PCI DSS 是 Payment Card Industry Data Security Standard 的縮寫,由 12 項強制性要求組成,目的在於強化交易流程中各環節的付款帳戶資料安全。PCI DSS 法遵要求於 2004 年由多家主要信用卡公司制定,包括 American Express、Discover、JCB International、MasterCard 與 Visa。凡是受理、傳輸或儲存持卡人資料的任何組織(企業),遵循這項全球標準皆屬契約上的必要條件。
PCI DSS 法遵的目標,是透過要求處理信用卡資料的組織(企業)採取必要措施,防範持卡人資料遭竊與未經授權的存取:
- 建立並維護資訊安全原則
- 落實強而有力的存取控制措施
- 維持安全的網路環境
- 定期監控並測試網路
上述作法旨在預防信用卡盜刷與詐騙、防禦網路攻擊,並降低資安弱點與威脅帶來的風險。PCI DSS 法遵要求同樣以防止身分盜用為目的。
什麼是 PCI DSS 法遵?
凡是處理信用卡交易的組織(企業),不論規模或交易量多寡,都必須維持 PCI 法遵。為達成此目標,組織(企業)需投入一套持續性的作業流程,包括:
- 評估目前的支付卡處理環境
- 盤點持卡人資料流向
- 針對已識別的法遵落差,導入必要的資安控制與措施完成補強
- 向相關收單銀行與卡組織提交法遵報告
- 部分組織(企業)需接受由
- Qualified Security Assessor(QSA)執行的現場稽核
PCI DSS 等級
PCI DSS 依據組織(企業)在 12 個月期間內處理的信用卡交易筆數,將其分為四個商戶等級與兩個服務供應商等級。這些等級用於界定各商戶或服務供應商必須完成的特定法遵驗證要求。
商戶等級
- 等級 1
適用於所有通路每年處理超過 600 萬筆 Visa 或 MasterCard 交易的商戶。PCI DSS 法遵驗證要求:每年由合格安全評估師(QSA)或內部稽核人員出具 Report on Compliance(ROC),並需經公司主管背書;另須由 Approved Scanning Vendor(ASV)執行每季一次的網路掃描。 - 等級 2
適用於所有通路每年處理 100 萬至 600 萬筆 Visa 或 MasterCard 交易的商戶。法遵驗證要求:每年完成 Self-Assessment Questionnaire(SAQ),並由 ASV 執行每季一次的網路掃描。 - 等級 3
適用於每年處理 20,000 至 100 萬筆 Visa 或 MasterCard 電子商務交易的商戶。法遵驗證要求:每年完成 SAQ,並由 ASV 執行每季一次的網路掃描。 - 等級 4
適用於每年處理少於 20,000 筆 Visa 或 MasterCard 電子商務交易的商戶,以及所有其他每年最多處理 100 萬筆 Visa 或 MasterCard 交易的商戶。法遵驗證通常要求:每年完成 SAQ;是否需由 ASV 執行每季一次的網路掃描,則依收單機構裁量而定。
服務供應商等級
- Level 1
適用於每年處理超過 300,000 筆 Visa 或 MasterCard 交易的服務供應商。法遵驗證要求包括:由 QSA 每年出具一次 ROC;或由公司主管簽署的內部稽核,以及由 ASV 每季進行一次網路掃描。 - Level 2
適用於每年處理少於 300,000 筆 Visa 或 MasterCard 交易的服務供應商。法遵驗證要求與 Level 1 服務供應商大致相同,包括每年 ROC 與每季 ASV 掃描,但實際細節可能依各卡組織要求而有所不同。
PCI DSS 法遵的執行與落實
Payment Card Industry Security Standards Council(PCI SSC)負責推動 PCI DSS 法遵。該組織由主要信用卡公司組成,包括 American Express、Discover、JCB International、MasterCard 與 Visa。PCI SSC 的職責涵蓋:制定、強化、保存、發布與落實資安標準,以保護持卡人資料。
不過,PCI SSC 雖負責制定並維護 PCI DSS 要求,卻不會直接執行 PCI DSS 法遵。實際的執行由各支付卡品牌與收單銀行負責。這些組織(企業)會強制要求 PCI DSS 法遵,並具備權限對未符合 PCI DSS 要求的商家或服務供應商採取處置,包括裁罰、罰款或限制措施。執行力度與不法遵的具體後果,可能因卡品牌別與商家所屬收單銀行而異。
未維持 PCI DSS 法遵的罰款
未符合 PCI DSS 法遵的罰款,通常由支付卡品牌向收單銀行開罰;而收單銀行往往會將相關成本轉嫁給未法遵的商家。罰款金額差異可能非常大,取決於多項因素,包括企業規模、不法遵持續時間,以及(若曾發生)資安事件的嚴重程度。
- 針對小型企業—每月罰鍰可能介於 5,000 至 50,000 美元
- 針對較大型的機構—財務裁罰幅度可能更高,最高甚至可達數百萬美元
- 按事件計罰—若發生資安事件,且商家被認定不符法遵要求,每起事件最高可處 500,000 美元罰鍰
- 補償費用—如發生資料外洩,企業可能須補償受影響客戶;每位受影響個體的費用約為 50 至 90 美元
PCI DSS 法遵的效益
PCI DSS 法遵的重要性,影響範圍同時涵蓋處理持卡人資料的組織(企業),以及其資訊正在被處理的個人。以下為 PCI DSS 法遵的主要效益。
避免財務裁罰
未達 PCI DSS 法遵要求,可能遭支付卡發卡機構與收單銀行處以高額罰鍰。罰鍰金額會依違規嚴重程度與處理的交易量而異。除罰鍰外,未能維持 PCI DSS 法遵的組織(企業)也可能面臨交易手續費上調,甚至喪失受理刷卡付款的資格。
建立並維繫客戶信任
遵循 PCI DSS 標準,提升消費者信心。
能展現對客戶資料保護承諾的組織(企業),更能建立客戶信任;而信任正是提升客戶留存、鞏固品牌聲譽的關鍵。
客戶往往將 PCI DSS 法遵視為可靠與安全的指標。當客戶確認企業遵循嚴格的資料安全標準,更願意將敏感資訊託付給該企業;這份信任也將反映在更高的客戶留存率上。
強化 IT 基礎結構
為符合 PCI DSS 法遵要求,往往能帶動組織的 IT 基礎結構與資安實務同步精進,進而提升整體韌性,更能有效抵禦各類威脅。
確保法遵
在許多司法管轄區,法規要求企業必須保護個人與財務資料。落實 PCI DSS 後,組織(企業)也能同步確保符合其他與資料保護及隱私相關的法律與法規要求。
加速事件應變
PCI DSS 法遵的一環,是建立有效的事件應變計畫。如此一來,一旦發生資料外洩,組織便能迅速採取行動,將損害降到最低。
強化資料安全
PCI DSS 法遵的核心,在於保護敏感的持卡人資料。遵循 PCI DSS 標準所定義的嚴格安全措施後,組織(企業)即可建立更堅實的防護機制(例如:加密、安裝防火牆,以及採用安全的系統與應用程式),不僅能保護持卡人資料,也能一併防護其他敏感資訊與關鍵資源。
提升營運效率
落實 PCI DSS 法遵有助於精簡並最佳化付款流程,進而提升營運效率,帶動整體業務表現。
為新興威脅預先部署防線
PCI DSS 的法遵要求會定期更新,以因應支付卡安全領域不斷出現、持續演進的新型威脅。持續維持法遵,能確保組織(企業)的防護措施與時俱進,並預先做好準備以應對新興威脅。
推動安全文化
維持 PCI DSS 法遵的過程,會促使組織(企業)在營運、政策與作業程序上採取「安全優先」的做法。這種安全文化的效益,不僅限於持卡人資料的防護,更能全面提升組織各面向的安全韌性與治理成熟度。
降低資料外洩風險
PCI DSS 法遵的安全要求涵蓋建置完善、具韌性的系統與流程,以降低資料外洩發生的機率;一旦事件發生,往往將引發法律爭議、財務損失與商譽受損等連鎖衝擊。
防範身分遭竊
PCI DSS 的法遵要求以保護持卡人資料為核心,有助於防範身分遭竊。
在市場中脫穎而出
在競爭激烈的市場中,符合 PCI DSS 法遵可成為關鍵差異化優勢。PCI DSS 法遵能向潛在客戶與合作夥伴清楚傳達:組織嚴肅看待資料安全。當市場高度關注隱私與資料安全時,這將影響其合作決策,使其更傾向選擇符合 PCI DSS 法遵的組織,而非不符規範的競爭對手。
支援全球化營運
PCI DSS 是全球公認的標準,因此若要拓展國際業務,達成法遵往往是必要條件。符合 PCI DSS 可向全球合作夥伴與客戶證明,組織已達到國際資安標準。
PCI DSS 的 12 項要求是什麼?
1. 建置並維護安全的網路
- 禁止從公用網際網路直接存取持卡人資料環境內的系統。
- 設定防火牆以保護持卡人資料。
2. 系統密碼與其他安全性參數不得沿用預設值
- 在系統連上網路前,先更改預設密碼與其他安全參數。
- 妥善保護系統密碼及其他安全參數,防止未經授權的存取。
3. 保護儲存的持卡人資料
- 針對儲存在系統或媒體上的敏感持卡人資料進行加密。
- 將持卡人資料的儲存量與保存期限,限制在營運、法律或法規要求所需的最低範圍。
4. 持卡人資料在開放的公共網路傳輸時,務必加密
- 在敏感持卡人資訊透過開放的公共網路傳輸時,導入加密與安全防護措施加以保護。
5. 防範惡意軟體與病毒,保護持卡人資料
- 在所有可能受惡意軟體影響的系統安裝防毒軟體。
- 確保防毒機制可產生稽核記錄。
- 定期更新防毒軟體。
6. 開發並維護安全的應用程式與系統
- 即時安裝安全性修補程式,識別並修補弱點。
- 依循安全程式碼撰寫準則開發應用程式,預防常見弱點。
7. 限制持卡人資料的存取權限
- 僅允許因工作職責確有需要的使用者存取持卡人資料。
- 落實存取控制,確保權限核發以職務角色為依據。
8. 為系統元件導入身分驗證與存取管理機制
- 為每位使用者指派唯一的身分。
- 對使用者與裝置實施強式身分驗證。
9. 限制對持卡人資料的實體存取
- 防範未經授權的實體存取、竄改與竊取。
- 採用適切的實體管控措施,確保存放持卡人資料的場所與設備安全無虞。
10. 監控並記錄所有對網路資源與持卡人資料的存取
- 建置日誌記錄機制,並定期檢視日誌,以追蹤使用者與持卡人資料相關的活動。
- 確保日誌具備安全性、即時更新,並依 PCI DSS 法遵要求妥善留存。
11. 定期測試資安系統與流程
- 執行漏洞評估與滲透測試,偵測並修復資安漏洞。
- 例行評估資安系統與作業程序,驗證其在保護持卡人資訊方面的有效性。
12. 建立人員資訊安全作業規範與政策
- 制定、發布、分發並維護以保護持卡人資訊為核心的安全原則。
- 確保員工與承包商充分理解資訊安全原則,以及其在保護持卡人資料中的職責與角色。
PCI DSS 法遵:強制要求,但價值更不止於此
凡處理持卡人資料的企業,皆必須符合 PCI DSS 法遵要求;同時,這也能為安全系統與流程的持續最佳化帶來多面向效益。隨著資料安全威脅日益精密,與 PCI DSS 法遵相關的各項要素只會愈加重要。
致力維持高標準資料安全的組織(企業)普遍認同:PCI DSS 法遵早已不僅是法規要求。對許多企業而言,它已成為整體安全策略的關鍵一環。實現並持續維持 PCI DSS 法遵,已被證明是對組織(企業)安全、聲譽與未來成長的策略性投資。
