2008年5月13日 星期二
Payment Card Industry Data Security Standard, PCI DSS
支付卡行業資料安全標準(Payment Card Industry Data Security Standard, PCI DSS)
適用對象包括發卡銀行、接受信用卡付款的商店。尤其每年的刷卡交易達6百萬筆以上者,還須接受經由認可的第三方單位稽核與安全檢測。
在總計12條的安全標準當中,有些是一般性準則,例如安裝防火牆、安全設備避免使用出廠時的預設值等,但另外也有一些具體的規範,例如針對在開放公共網路上傳輸持卡人資料需使用加密設備;第6.6項條文更指出,為確保網頁應用程式能抵禦攻擊,需採用程式碼檢測(Code Review)或在網頁系統前端部署應用層防火牆。此項要求目前僅視為最佳實踐,但在2008年6月底之後將成為正式標準。
PCI DSS的12項要求標準可分為以下6核心領域:
(一) 建立並維護安全的網路
要求1:安裝並維護防火牆,以保護持卡人資料。
要求2:不要使用供應商預設的系統密碼以及其他安全參數。
(二) 保護持卡人資料
要求3:保護儲存下來的持卡人資料。
要求4:持卡人資料在開放、公開的網路中傳輸時必須加密。
(三) 維護漏洞管理的計畫
要求5:使用定期更新的防毒軟體。
要求6:開發並維護安全的系統與應用程式。
(四) 實施強有力的安全存取控制措施
要求7:根據業務需要限制對持卡人資料的存取。
要求8:為每一個存取電腦的使用者分配唯一的ID。
要求9:限制持卡人資料的實體存取保護。
(五) 定期監視並測試網路
要求10:追蹤並監控網路資源與持卡人資料的所有存取。
要求11:定期測試安全系統與程序。
(六) 維護資訊安全政策
要求12:維護一個資訊安全政策。
訂閱:
張貼留言 (Atom)
沒有留言:
張貼留言