2018.05.16

什麼是PCI DSS?為何它對支付市場如此重要?

PCI DSS即是「支付卡行業數據安全標準」(Payment Card Industry Data Security Standard) 的簡稱,是支付卡數據安全的操作框架,涵蓋了安全檢測、漏洞分析及對應安全事件作出的行動,被支付行業廣泛接受。PCI DSS是2004年由四大國際性卡組織-Visa,萬事達,Discover和美國萬通-聯合制定的,任何卡種包括信用卡、提款卡及現金卡都要遵從此標準。

過去十年,卡支付的交易上升了雙倍,而透過網上和電話應用程式進行的交易亦持續增長。然而,近年的欺詐交易數量相應增加,因此我們需要保護所有交易,以免持卡人使用他們的提款卡或信用卡消費時,蒙受資金損失的風險。

 

PCI DSS 主要目的和適用對象

PCI DSS提供技術上和運作上的要求基準,以保障交易的安全性並保護持卡人免受濫用其個人信息的風險。PCI DSS適用於處理所有涉及支付卡的機構 – 包括商戶、交易處理商、收單機構、發行商、服務提供商和所有其他保管、處理或傳輸持卡人的資料(CHD)和/或敏感認證資料(SAD)的機構。

 

PCI DSS 基準要求

PCI DSS包含十二種要求,分為六個主要範疇:

1. 建立和維護安全的網絡和系統

  • 安裝和維持防火牆的配置以保護持卡人的資料
  • 不要在系統上使用供應商提供的預設密碼和安全參數

2. 保障持卡人的資料

  • 保護持卡人已儲存的資料,例如出生日期、母親的姓氏、社會安全號碼、電話號碼、電郵地址等
  • 加密在公眾網絡平台上傳送的持卡人資料

3. 定期進行漏洞管理的維護

  • 保護所有系統以防止惡意軟件攻擊,定期更新反病毒軟件和程式
  • 建立和維護保安系統和應用程式,定期安裝軟件及運作系統供應商提供的更新程式,以確保最高水平的漏洞管理

4. 執行嚴格的存取/訪問控制措施

  • 限制存取持卡人的資料,除非企業必須知道該信息,以保護並有效執行交易
  • 識別和驗證對系統的存取
  • 限制存取持卡人的資料數據

5. 定期監管網絡和測試網域

  • 追蹤和監控所有網絡來源和持卡人的資料
  • 定期測試保安系統以確保所有保安方法的正常運作及是最新版本。​

6. 維持信息安全政策

  • 維持針對所有個人的資料安全的措施

 

Reference: https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2.pdf?agreement=true&time=1519792890776

 




Comments