PCI DSS QSA, PCI 3DS Assessor, PIN Security QPA, CISSP, CEH, NSPA, ISMS LA, ITSM LA, Certified CSA STAR Auditor, Europrise Technical Expert’ font_color=” custom_title=” custom_content=” custom_class=” admin_preview_bg=” av_uid=’av-69zvlt’]
安律國際股份有限公司 Secure Vectors Information Technologies Inc.

是專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢及合規審查服務。我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。在美國、英國、中國、日本、新加坡、越南、台灣等地設有服務據點,提供與合規相關的產品服務,包含認證 (合規審查)、合規安全協作代管、合規管理平台及顧問輔導等服務。

*如想了解更多合規服務,歡迎與我們聯繫  service@securevectors.com

我們會儘快回覆您的任何問題!