暗網潛航——信用卡安全標準(一)

  上星期談及關於酒店處理信用卡安全問題,不少朋友想了解信用卡安全標準及管理模式。筆者作為信用卡品牌指派「支付卡產業合格的安全審計師」(PCIQSA)的信息安全專家,向大家解釋當中細則。

  現時所有信用卡支付行為包括實體信用卡支付及無卡支付,是需要被強制執行一個嚴謹的行業信息安全規範──「支付卡產業資料安全標準」(PCIDSS),負責制定和執行這個安全標準的委員會簡稱「PCISSC」,成員包括Visa、Master、JCB、American Express、Discovery及中國銀聯。

  安全標準涵蓋各類信用卡支付流程,並有大量技術及行政規範應用在信用卡讀卡機、收銀機系統、銀行櫃員機、點對點加密、發卡機構、收單商業銀行、接受信用卡商戶(實體及網上)、手機支付軟硬件等。

  整套安全標準分別有商戶支件安全標準(PCIDSS)、商戶服務供應商安全標準(PCI Service Provider)、支付軟件安全標準(PADSS)、點對點加密標準(P2PE)、支付硬件讀卡機安全標準(PCIPTS)、支付卡鑒證調查標準(PCI Forensic)等,所有文件均設有繁簡中文、英日法西班牙語及其他語言。

  這些安全標準針對支付流程內不同範疇,進行重點安全規範,例如商戶一方有12個不同安全指標,每個指標內會有數百個不同安全要求。當大家在生活上使用信用卡時,便會受這些安全規範及要求保護。這些安全規範是由信用卡品牌所組成的委員會,向發卡機構及收單商業銀行發出,商戶必須遵從。倘若商戶沒有遵從信用卡安全標準,而發生洩露信用卡資料或持卡人私隱,信用卡品牌會提出訴訟及賠款。

TOZ聯合創辦人

龐博文


hd