Thursday, October 7, 2010

PCI DSS介绍 & F.A.Q.

()什么是PCI-DSS安全认证?
在网上支付过程中,信用卡数据泄漏是引发的各类欺诈行为的最大隐患。最初支付卡安全保障是由各个支付卡品牌独立完成的,如VISAAIS。但随着卡基支 付的发展,原先支付卡各自为战的安全标准不利于信息保密统一标准。2004VISAMasterCard联合多家机构,成立了支付卡行业数据安全标准 委员会(PCISSC),委员会的主旨是鼓励所有关键业内机构采用数据安全标准;培养和管理全球范围内有资质的授权扫描服务商(ASV);以及邀请机构加 入到此标准的维护行列。同时,为了建立统一的业界标准,最大程度的降低支付卡风险,标准委员会联合制定了旨在严格控制数据存储以保障支付卡用户在线交易安 全的数据安全标准,即PCI-DSS安全认证标准。
 
(
)PCI-DSS是怎样鉴定的?
1
、极为严密的认证审查过程
PCI-DSS
安全认证的主要过程是由VISAMasterCard授权的独立审查公司完成。是一次彻底对该支付公司在线支付系统的安全审查,其中有近 200项审查内容。包含6大领域12项要求的规范,其认证过程异常严苛且繁杂,包括自我安全检测(SelfSecurityProbe)、漏洞分析 (AnalysisoftheVulnerabilities)以及由协会执行的安全调查 (SecurityInvestigationbytheCouncil)三个阶段,考察范围涉及硬件、软件、员工和公司管理等多项指标。
2
、信用卡交易安全更加安全
1
、交易流程保护更加严密、严谨,从每个环节把关
2
、对信用卡信息保护更上一层楼,增加网上交易信誉度
3
、对商家来说,更完善、规范的交易流程可以赢得更多消费者
3
、信用卡交易对消费者也更加便捷
原先的网站支付页面为了保障交易安全,通常需要消费者填写3个页面交易信息(商家-网关-银行),而现在则将网关-银行合并为一个页面,只需要消费者填写 2个页面信息,ecpss支付系统通过PCI-DSS认证以后带来的便捷。这对商家来说无疑是个极大的好消息,缩减了支付流程不但方便了消费者,也必然为 商家赢得更多订单。
成功率可达95%的国际信用卡(ecpss)全新体验已通过PCI-DSS验证。


PCI DSS(Payment Card Industry Data Security Standard支付卡行业安全标准)
PCI 数据安全标准现已得到 Visa、MasterCard、Discover、American Express 和多家支付卡品牌的采用,这一标准要求存储、处理或传输客户信用卡数据的商家和服务提供商必须采取有力的安全控制和处理方式来确保数据的完整性。需要由认 可的第三方评估机构出具定期遵从报告,证明处理大量交易的商家和服务提供商的遵从性。
PCI DSS的审核范围包括:
构建和维护安全网络
要求1、安装并且维护防火墙以保护持卡人数据
要求2、避免使用供应商提供的默认系统口令和其他安全参数
保护持卡人数据
要求3、保护存储的持卡人数据
要求4、加密开放/公共网络上的持卡人数据传输
维护一个弱点管理程序
要求5、使用定期升级的防病毒软件或计算机程序
要求6、开发并维护安全的系统和应用
实施强有力的访问控制措施
要求7、根据业务需要限制对持卡人数据的访问
要求8、为每一个具有计算机访问权限的用户分配唯一的ID
要求9、限制对于持卡人数据的物理访问
定期监视并测试网络
要求10、追踪并监控对网络资源和持卡人数据的所有访问
要求11、定期测试安全系统的和流程
维护一个信息安全策略
要求12、维护一个策略用以向员工和合同商传达信息安全