PCI DSS即是「支付卡行業數據安全標準」(Payment Card Industry Data Security Standard) 的簡稱，是支付卡數據安全的操作框架，涵蓋了安全檢測、漏洞分析及對應安全事件作出的行動，被支付行業廣泛接受。PCI DSS是2004年由四大國際性卡組織－Visa，萬事達，Discover和美國萬通－聯合制定的，任何卡種包括信用卡、提款卡及現金卡都要遵從此標準。

過去十年，卡支付的交易上升了雙倍，而透過網上和電話應用程式進行的交易亦持續增長。然而，近年的欺詐交易數量相應增加，因此我們需要保護所有交易，以免持卡人使用他們的提款卡或信用卡消費時，蒙受資金損失的風險。

PCI DSS 主要目的和適用對象

PCI DSS提供技術上和運作上的要求基準，以保障交易的安全性並保護持卡人免受濫用其個人信息的風險。PCI DSS適用於處理所有涉及支付卡的機構 – 包括商戶、交易處理商、收單機構、發行商、服務提供商和所有其他保管、處理或傳輸持卡人的資料(CHD)和/或敏感認證資料(SAD)的機構。

PCI DSS 基準要求

PCI DSS包含十二種要求，分為六個主要範疇：

1. 建立和維護安全的網絡和系統

• 安裝和維持防火牆的配置以保護持卡人的資料
• 不要在系統上使用供應商提供的預設密碼和安全參數

2. 保障持卡人的資料

• 保護持卡人已儲存的資料，例如出生日期、母親的姓氏、社會安全號碼、電話號碼、電郵地址等
• 加密在公眾網絡平台上傳送的持卡人資料

3. 定期進行漏洞管理的維護

• 保護所有系統以防止惡意軟件攻擊，定期更新反病毒軟件和程式
• 建立和維護保安系統和應用程式，定期安裝軟件及運作系統供應商提供的更新程式，以確保最高水平的漏洞管理

4. 執行嚴格的存取/訪問控制措施

• 限制存取持卡人的資料，除非企業必須知道該信息，以保護並有效執行交易
• 識別和驗證對系統的存取
• 限制存取持卡人的資料數據

5. 定期監管網絡和測試網域

• 追蹤和監控所有網絡來源和持卡人的資料
• 定期測試保安系統以確保所有保安方法的正常運作及是最新版本。​

6. 維持信息安全政策

• 維持針對所有個人的資料安全的措施

Reference: https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2.pdf?agreement=true&time=1519792890776