暗網潛航——信用卡安全標準(三)
龐博文
2021-05-10 04:16 HKT
字體大小
上周我們討論了支付卡產業(PCI)對信用卡安全標準業內評估審計,我們再看看它的覆蓋範圍。整個信用卡安全標準共有11份不同文件,覆蓋範圍由商戶接受持卡人付款至持卡人收到帳單的最後一個程序,涉及多個單位包括服務供應商、收單銀行、發卡機構及軟硬件製造商。
本周筆者先介紹由管理商戶及服務供應商共同成立的《支付卡行業(PCI DSS)數據安全標準》,它除了覆蓋所有網上或實體接受信用卡的商戶和服務供應商(PCI Service Provider),包括軟件及硬件銷售開發、維修服務、人事及行政管理、線路及技術營運和安全服務供應商外,同時覆蓋有線及無線網絡,以至整個收取信用卡流程內軟件、硬件及人事管理安全。
所有受PCI DSS覆蓋的商戶及服務供應商,必須遵守其定立的六個主安全要求大綱,由技術到行政管理附屬要求就有過千項。六項主要安全要求包括︰建立並維護安全網絡和系統、保護持卡人數據、維護漏洞管理計劃、實施強效訪問控制措施、定期監控並測試網絡以及維護訊息安全政策。
這六項安全要求保護信用卡的「數據元素」,這些「數據元素」是於PCI DSS起始時,指引商戶及服務供應商哪些數據,可以因業務需要而儲存或嚴禁儲存。其中有明文規定商戶的「數據元素」,必須於加密網絡環境中進行處理,以及規定加密所使用的算式有最低要求限制範圍。面對嚴格安全要求,很多商戶及服務供應商安全及IT部門都難以通過PCI DSS。所以大家不管是網上或實體商戶,如果沒有通過PCI DSS審計,大家在使用信用卡前宜三思。
TOZ聯合創辦人
龐博文
本周筆者先介紹由管理商戶及服務供應商共同成立的《支付卡行業(PCI DSS)數據安全標準》,它除了覆蓋所有網上或實體接受信用卡的商戶和服務供應商(PCI Service Provider),包括軟件及硬件銷售開發、維修服務、人事及行政管理、線路及技術營運和安全服務供應商外,同時覆蓋有線及無線網絡,以至整個收取信用卡流程內軟件、硬件及人事管理安全。
所有受PCI DSS覆蓋的商戶及服務供應商,必須遵守其定立的六個主安全要求大綱,由技術到行政管理附屬要求就有過千項。六項主要安全要求包括︰建立並維護安全網絡和系統、保護持卡人數據、維護漏洞管理計劃、實施強效訪問控制措施、定期監控並測試網絡以及維護訊息安全政策。
這六項安全要求保護信用卡的「數據元素」,這些「數據元素」是於PCI DSS起始時,指引商戶及服務供應商哪些數據,可以因業務需要而儲存或嚴禁儲存。其中有明文規定商戶的「數據元素」,必須於加密網絡環境中進行處理,以及規定加密所使用的算式有最低要求限制範圍。面對嚴格安全要求,很多商戶及服務供應商安全及IT部門都難以通過PCI DSS。所以大家不管是網上或實體商戶,如果沒有通過PCI DSS審計,大家在使用信用卡前宜三思。
TOZ聯合創辦人
龐博文
最Hit
天王級男歌手傳斥逾7億橫掃富豪地段4層豪宅 現居1.7億複式單位擁360度空中花園觀景台
2025-06-12 16:00 HKT
將軍澳大型屋苑迷你工人房 師傅裝碌架床過程大公開 落床一幕震撼眼球|Juicy叮
2025-06-12 13:16 HKT
更多文章