暗網潛航——信用卡安全標準(二)

  筆者於上星期簡單解釋信用卡安全標準的規範細則及其管理的模式,今次會簡述支付卡產業(PCI)信用卡安全標準業內的評估審計。PCI評估審計是信息安全行業內數一數二嚴厲的審計標準,因其審計只有合格及不合格這兩個結果,不存在持續改進或暫時接受的可能性。如果商戶不合格,就會失去使用信用卡收款的資格。

  PCI委員會會嚴格挑選負責評估審計的審計師,包括進行背景調查、購買人身、風險及專業責任保險,並且需要到海外指定地點進行培訓和考試,以及每年進行一次續牌考試。合乎資格進行培訓或考試的信息安全專家,都需要有一定的年資及經驗,才獲得通過委員會的驗證及培訓和考試准許。一旦在續牌考試不合格,便會馬上失去審計資格。委員會每年會抽查每一份的審計報告,一旦發現報告涉及虛假資料,信用卡品牌會向審計師提出訴訟。因此PCI報告在全球國際金融監管機構、銀行公會、保險公司及法庭均被視為可信報告。所以大家在使用信用卡的整個流程中,有一群獨特的國際信息安全專家,在背後保護着大家的私隱。

  下星期筆者會與大家詳細講解PCI內的12個安全指標及要求。有興趣的讀者可以到PCI的網址(https︰//www.pcisecuritystandards.org)下載文件,了解最嚴厲的信息安全標準。

TOZ聯合創辦人

龐博文


hd