信用卡安全標準(三)
2021/05/10 04:15:52
網誌分類:
經濟
本周筆者先介紹由管理商戶及服務供應商共同成立的《支付卡行業(PCI DSS)數據安全標準》,它除了覆蓋所有網上或實體接受信用卡的商戶和服務供應商(PCI Service Provider),包括軟件及硬件銷售開發、維修服務、人事及行政管理、線路及技術營運和安全服務供應商外,同時覆蓋有線及無線網絡,以至整個收取信用卡流程內軟件、硬件及人事管理安全。
所有受PCI DSS覆蓋的商戶及服務供應商,必須遵守其定立的六個主安全要求大綱,由技術到行政管理附屬要求就有過千項。六項主要安全要求包括︰建立並維護安全網絡和系統、保護持卡人數據、維護漏洞管理計劃、實施強效訪問控制措施、定期監控並測試網絡以及維護訊息安全政策。
這六項安全要求保護信用卡的「數據元素」,這些「數據元素」是於PCI DSS起始時,指引商戶及服務供應商哪些數據,可以因業務需要而儲存或嚴禁儲存。其中有明文規定商戶的「數據元素」,必須於加密網絡環境中進行處理,以及規定加密所使用的算式有最低要求限制範圍。面對嚴格安全要求,很多商戶及服務供應商安全及IT部門都難以通過PCI DSS。所以大家不管是網上或實體商戶,如果沒有通過PCI DSS審計,大家在使用信用卡前宜三思。
TOZ聯合創辦人
龐博文
回應
(0)
我要發表