PCI DSS
PCI DSS 是支付卡產業的安全標準,由 American Express, Discover, JCB, MasterCard, 以及 Visa 組成的 PCI SSC 組織所訂定,作為保護持卡人資料的安全標準,所有與前述國際卡組織相關的單位均需要遵循 PCI DSS 的規範。
何謂 PCI DSS?
Payment Card Industry Data Security Standards,(簡稱PCI DSS) 是多家主要的國際信用卡組織針對處理他們品牌的持卡人資訊安全所訂定的共同產業標準,適用於存儲、處理或傳輸持卡人資訊的所有機構。接觸這些品牌的支付卡的商戶 (Merchant) 或服務提供商 (Service Provider) 無論其規模大小或交易量多寡,都須依據符合 PCI DSS 安全標準進行對於持卡人資訊的安全保護。
PCI DSS 標準的制定由 PCI SSC (Payment Card Industry Security Standard Council) 理事會負責制訂及管理此安全標準。理事會由 American Express、Discover Financial Services、JCB、MasterCard 和 Visa Inc. 為創始成員,目前 PCI DSS 的適用範圍在此五大卡組織相關的支付卡。
PCI DSS 標準
PCI DSS 標準是目前各類安全標準中,最嚴格的安全標準之一,它在6 個安全原則下建立了12 項的安全領域要求。
| 建立並維護網路與系統的安全 | 1. 安裝並維護防火牆設定,以保護持卡人資料 2. 不使用供應商提供的預設系統密碼和其他參數 |
| 保護持卡人的資料 | 3. 保護儲存的持卡人資料 4. 在公共網路中傳輸加密的持卡人資料 |
| 維護弱點管理計畫 | 5. 保護資訊系統避免惡意程式攻擊並定期更新防毒軟體碼及程式 6. 開發並維護系統與應用程式之安全 |
| 實施嚴格的存取控制措施 | 7. 限制僅有業務需求的人存取持卡人資料 8. 識別與授權可存取的資訊系統 9. 限制持卡人資料的實體存取 |
| 定期監控和測試網路 | 10. 追蹤和監控網路環境和持卡人資料的所有操作紀錄 11. 定期測試系統和作業流程之安全 |
| 維護資訊安全政策 | 12. 維護對於所有人員的資訊安全政策 |
持卡人資訊
PCI DSS 作為支付卡產業的安全標準,主要的安全保護關注在持卡人的數據上,依據實施的組織不同,可以分為 Card Present (卡片出示的交易),例如面對面的交易、實體商店交易的方式,以及 Card Not Present (無卡交易的方式),例如網路交易、電子商務交易等。
其中不同交易碰觸到的持卡人資訊將不同,Card Present 交易可以碰觸到磁條或晶片內的數據用於交易上。
無卡交易方式則僅使用卡片上的卡號以及卡片上的安全碼。
以下是PCI DSS 對於持卡人資訊的安全要求規定:
| 項目 | 存取權限 | 使存儲數據不可讀 | ||
| 帳號資料 | 持卡人資料 | 卡號 (PAN) | 是 | 是 |
| 持卡人姓名 | 是 | 否 | ||
| 服務碼 | 是 | 否 | ||
| 到期日 | 是 | 否 | ||
| 敏感性驗證資料 | 磁軌 | 否 | 無法儲存 | |
| CAV2/CVC2/CVV2/CID | 否 | 無法儲存 | ||
| PIN/PIN Block | 否 | 無法儲存 |
如何通過PCI DSS 安全審查
PCI DSS 實施的階段可以分為四個工作階段,依據達成 PCI DSS 合規要求的需要,共有準備階段、盤點清查階段、建置階段及合規審查階段等四個階段:
- Scoping 界定範圍
- 信用卡資料流分析
- PCI DSS 標準教育訓練
盤點清查階段
- 資訊資產清查作業
- 風險評鑑作業
- 系統強化查核作業
- 管控措施規畫(風險處理計畫)
- 信用卡資料掃描作業
- 內部及外部滲透測試(初測)
- 弱點掃描作業初測
建置階段
- 資訊安全政策與組織設計
- 文件準備
- 資訊安全事件演練
- 資訊安全事件管理教育訓練
- 內部及外部滲透測試(複測)
- 弱點掃描作業複測
- 無線溢波偵測作業
審查階段
- PCI DSS 審查前準備
- PCI DSS 正式審查
聯繫我們
如有任何問題,歡迎隨時與我們聯繫!
