PCI DSS
PCI DSS 是支付卡产业的安全标准,由 American Express, Discover, JCB, MasterCard, 以及 Visa 组成的 PCI SSC 组织所制定,作为保护持卡人数据的安全标准,所有与前述国际卡组织相关的单位均需要遵循 PCI DSS 的规范。
什么是 PCI DSS?
Payment Card Industry Data Security Standards,(简称 PCI DSS ) 是多家主要的国际信用卡组织针对处理他们品牌的持卡人信息安全所订定的共同产业标准,适用于存储、处理或传输持卡人信息的所有机构。 接触这些品牌的支付卡的商户 (Merchant) 或服务提供商 (Service Provider) 无论其规模大小或交易量多寡,都须依据符合 PCI DSS 安全标准进行对于持卡人信息的安全保护。
PCI DSS 标准的制定由 PCI SSC (Payment Card Industry Security Standards Council) 委员会负责制订及管理此安全标准。委员会由 American Express、Discover Financial Services、JCB、MasterCard和Visa Inc. 为创始成员,目前 PCI DSS 的适用范围在此五大卡组织相关的支付卡。
标准
PCI DSS 标准是目前各类安全标准中,最严格的安全标准之一,它在 6 个安全原则下建立了 12 项的安全领域要求。
| 建立并维护网络与系统的安全 | 1. 安装并维护防火墙设定,以保护持卡人数据 2. 不使用供货商提供的默认系统密码和其他参数 |
| 保护持卡人的数据 | 3. 保护储存的持卡人数据 4. 在公共网络中传输加密的持卡人数据 |
| 维护弱点管理计划 | 5. 保护信息系统避免恶意软件攻击并定期更新防病毒软件码及程序 6. 开发并维护系统与应用程序之安全 |
| 实施严格的访问控制措施 | 7. 限制仅有业务需求的人存取持卡人数据 8. 识别与授权可存取的信息系统 9. 限制持卡人数据的实体存取 |
| 定期监控和测试网络 | 10. 追踪和监控网络环境和持卡人数据的所有操作纪录 11. 定期测试系统和作业流程之安全 |
| 维护信息安全政策 | 12. 维护对于所有人员的信息安全政策 |
持卡人信息
PCI DSS 作为支付卡产业的安全标准,主要的安全保护关注在持卡人的数据上,依据实施的组织不同,可以分为 Card Present (卡片出示的交易),例如面对面的交易、实体商店交易的方式,以及 Card Not Present (无卡交易的方式),例如网络交易、电子商务交易等。
其中不同交易碰触到的持卡人信息将不同,Card Present 交易可以碰触到磁条或芯片内的数据用于交易上。
无卡交易方式则仅使用卡片上的卡号以及卡片上的安全码。
以下是PCI DSS 对于持卡人信息的安全要求规定:
| 项目 | 访问权限 | 使存储数据不可读 | ||
| 账号数据 | 持卡人资料 | 卡号 (PAN) | 是 | 是 |
| 持卡人姓名 | 是 | 否 | ||
| 服务码 | 是 | 否 | ||
| 到期日 | 是 | 否 | ||
| 敏感性验证数据 | 磁道 | 否 | 无法储存 | |
| CAV2/CVC2/CVV2/CID | 否 | 无法储存 | ||
| PIN/PIN Block | 否 | 无法储存 |
如何通过PCI DSS 安全审查
PCI DSS 实施的阶段可以分为四个工作阶段,依据达成 PCI DSS 合规要求的需要,共有准备阶段、盘点清查阶段、建置阶段及合规审查阶段等四个阶段:
- Scoping 界定范围
- 信用卡数据流分析
- PCI DSS 标准教育训练
盘点清查阶段
- 信息资产清查作业
- 风险评鉴作业
- 系统强化查核作业
- 管控措施规画(风险处理计划)
- 信用卡数据扫描作业
- 内部及外部渗透测试(初测)
- 弱点扫描作业初测
建制阶段
- 信息安全政策与组织设计
- 文件准备
- 信息安全事件演练
- 信息安全事件管理教育训练
- 内部及外部渗透测试(复测)
- 弱点扫描作业复测
- 无线溢波侦测作业
审查阶段
- PCI DSS 审查前准备
- PCI DSS 正式审查
联系我们
如有任何问题,欢迎随时与我们联系!
