PCIDSS基本規則
PCI DSS(The Payment Card Industry Data Security Standard):
支付卡產業資料安全標準:
2004年國際信用卡組織(VISA、Mastercard、 JCB、AE與Discover)為保護支付卡片資料所共同制定的安全標準。
各國際組織之前也有自己的標準,像是VISA的AIS(Account Information Security),Mastercard的SDP(Site Data Protection),另外有的企業也會通過SAS 70(The Statement on Auditing Standards No.70)認證。
為保障其他持卡人的資料及交易安全,PCI DSS針對6大領域制定了12項要求:
六大領域
- 建立並維護安全網路和系統:
- 保護持卡人資料
- 維護漏洞管理計畫:
- 嚴格的認證及授權:
- 定期稽核監控及測試網路
- 維護資訊安全政策:
幾乎整個支付卡產業,都必須符合PCI DSS(Payment Card Industry Data Security Standards)的各項要求。
PA DSS(Payment Application Data Security Standard)
程式資料安全標準,也是系統商要遵循的資料安全標準
適用於從事支付應用程式開發並將其銷售、發佈或授權給第三方用於儲存、處理或者傳輸持卡人的授權或結算資料的軟體供應商或其他方。
為保障其他持卡人的資料及交易安全,PA DSS制定了14項要求:
要求 1:不要儲存全部磁條資料、卡片驗證值(CAV2、CID、CVC2、CVV2)或 PIN Block
要求 2:保護儲存持卡人資料
要求 3:提供安全的驗證功能
要求 4:紀錄支付應用程式活動
要求 5:開發安全支付應用程式
要求 6:保護無限傳輸
要求 7:針對漏洞測試應用程式並即時更新支付應用程式
要求 8:安全的網路
要求 9:絕不能在連接到網際網路的伺服器上儲存持卡人資料
要求 10:便於對支付應用程式進行安全的管理
要求 11:經由由開放網際網路的的敏感資訊進行加密
要求 12:保護所有非控制台管理访问
要求 13:為客戶、經銷商維護PA-DSS
要求 14:為工作成員分配 PA-DSS 職責,並為工作人员、客戶、經銷商維護培訓計畫。
就像Check list一樣纏身,需要一條一條的實踐和驗證。
-P25-600(1).png)
資訊安全法令
遵守個人資料保護法
國內保護個人資料的法規,內容規範了個人資料之蒐集、處理及利用,確保人格權不會受到侵害,另外就是確認個人資料被合理使用。
1995年電腦處理個人資料保護法,先規範了電腦處理個人資料,適用範圍僅限特定電腦資訊產業;
2010年國內正式施行個人資料保護法將範圍也增加到紙本,適用任何機關團體,並依循國際標準修訂。
2010年國內正式施行個人資料保護法將範圍也增加到紙本,適用任何機關團體,並依循國際標準修訂。
若非公務機關,可以從第三章非公務機關對個人資料之蒐集、處理及利用閱讀。
系統商的風險:第四章損害賠償及團體訴訟
系統商的風險:第四章損害賠償及團體訴訟
非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵
害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此
限。依前項規定請求賠償者,適用前條第二項至第六項規定。
留言
張貼留言