標準簡介
PCI DSS(支付卡產業資料安全標準)是由支付卡產業安全標準委員會(PCI SSC)制定的全球資訊安全標準,該委員會於 2006 年由主要支付卡品牌 Visa、Mastercard、American Express、Discover 和 JCB 創立。2022 年 3 月發布、2024 年 3 月 31 日強制執行的 4.0.1 是現行 v4.x 基準,建立在 2024 年 3 月 31 日強制實施的 PCI DSS 4.0 基礎上。該標準適用於所有儲存、處理或傳輸持卡人資料的實體,包括商戶、支付處理商、收單機構、發卡機構和服務提供商。PCI DSS 包含 6 大控制目標下的 12 項核心要求:建構和維護安全網路、保護持卡人資料、維護漏洞管理程式、實施強存取控制措施、定期監控和測試網路、維護資訊安全策略。
PCI DSS 4.0.1 保留 v4.0 的安全目標,並加入有限修訂與釐清。該標準同時支援規定方法和客製化方法,強化身分驗證、電子商務保護、防釣魚控制和自動化日誌審查。合規驗證取決於交易量:一級商戶通常需要由合格安全評估師(QSA)進行年度現場評估,並由認可掃描供應商(ASV)進行季度網路掃描;二至四級商戶可使用自我評估問卷(SAQ)。不合規可能導致罰款、交易費用增加以及喪失收單資格。v4.x 的未來日期要求已於 2025 年 3 月 31 日生效。
持卡人資料保護
在整個交易生命週期內,專注於保護信用卡/簽帳金融卡的帳號、持卡人姓名、有效期以及服務代碼等資訊。
網路分段
強烈建議將持卡人資料環境 (CDE) 與其他網路隔離,以縮小合規範圍並簡化合規工作。
強加密
要求對透過開放網路傳輸的以及靜態儲存的持卡人資料進行加密,並制定明確的金鑰管理程序。
list_alt 12 項要求
- 安裝並維護網路安全控制
- 對所有元件套用安全配置
- 保護儲存的帳戶資料
- 在開放網路上加密持卡人資料
- 防範惡意軟體
- 開發並維護安全系統
- 依業務需要限制存取權限
- 識別使用者並對存取進行身分驗證
誰需要合規?
任何儲存、處理或傳輸支付卡資料的組織——包括商戶、支付處理商、收單機構、發卡機構和服務提供商,與交易量無關。
關鍵要求
持卡人資料環境範圍界定
識別儲存、處理或傳輸持卡人資料的所有系統元件、人員和流程。合理的範圍界定是基礎——縮小範圍可減輕合規負擔。
弱點管理
每季進行內部和外部弱點掃描(外部掃描由 ASV 執行)。每年進行滲透測試。在規定時限內修復嚴重弱點。
存取控制
僅允許因工作需要的人員存取持卡人資料。對所有存取 CDE 的操作以及遠端網路存取實施多因素身分驗證。
記錄與監控
記錄對網路資源和持卡人資料的所有存取。每日審閱日誌。稽核記錄須保留至少 12 個月,其中 3 個月須可立即調閱。
事件回應計畫
建立、記錄並測試事件回應計畫。包括遏制、鑑識、通知卡組織以及事後檢討等程序。
實施路線圖
準備並界定CDE範圍
識別每一個儲存、處理或傳輸持卡人資料的系統、流程和人員,並界定持卡人資料環境(CDE)。確定您的商戶等級和適用的驗證類型,並端到端地梳理帳戶資料流,以便準確了解哪些內容屬於PCI DSS的範圍。
差距分析與範圍縮減
對照12項PCI DSS要求評估現有控制措施,識別與v4.0.1之間的差距。在可能的情況下,透過網路分段和消除對持卡人資料的不必要儲存來縮減範圍,然後優先整改風險最高的差距。
實施控制措施
部署所需的安全控制措施,包括防火牆、強存取控制、MFA、對傳輸中和靜態持卡人資料的加密、弱點管理以及日誌記錄和監控。落實那些已於2025年3月31日生效為強制的未來生效版v4.0要求,並記錄政策和程序。
驗證與維護
完成相應的SAQ或由QSA出具的合規報告(ROC),取得合規證明(AOC),並執行所需的ASV掃描。透過持續監控、季度掃描、年度重新評估和及時修補來保持合規,將PCI DSS視為一項持續性計畫,而非某一時點的活動。
合規檢查清單
checklist 範圍界定與治理
checklist 技術控制措施
checklist 監控與驗證
處罰與執行
不合規組織將面臨卡組織每月 $5,000 至 $100,000 的罰款。發生資料外洩後,成本包括鑑識調查($20K-$500K+)、詐欺責任、處理費用上升以及可能喪失受理銀行卡的資格。
常見問題解答
誰必須遵守PCI DSS?
expand_more
PCI DSS適用於任何儲存、處理或傳輸持卡人資料的實體,以及可能影響該資料安全性的實體。這包括商戶、服務提供者、處理機構和收單機構,無論其規模或交易量大小。該標準由各支付品牌和收單銀行以合約方式強制執行,而非由政府機構執行。
什麼是CDE,分段如何縮減範圍?
expand_more
持卡人資料環境(CDE)由儲存、處理或傳輸持卡人資料或敏感身分驗證資料的人員、流程和技術以及相連系統組成。網路分段利用防火牆等控制措施將CDE與網路其餘部分隔離。有效的分段可將範圍外的系統排除在評估之外,從而降低成本、風險和複雜度。
PCI DSS的12項要求是什麼?
expand_more
這12項要求歸入六大目標之下:建立並維護安全的網路和系統;保護帳戶資料;維護弱點管理計畫;實施強存取控制措施;定期監控和測試網路;以及維護資訊安全政策。它們共同涵蓋防火牆、加密、防惡意軟體、存取控制、日誌記錄、測試和治理。每一項要求都必須得到滿足,或以書面的補償性控制來處理。
什麼是商戶等級,適用於我的是SAQ還是ROC?
expand_more
商戶主要根據年交易量被劃分為四個等級,其中一級為最高,您的等級決定了您如何進行驗證。較低等級可使用自我評估問卷(SAQ)進行自我驗證,其不同類型對應不同的支付情境;而一級商戶和許多服務提供者通常需要由QSA執行的正式合規報告(ROC)。無論哪種路徑都會產生一份合規證明(AOC),最終由您的收單機構或支付品牌確認您的具體要求。
v4.0有哪些變化,2025年3月的截止日期是什麼?
expand_more
PCI DSS v4.0引入了更靈活的客製化方法,擴展了身分驗證和MFA方面的預期,並加強了對指令碼、釣魚和持續性流程的要求;v3.2.1已於2024年3月退役,v4.0.1為目前版本。一組未來生效的v4.0要求原為最佳實務,直至其於2025年3月31日成為強制要求。自該日起,評估必須納入這些新生效的控制措施。
MFA有哪些要求?
expand_more
PCI DSS要求對進入網路的所有遠端存取實施多因素驗證(MFA),並在v4.0下對進入CDE的所有存取(包括管理存取和非主控台存取)實施MFA。MFA必須結合至少兩個獨立因素,並能抵禦重放攻擊。對許多組織而言,這一MFA範圍的擴大是v4.0中較為重大的變化之一。
如果我使用像Stripe這樣的第三方處理機構,還需要PCI DSS嗎?
expand_more
需要。使用合規的第三方支付處理機構可以顯著縮減您的範圍,並可能讓您有資格使用更簡單的SAQ,但它並不消除您的PCI DSS義務。您仍需對支付的整合方式、不儲存被禁資料以及驗證合規負責,通常根據您的整合方式採用SAQ A或SAQ A-EP。外包處理轉移了責任,但並未消除責任。
不合規的處罰和後果有哪些?
expand_more
PCI DSS透過與支付品牌和收單銀行的合約強制執行,它們可以處以每月罰款、提高交易費用,或終止您接受卡支付的能力。若在不合規期間發生資料外洩,組織可能面臨重大責任、鑑識調查費用和聲譽損害。保持合規既是一項合約義務,也是一種降低風險的措施。