暗網潛航——信用卡安全標準(三)

  上周我們討論了支付卡產業(PCI)對信用卡安全標準業內評估審計,我們再看看它的覆蓋範圍。整個信用卡安全標準共有11份不同文件,覆蓋範圍由商戶接受持卡人付款至持卡人收到帳單的最後一個程序,涉及多個單位包括服務供應商、收單銀行、發卡機構及軟硬件製造商。

  本周筆者先介紹由管理商戶及服務供應商共同成立的《支付卡行業(PCI DSS)數據安全標準》,它除了覆蓋所有網上或實體接受信用卡的商戶和服務供應商(PCI Service Provider),包括軟件及硬件銷售開發、維修服務、人事及行政管理、線路及技術營運和安全服務供應商外,同時覆蓋有線及無線網絡,以至整個收取信用卡流程內軟件、硬件及人事管理安全。

  所有受PCI DSS覆蓋的商戶及服務供應商,必須遵守其定立的六個主安全要求大綱,由技術到行政管理附屬要求就有過千項。六項主要安全要求包括︰建立並維護安全網絡和系統、保護持卡人數據、維護漏洞管理計劃、實施強效訪問控制措施、定期監控並測試網絡以及維護訊息安全政策。

  這六項安全要求保護信用卡的「數據元素」,這些「數據元素」是於PCI DSS起始時,指引商戶及服務供應商哪些數據,可以因業務需要而儲存或嚴禁儲存。其中有明文規定商戶的「數據元素」,必須於加密網絡環境中進行處理,以及規定加密所使用的算式有最低要求限制範圍。面對嚴格安全要求,很多商戶及服務供應商安全及IT部門都難以通過PCI DSS。所以大家不管是網上或實體商戶,如果沒有通過PCI DSS審計,大家在使用信用卡前宜三思。

TOZ聯合創辦人

龐博文


hd