PCI 3DS 驗證 3 步驟

PCI 3DS 驗證 3 步驟_Max
Share on social media

3D 驗證 (3-D Secure)

消費者 (Consumer) 在商戶 (Merchant) 的電子商務平台使用信用卡付款時,需先輸入一次性密碼完成 3D 驗證 (3-D Secure),才可以完成一筆交易。這是一個讓信用卡交易加倍安全的技術。3D 驗證服務流程,由以下系統組件組成 3DS Server (3DSS), 3DS Directory Server (DS) 和 3DS Access Control Server (ACS)。

誰提供 3DS 驗證服務

3DS 驗證服務的系統組件包含了 3DSS、DS 和 ACS,其使用對象包含:

  • 3DSS 的使用對象包含銀行 (Bank)、收單機構 (Acquirer),除了可以自行建置管理 3DSS 之外,也可以使用提供 3DS Solution 服務提供商 (Hosting Service Provider) 的服務,提供商戶連接以及和卡組織 DS 進行 3D 驗證訊息交換。
  • DS 為信用卡組織 (VISA、MasterCard、JCB、Discover、American Express) 所擁有,以做為提供 3DSS 和 ACS 之間的 3D 驗證資料交換交界中心。
  • ACS 的使用對象為發卡行 (Issuer),也可以透過提供 3DS Solution 的服務提供商 (Hosting Service Provider) 進行託管。

以上的系統組件除了需通過 EMVCo 制定了產品與功能的標準 (EMV®3-D Secure-Protocol and Core Functions Specification v2.0) 之外,提供服務者也需要通過由 PCI 安全標準委員會 (PCI SSC) 制定的 PCI 3DS 安全審查標準 (Security Requirements and Assessment Procedures for EMV®3-D Secure Core Components: ACS,DS and 3DS Server),來保障 3DS 系統的運營環境及資料安全。

PCI 3DS 審查準備

所有 3DS 產品 (ACS, DS 和 3DSS) 需要通過 EMVCo 的產品測試,並通過各信用卡組織 (VISA、MasterCard、JCB、Discover、American Express) 的運營測試後才能確保其互通性 (Interoperability)。而 3DS 產品的運營環境安全,則需通過 PCI SSC 制定的 PCI 3DS 安全審查標準。

PCI 3DS 審查,由 PCI SSC 核可的 QSA 公司進行安全的審查,卡組織通常在於 3DS 產品通過其運營測試、支付機構與商戶 (Acquirers, Merchants) 通過 PCI 3DS 審查後才正式核可 3DS 的服務上線。PCI 3DS 標準分為 Part 1 及 Part 2 兩部分:

  • Part 1 包含3DS 系統運營環境所需要的安全規定 (3DS Baseline Security Requirements)。
  • Part 2 為 3DS 系統運行本身的系統安全及資料安全規定 (3DS Security Requirements)。

如果支付機構或服務供應商使用的環境,或 3DS 系統所運作存在的環境,已通過 PCI DSS 合規審查,且PCI DSS 合規審查的範圍與 PCI 3DS 的運作需求相同 (無不當的排除項目存在),則可以僅建置 PCI 3DS Part 2 的合規規定項目。

PCI 3DS 審查前,需進行以下三個準備階段

PCI 3DS 驗證 3 步驟_Max

(1) 確保3DS資料的保存與保護合規

為了確保所經手處理的 3DS 交易資料均符合PCI 3DS 標準合規要求,支付機構或服務供應商應檢視現有或規劃運行的 3DS 系統資料流程及資料保存已依據PCI 3DS Data Matrix 對於各項資料保存、安全保護的規定。包括對於 Authentication Data, Key Data 已及 Cryptographic Key (適用於 ACS, DS) 的保護及保存規定。合規規定中不得儲存的資料應確保於系統交易處理過程中不保存,如系統供應商所提供或協助建置者,也應諮詢該系統廠商有關 3DS 資料的處理方式。

(2) 備妥並實施相關程序及管理作業

PCI 3DS 規範支付機構或服務供應商建立管理政策及程序確保 3DS 服務的安全管理作業合於 PCI 3DS 規範,例如存取控制政策及軟體開發程序等。 PCI 3DS 以運營的風險為前提,建立對應的保護措施及實施等級,並要求建立及留存管理必須的文件及紀錄,包括風險評鑑結果、軟硬體清冊、網路架構圖及資料流程圖 (Network Diagrams, Data Flow Diagrams) 以及各項的測試及實施紀錄。

(3) 進行合規要求的各項技術檢測

PCI 3DS 要求以下技術測試:

  • 軟體安全測試 (Software Security Tests)
  • 每季一次內外部弱點掃描 (Vulnerability Scans)
  • 每年一次的滲透測試 (Penetration Tests)

相關測試可以委由專業技術檢測公司提供服務或由內部專門人員進行。其中外部弱點掃描需使用 PCI SSC 核可的 ASV 服務供應商。

進行 PCI 3DS 審查

PCI 3DS 的核可服務商為 PCI 3DS QSA 公司,相關核可名單可以於 PCI SSC 網站中可查詢。安律信息技術公司是目前亞太地區少數提供 PCI 3DS 審查服務的 QSA 公司。

審查作業依據各組織的規模大小與 3DS 系統的建置方式而有不同,通常在審查前或審查開始階段會進行 Scoping 的範圍確認作業,審查期間在現場 (On-site) 3-5 天查核以及 QSA 人員的報告及證據會在非現場 (Off-site) 進行檢視。審查完成後,由 QSA 公司簽署 Report On Compliance (ROC) 報告,並由是受審查組織簽署 Attestation of Compliance (AOC) 後完成。

支付機構或服務供應商應依據卡組織或收單機構的要求提交 AOC 或 ROC 完成年度的審查。PCI 3DS 標準應每年進行一次審查。


Max Tsai

安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant

• Payment Card Industry Security, IT Security Management, Cloud Service Management
• 專業認證: PCI DSS QSA, CISSP, ISMS LA


安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一個專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。


你可能會喜歡看

您適用哪一個 PCI DSS SAQ 類型?

/
您適用哪一個 PCI DSS SAQ 類型? PCI DSS Self-Assessment…
first time PCI DSS Compliance

【PCI DSS 過證懶人包】資安小白也能輕鬆達標

/
【PCI DSS 過證懶人包】資安小白也能輕鬆達標 2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會…
PCI 3DS 驗證 3 步驟_Max

PCI DSS 認證的流程以及合規費用說明

/
PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。
acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
PCI 3DS 驗證 3 步驟_Max

PCI DSS 認證的流程以及合規費用說明

/
PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。

集團業務重整 公告

/
安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司 Secure Vectors Information Technologies Inc.」
acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?

/
本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用…

*如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com

我們會儘快回覆您的任何問題!

    請輸入右方所示文字 captcha

    © 2020 Copyright - 安律信息技術有限公司 Secure Vectors Information Technologies Inc.