支付卡產業資料安全標準 (Payment Card Industry Data Security Standard,簡稱PCI DSS) 是支付卡產業安全標準協會所制定的標準,是基於保障持卡人資料安全的全球統一規範。凡儲存、處理或傳輸 Visa 持卡人資料的業者,包括金融機構、特約商店與服務提供者都必須遵守。所有參與 Visa 計劃的合作夥伴,須定期提供合規證明以符合 PCI DSS。
遵循最新版的資料安全標準
PCI DSS 資安合規標準
每一個人都受惠的安全標準。
-
Visa持卡人資訊安全計劃(CISP)是一項合規計劃,目的在確保Visa的客戶、特約商店及服務提供者持續維持最高的資訊安全標準,來保護Visa持卡人資料。
PCI安全標準委員會(SSC)擁有、維持並管理 PCI DSS 規範標準及其全部相關文件,但 Visa 則繼續自行管理資料安全合規執行事務與驗證計畫。
-
發卡機構與收單機構必須確保其所有的服務提供者、特約商店以及特約商店的服務提供者皆遵守 PCI DSS 認證要求。
根據交易量、潛在的風險以及支付系統面對的安全威脅,來確定特約商店合規驗證的優先順序。
發卡機構與收單機構必須確保其所有第1級與第2級的服務供應商在註用登記第三方機構(TPA)時,以及之後的每12個月均要證明符合 PCI DSS 合規標準。
-
收單機構必須確保其特約商店在適當的層級執行驗證程序,並向特約商店取得所需的合規證明文件。商家銀行與特約商店還要核實其他支付卡公司的合規報告要求,這些公司可能要求提供合規驗證證明。
與 Visa 無直接關係的第1級服務供應商必須完成年度現場 PCI 資料安全性評估,並向 Visa 提交一份由服務提供者與合格安全評估商(QSA)簽字的合規證明(AOC)。第2級服務提供者必須提交一份簽字的自我評鑑問卷(SAQ-D)或由合格安全評估商簽字的合規證明。服務提供者必須通過 PCI DSS 認證,才可列入 Visa 全球服務供應商登記名單(名錄)。
-
Visa 核心規則 (Visa Core Rules)與 Visa 產品及服務規則規範金融機構,乃至 Visa 支付系統參與者的服務提供者與特約商店。
發卡機構與收單機構必須確保其服務提供者與特約商店遵守 PCI DSS 規範,包括特約商店的服務提供者。服務提提供者特約商店必須隨時皆遵守全部的合規規定。(VCR部分ID#0002228和#0008031)
如果服務提供者或特約商店不遵守 PCI DSS 規範標準,或未能修補安全性問題,Visa可能會對發卡機構或收單機構進行違規評估。發卡機構或收單機構將負責支付全部的評估費用,且不得聲稱 Visa 針對服務提供者或特約商店强制進行任何評估。(VCR部分ID#0001054)
收單機構請利用 [email protected] 聯絡Visa風險取得更多資訊。
PIN安全計畫
Visa正在所有地區簡化PIN安全性的合規驗證。
付款應用程式資料安全標準(PA-DSS)
Visa 强烈建議付款應用程式供應商制定並驗證其產品遵循 PA–DSS 的規定。符合 PA–DSS 標準的應用程式協助特約商店與第三方機構減輕資料遭盜用的情形,防止儲存敏感的持卡人資料,並幫助達到 PCI DSS 認證規定。PA–DSS 只適用於第三方付款應用程式軟體,在授權或結算過程中儲存、處理或傳輸持卡人資料。特約商店或第三方機構的内部軟體應用程式也包括在 PCI DSS 評估裡。
-
雖然許多付款應用程式供應商部署了j符合PA–DSS標準的付款應用程式,但人們日益憂慮沒有持續開發最新版的付款應用程式,來確保不會再次引入已知的漏洞。此外,另一個令人擔憂的是客戶端並沒有安全地建置付款軟體。
特約商店與第三方機構資料遭盜用表示許多付款應用程式公司在安裝付款應用程式與系統時做法欠妥,支持客戶使用較弱、共用或預設的登入身份驗證資訊,以及實施不好的遠端管理工具管理客戶的網站。犯罪分子可以利用這些漏洞並盜用持卡人的資料。
Visa己建置了一系列的最佳範例,幫助付款應用程式公司處理重要的軟體流程。收單機構、特約商店與第三方機構應確保其配合的付款應用程式公司通過嚴格的成熟軟體流程測試,這是核身流程的一部分。
-
Visa己確定軟體供應商設計的某些付款應用程式,是在交易授權之後儲存敏感的持卡人資料(例如完整的磁條資料、CVV2或PIN資料)。儲存這些持卡人資料則違反了PCI DSS與Visa規章。那些使用這些有漏洞的付款應用程式的特約商店與第三方機構成了犯罪分子的目標,利用這些安全漏洞來尋找盜竊持卡人資料。
Visa將視情形警示一些主要的相關者(包括收單機構),提供最新的易受攻擊的付款應用程式清單,來協助減輕資料遭盜用的情形。如果您發現某個有漏洞的付款應用程式,以及知道付款應用程式供應商、應用程式版本、敏感的持卡人資料儲存位置及供應商的聯絡方式,請透過電子郵件[email protected]通知Visa。所有您提供的資訊將透過軟體供應商進行驗證。Visa不會向任何軟體供應商透露訊息來源,或披露提供人身份的資料。
-
Visa於2005年開發付款應用程式最佳範例(PABP),提供軟體供應商付款應用程式開發指南,幫助特約商店與第三方機構減少資料遭盜用情形、防止儲存敏感的持卡人資料(例如完整的磁條資料、CVV2或PIN資料)、協助符合PCI DSS合規。2008年,支付卡產業安全標準委員會採納了Visa的PABP,並發佈了與PA–DSS一樣的標準。現在PA–DSS已取代了PABP以遵循Visa的合規計劃。