支付卡行业数据安全标准PCI DSS如何做好合规建设?
移动支付网 2018/10/15 14:45:13

近日,一则国外的信用卡新闻引起了我们的注意,新闻里表示“加拿大有34个联邦机构接受信用卡支付,但其中一半没通过PCI DSS安全测试。”

在17个不合规的机构中,有13家与加拿大共享服务公司(SSC)有关。创建于2011年的SSC,负责它们的数据系统营运及维护。但是,另外4家,包括议会图书馆、国防部、加拿大国家电影局和加拿大职业健康与安全中心则需要为自己的IT系统的安全负责。

那么,PCI认证到底是什么?都有哪些认证标准和项目?

关于PCI认证

PCI全称Payment Card Industry,即支付卡产业联盟,由Visa、Mastercard、American Express、Discover和JCB共同主导成立于2006年,制定和维护PCI PTS(PIN Transaction Security,产品安全标准)、PCI DSS(Data Security Standards,数据安全标准)和PCI PA-DSS(Payment Application Data Security Standards,支付应用数据安全标准)等安全标准体系,旨在促进保护全球支付行业的交易数据安全。负责制定统一的标准,并开展检测认证工作。

PCI组织主要负责维护四类标准和认证业务。

PCI DSS是针对系统和账户信息安全的,适用于收单机构、专业化服务公司以及一些大型商户。国内的银行卡检测中心在2013年就获得了PCI DSS合规评估和安全扫描资质(ASV)授权。

PCI PA-DSS:支付应用数据安全标准,主要针对于“作为授权或结算的一部分,存储、处理或传输持卡人数据,并出售、分发或许可给第三方的机构”。

P2PE标准主要是为银行卡产品中需要进行加密的环节提供技术解决方案。P2PE标准主要包括:加密、解密和密钥管理等几部分。

PCI PTS针对PIN输入设备,也就是各类受理设备,适用于各类终端厂商。

PCI DSS是全球最严格、级别最高的金融机构安全认证标准

上文介绍了PCI主要负责的四项标准和认证业务,而其中PCI DSS的认证可以说是最重要、也是最难的。

PCI DSS认证全称Payment Card Industry(PCI)Data Security Standard(DSS),其信息安全标准有6大项目,12个小项的要求,是目前全球最严格、级别最高的金融机构安全认证标准。

PCI DSS对于所有涉及信用卡信息机构的安全方面作出标准的要求,其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等,全面保障交易安全。PCI DSS适用于所有涉及支付卡处理的实体,包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体。PCI DSS包括一组保护持卡人信息的基本要求,并可能增加额外的管控措施,以进一步降低风险。

因此对于国内的大型支付机构而言,要想保证数据和信息的安全,通过PCI DSS认证就非常重要了。

那么PCI DSS认证到底有多重要,认证标准涉及哪些项目?认证到底如何才能合规?11月15日,2018第三届中国移动金融安全大会上,移动支付网将邀请清华大学网络与信息安全研究室高级安全顾问,PCI DSS审核员魏克,来为大家详细介绍PCI DSS合规和网络信息安全体系建设。

嘉宾简介:

魏克,现任清华大学网络与信息安全研究室高级安全顾问,CISSP,PCI DSS审核员,ISO27001主任审核员,北京三思网安科技有限公司创始人之一。北京航空航天大学软件工程硕士/经济学硕士(双硕士),主要研究方向为网络与信息安全。

主要承担网络与信息安全方向的科研工作,从事互联网安全威胁监测、安全漏洞检测分析与渗透测试等基础技术的研究与工程实践工作,及支持CCERT服务工作。曾参与国家自然科学基金、863计划、242信息安全计划等多项余项研究课题,申请软件著作权3项,出版合著畅销书《Metasploit渗透测试魔鬼训练营》。

详情见大会官网:http://www.mpaypass.com.cn/MFSC2018/


展开全文
相关阅读
资讯查询取消