支付卡行業資料安全標準(PCIDSS , The Payment Card Industry Data Security Standard)主要目的在促進並增強持卡人的資料安全,讓全球的支付卡交易能有統一的資料安全規範。PCIDSS 適用於參與支付卡處理的所有實體 — 包括商店、處理商、收單機構、發卡機構和服務提供商。PCIDSS標準還適用於存儲、處理或傳輸持卡人資料或敏感驗證資料的所有其他實體。
PCIDSS安全標準主要涵蓋了以下六大領域,12大要求:
建立並維護安全的網路和系統 |
1. 安裝並維護防火牆配置以保護持卡人資料 2. 不要使用供應商提供的預設系統密碼和其他安全參數 |
---|---|
保護持卡人資料 |
3. 保護存儲的持卡人資料 4. 加密持卡人資料在開放式公共網路中的傳輸 |
維護漏洞管理計畫 |
5. 為所有系統提供惡意軟體防護並定期更新殺毒軟體或程式 6. 開發並維護安全的系統和應用程式 |
實施強效存取控制措施 |
7. 按業務知情需要限制對持卡人資料的訪問 8. 識別並驗證對系統元件的訪問 9. 限制對持卡人資料的物理訪問 |
定期監控並測試網路 |
10. 跟蹤並監控對網路資源和持卡人資料的所有訪問 11. 定期測試安全系統和流程 |
維護資訊安全政策 |
12. 維護針對所有工作人員的資訊安全政策 |
針對如何保護持卡人資料、實施強效存取控制措施,能提供以下產品以符合PCIDSS安全標準。
提供點對點加密(End-To-End Encryption)、資料加密(Encryption)、資料代碼化(Tokenization)等系統功能,解密金鑰(Data Decryption Key)、主金鑰(Master Key)均儲存於符合規法的硬體加密器(HSM, Hardware Security Module)