PCI DSS 標準的說明

Payment Card Industry Data Security Standards (簡稱PCI DSS) 是由多家國際支付卡組織為保障其品牌持卡人資訊安全所訂定的共同產業標準，適用於儲存，處理或傳輸持卡人資訊的所有機構。凡接觸這些品牌支付卡的商戶 (Merchant) 或服務供應商 (Service Provider) 無論其規模大小或交易量多寡，都須依據符合 PCI DSS 安全標準進行對於持卡人資訊的安全保護。

PCI DSS 合規認證標準是由 PCI SSC (Payment Card Industry Security Standard Council) 理事會負責制訂及管理，理事會由創始會員 American Express、Discover Financial Services、JCB、MasterCard 和 Visa Inc. 及策略會員 UnionPay 共六家國際支付卡品牌所組成。

PCI DSS 認證 等級介紹

PCI DSS 合規認證通常被稱為 PCI DSS 審查 (PCI DSS Assessment)，依據各卡組織的實施要求，商店 (Merchant) 或服務供應商 (Service Provider) 的等級略有不同，可以分為等級一至四 (Level 1-4) 並各自對應到不同應執行作業。

各卡組織對於等級的規定有些許不同，以下為 VISA 卡組織規定為例:

• 商店等級

PCI DSS Merchant Level 商戶等級_Visa

• 服務供應商等級

PCI DSS Service Provider Level 服務商等級_Visa

其中商店或服務供應商為等級 1 的機構，需要由 QSA (Qualified Security Assessor)，也就是 PCI DSS 的核可稽核員進行現場審查後撰寫報告。等級 2-4 的商店或是等級 2 的服務供應商可以使用 PCI DSS SAQ 自我評估表 (Self-Assessment Questionnaire) 由受審的公司/組織自行評估或請 QSA 來協助評估。

商店或服務供應商可以洽你的收單機構來確認你的等級及需要通過的 SAQ 種類。

PCI DSS 認證 時間介紹

一般 PCI DSS 的認證大致可以分為以下階段

從開始準備到顧問階段，進行審查的時間一般會在 3-5 個月的周期，其中要看接受審查組織的準備程度與系統、營運流程的複雜度而有所不同。

PCI DSS 相關新增費用

系統相關費用

與系統相關的費用增加，由於 PCI DSS 要求高強度的安全保護，例如 One Primary Function Per Server 主機單一功能要求 ( Req. 2.2.3)，過往可能 Web Server，Application Server，DB Server 都同時置放在一台主機的必須被拆分至不同主機執行，因此可能多了一些主機設備的需求 (可以使用 Virtual Server)，或是透過容器化切割開來 (Containerization)。

另外，由於 PCI DSS 對於安全的要求，要求要建立 DNS Server，NTP Server，FIM Server (File Integrity Management)，Log Analysis Service 等安全服務的元件，因此可能較過往多出幾台機器來滿足合規的要求。

安全設備的費用

因應 PCI DSS 的安全要求，可能需要增購一些安全設備；例如防火牆、IPS、IDS、WAF 等安全設備。

資料加密設備費用

PCI DSS 要求對卡資料進行卡號加密的措施，安全等級高，效能需求高的組織會採取使用 HSM (Hardware Secure Module) 硬體加密器的方式，確保卡資料儲存時的安全。

人員訓練相關費用

PCI DSS 要求對於人員的訓練包含認知訓練 (Awareness Training)，安全開發訓練 (Secure Coding Training)，以及事故反應計畫 (IRP, Incident Response Plan) 的演練等；另外，如果自己執行弱點掃描 (Vulnerability Scan)，滲透測試 (Penetration Test) ，內部的執行人員也需要經過足夠的安全技術訓練，因此可能在人員訓練的費用上也會有所增加。

技術檢測費用

PCI DSS 要求多項，定期的技術檢測，包含：

• • 卡號掃描 (Card Number Scanning)

  • 原始碼掃描 (Code Review)

  • 內部弱點掃描 (Internal Vulnerability Scan)

  • 外部弱點掃描 (ASV, External Vulnerability Scan)

  • 內部滲透測試 (Internal Penetration Test)

  • 外部滲透測試 (External Penetration Test)

  • 無線溢波掃描 (Wireless Scan)

這個部分應該會有一些新增的費用支出。

其他費用支出

如果是服務供應商 (Service Provider)，收單機構或卡組織會要求進行卡組織服務供應商的登記，例如 VISA 的 VISA SP Registry 或 MasterCard 的 SDP 服務商登記

以一個中小型的服務供應商 (Service Provider) 來做預估，如果過去沒有做過 PCI DSS 的話，一般而言可能多出的費用支出預估條列如下表：

第一次取得 PCI DSS 可能增加的費用

PCI DSS 認證 費用

除了上述可能的增加費用，還有 PCI DSS 的審查費用，這與  PCI DSS QSA 需要花多少時間來完成審查及報告而定，而預估審查的時間與下列的因素有關：

系統複雜度

主機的數量、系統使用 OS 的種類、系統上的元件 (Component) 安裝的多少，如果同時使用多種的OS ，也有多種安全配置，那麼檢測時的抽樣 (Sampling) 會增加許多。

安全設備及網段

受審查的範圍內部有多少安全設備，例如 Firewall, IPS, IDS, WAF, Switch, Router, SIEM, FIM…等安全設備會有設定、更新、存取控制及Log 等需要被檢查及留存紀錄，因此數量越多，網段規劃越複雜，會需要更多的檢查時間。

連接的收單機構，服務商的多寡

越多的收單機構與服務供應商的連結，會形成較複雜的資料流 (Dataflows)，因此需要更多的時間來檢查。

資料庫及卡資料的留存、加密

越多樣的卡資料流程及越多樣的卡資料儲存都會需求更多的加密或安全保護，因此會多出更多的檢查項目。

營運單位數量

門市店點、使用的機房、營運辦公室的數量…等會直接增加審查的天數，例如銀行、電信等有大量門市及辦公室的營運單位，需要進行抽樣的數量更多；另外，如果有存放卡資料的備援機房，一般也會被納入審查範圍。

一般而言，各地區的 PCI DSS 審查的費用不盡相同，因為 PCI SSC 對於各地區的年費不同，各地區的 QSA 審查員的薪資也不同，若以東南亞地區的行情而言，一個中小型的服務商，首次的審查，應該需要 3-5 天的現場審查 (On-site Assessment)，及大約一周的報告整理時間，尚且不計入交通的成本的話，PCI DSS 第一次的認證費用會落在 40-60 萬台幣間。但實際的價格仍需依據上述所提的複雜度來估算正確的審查時間需求而定。