什麼是支付卡產業資料安全標準?
支付卡產業 (PCI) 資料安全標準 (DSS) 是一套周延的規定,其設計旨在確保無論在什麼時間、位置收集、處理、傳送與儲存持卡人信用卡與簽帳卡資訊時,這些資訊皆能安全無虞。 PCI 安全標準協會創始會員 (包括 American Express、Discover Financial Services、JCB、MasterCard Worldwide 以及 Visa International) 所開發的 PCI DSS 立意在於促進國際採用一致的資料安全性措施。
PCI DSS 規定是針對日常業務中需處理持卡人資料的公司與組織提出。 PCI DSS 特別為日常需要處理持卡人資料的金融機構、商家和服務供應商設定相關規定。 PCI DSS 是由一系列適用於安全性管理、原則、程序、網路架構、軟體設計和其他保護持卡人資料的措施之規定所組成。
2006 年 9 月發行的 PCI DSS 1.1 版是最新版的標準。 它已編排為一組六項原則和十二條附加規定。 每項規定包含細項規定,您必須實作程序、原則或技術解決方案以符合其規定。 PCI DSS 原則與規定包括:
建置與維護安全的網路
規定 1:安裝並維護防火牆設定以保護持卡人資料。
規定 2:勿使用廠商提供的預設系統密碼和其他安全參數。
保護持卡人資料
規定 3:保護儲存的持卡人資料。
規定 4:加密於開放式公用網路上進行的持卡人資料傳輸。
維護弱點管理計畫
規定 5:使用並定期更新防毒軟體。
規定 6:開發並維護安全的系統和應用程式。
實作增強式存取控制措施
規定 7:將持卡人資料存取限制為業務須知。
規定 8:為每個具有電腦存取權限的人員指派唯一的 ID。
規定 9:限制持卡人資料的實體存取。
定期監視和測試網路
規定 10:追蹤和監視所有網路資源和持卡人資料的存取。
規定 11:定期測試安全性系統和程序。
維護資訊安全性原則
規定 12:維護處理資訊安全性的原則。
沒有留言:
張貼留言