暗网潜航——信用卡安全标准(三)
庞博文
2021-05-10 04:16 HKT
字体大小
上周我们讨论了支付卡产业(PCI)对信用卡安全标准业内评估审计,我们再看看它的覆盖范围。整个信用卡安全标准共有11份不同文件,覆盖范围由商户接受持卡人付款至持卡人收到帐单的最后一个程序,涉及多个单位包括服务供应商、收单银行、发卡机构及软硬件制造商。
本周笔者先介绍由管理商户及服务供应商共同成立的《支付卡行业(PCI DSS)数据安全标准》,它除了覆盖所有网上或实体接受信用卡的商户和服务供应商(PCI Service Provider),包括软件及硬件销售开发、维修服务、人事及行政管理、线路及技术营运和安全服务供应商外,同时覆盖有线及无线网络,以至整个收取信用卡流程内软件、硬件及人事管理安全。
所有受PCI DSS覆盖的商户及服务供应商,必须遵守其定立的六个主安全要求大纲,由技术到行政管理附属要求就有过千项。六项主要安全要求包括︰建立并维护安全网络和系统、保护持卡人数据、维护漏洞管理计划、实施强效访问控制措施、定期监控并测试网络以及维护讯息安全政策。
这六项安全要求保护信用卡的「数据元素」,这些「数据元素」是于PCI DSS起始时,指引商户及服务供应商哪些数据,可以因业务需要而储存或严禁储存。其中有明文规定商户的「数据元素」,必须于加密网络环境中进行处理,以及规定加密所使用的算式有最低要求限制范围。面对严格安全要求,很多商户及服务供应商安全及IT部门都难以通过PCI DSS。所以大家不管是网上或实体商户,如果没有通过PCI DSS审计,大家在使用信用卡前宜三思。
TOZ联合创办人
庞博文
本周笔者先介绍由管理商户及服务供应商共同成立的《支付卡行业(PCI DSS)数据安全标准》,它除了覆盖所有网上或实体接受信用卡的商户和服务供应商(PCI Service Provider),包括软件及硬件销售开发、维修服务、人事及行政管理、线路及技术营运和安全服务供应商外,同时覆盖有线及无线网络,以至整个收取信用卡流程内软件、硬件及人事管理安全。
所有受PCI DSS覆盖的商户及服务供应商,必须遵守其定立的六个主安全要求大纲,由技术到行政管理附属要求就有过千项。六项主要安全要求包括︰建立并维护安全网络和系统、保护持卡人数据、维护漏洞管理计划、实施强效访问控制措施、定期监控并测试网络以及维护讯息安全政策。
这六项安全要求保护信用卡的「数据元素」,这些「数据元素」是于PCI DSS起始时,指引商户及服务供应商哪些数据,可以因业务需要而储存或严禁储存。其中有明文规定商户的「数据元素」,必须于加密网络环境中进行处理,以及规定加密所使用的算式有最低要求限制范围。面对严格安全要求,很多商户及服务供应商安全及IT部门都难以通过PCI DSS。所以大家不管是网上或实体商户,如果没有通过PCI DSS审计,大家在使用信用卡前宜三思。
TOZ联合创办人
庞博文
最Hit
长者乘车优惠明年4月收紧!长者群组热议「两蚊两折」点样计? 每月限搭240程?北上深圳贵好多?
2025-12-12 17:51 HKT
76岁「镇台之宝」主角变三线艺员曾被闹戏屎 谈公司陷财困:年年减薪,唔减薪𠮶年就减骚
2025-12-13 14:30 HKT
长寿秘诀|90岁烘焙师仍出书主持节目 公开3大饮食习惯 保持健康绝不吃1类食物
2025-12-13 10:14 HKT
更多文章