PCI_PIN_Security_Requirements_Testing -PCI认证-安全行业基础篇4

PCI认证

PCI DSS(Payment Card Industry Data Security Standard)是由全球五大信用卡组织(Visa、MasterCard、American Express、Discover和JCB)共同制定的一套安全标准,旨在保护信用卡持卡人的数据安全。

PCI DSS标准包括12个主要的安全要求,分为六大类别:

  1. 构建和维护一个安全的网络和系统
  • 安装和维护防火墙配置,以保护持卡人数据
  • 不使用供应商提供的系统默认密码和其他安全参数
  1. 保护持卡人数据
  • 保护存储的持卡人数据
  • 加密跨公共网络传输的持卡人数据
  1. 维护一个漏洞管理程序
  • 使用并定期更新防病毒软件
  • 开发和维护安全的系统和应用程序
  1. 实施强大的访问控制措施
  • 限制业务需求的数据访问
  • 对所有系统组件分配一个唯一的ID
  • 限制物理访问持卡人数据
  1. 定期监控和测试网络
  • 跟踪和监控所有访问网络资源和持卡人数据的行为
  • 定期测试安全系统和流程
  1. 维护一个信息安全政策
  • 为所有员工建立、发布、维护和传播一个信息安全政策

所有处理、存储或传输信用卡信息的商户和服务提供商都需要遵守PCI DSS标准。根据商户处理的信用卡交易量,PCI DSS有不同的合规级别,每个级别都有自己的合规要求。

PCI PIN认证

PCI PIN Security是由支付卡行业安全标准委员会(Payment Card Industry Security Standards Council,简称PCI SSC)制定的一种安全标准。这个标准主要针对的是处理、传输或存储个人识别号(PIN)的设备和系统。

PCI PIN Security标准的主要目标是保护消费者的个人识别号(PIN)和相关的支付卡数据。这个标准包括了一系列的要求,包括但不限于:

  • 使用安全的密码和PIN处理技术
  • 使用安全的网络和系统来传输和存储PIN
  • 对处理PIN的设备和系统进行定期的安全审计和测试
  • 对处理PIN的员工进行适当的安全培训

如果一个组织想要通过PCI PIN Security认证,它需要满足所有的这些要求,并通过一个由PCI SSC认可的第三方审计机构的审计。

PIN Security 标准介绍

该标准具体包括 7 个控制目标(Control Objective)和 33 个安全要求(Requirement), 标准的结构分为标准主体部分,标准附录(Normative Annex)A,B,C,以及一个补充附录Appendix A。

标准主体部分

是针对交易处理操作(Transaction Processing Operations)中, 关于 PIN 保护的安全要求,包括了 7 个控制目标, 这 7 个控制目标是由 33 个安全要求组成的:

控制目标 1(Control Objective 1):采用确保安全的设备和方法处理本标准所管控的交易 PIN。(PINs used in transactions governed by these requirements are processed using equipment and methodologies that ensure they are kept secure.)
控制目标 3(Control Objective 3):密钥应在安全的方式下运送和传输。(Keys are conveyed or transmitted in a secure manner.)
控制目标 4(Control Objective 4):HSM 的密钥载入和 PIN 输入设备应在安全的方式下处理。(Key-loading to HSMs and PIN entry devices is handled in a secure manner.)
控制目标 5(Control Objective 5):密钥的使用应禁止或能够检测未授权的使用。(Keys are used in a manner that prevents or detects their unauthorized usage.)
控制目标 6(Control Objective 6):密钥采用安全的方式进行管理。(Keys are administered in a secure manner.)
控制目标 7(Control Objective 7):用于处理 PIN 的设备和密钥应在安全的方式下管理。(Equipment used to process PINs and keys is managed in a secure manner.)
标准附录 A(Normative Annex A) -- 采用非对称技术进行对称密钥分发(Symmetric

Key Distribution using Asymmetric Techniques)

  • A1 -- 采用非对称技术操作进行远程密钥分发(Remote Key Distribution Using
    Asymmetric Techniques Operations)
  • A2 -- 证书和注册授权 CA&RA 操作(Certification and Registration Authority
    Operations)
标准附录 B(Normative Annex B) -- 密钥注入设施(KIF:Key-Injection Facilities)
标准附录 C(Normative Annex C)- 核准算法的最小密钥长度要求和算法之间的等效

关系

补充附录(Appendix A)- 标准要求的适用性列表 Applicability of Requirements

合规价值

PCI PIN 标准适用于涉及支付卡帐户 PIN 交易处理的所有收单机构和相关供应商,例如收

单银行、服务提供商、POS 机具生产厂商,密钥注入设施 KIF 和证书处理机构 CA&RA。

当机构管理、处理和/或传输 PIN 数据时,PCI PIN 安全合规可能会被卡品牌、监管机构以

及合作机构所强制要求。比如 VISA 要求所有处理 VISA PIN 数据的服务提供商(包括代表

VISA 客户进行 PIN 处理、转换、接受,和/或密钥管理服务)应完全符合 VISA PIN 安全体

系安全要求和 VISA 规定的验证截至日期,这些机构包括但不限于:获取 PIN 的第三方

VisaNet 处理者(VNP:VisaNet Processor)、作为服务提供商获取 PIN 的客户 VNP、获取

PIN 第三方服务者(TPS:Third-Party Servicers)、加密和支持组织(ESO:Encryption and

Support Organizations)。

成功提交 PIN AOC(PIN Attestation of Compliance)给 VISA 证明其合规状态的 VISA PIN

安全体系参与者将会被列在 VISA 服务提供商网站的全球服务提供商注册系统中。

根据 VISA 规定,没有完成合规评估的罚则规定如下:

最初的违背以及未合规的每个月,至多最初违背之后的四个月:每个月 10,000 美元罚

违背四个月之后,以及其后的每个月:每个月 25,000 美元罚金

以上信息可见卡品牌对 PIN Security 不合规机构的惩罚力度是非常严厉的。因此,涉及 PIN

交易处理,以及针对 PIN 保护的密钥管理的机构,一定要和相关卡品牌确认好合规要求。做

到先期规划好合规要求,以保障业务的安全开展。

相关推荐
Hacker_Oldv1 分钟前
WPS 认证机制
运维·服务器·wps
bitcsljl10 分钟前
Linux 命令行快捷键
linux·运维·服务器
Youkiup40 分钟前
【linux 常用命令】
linux·运维·服务器
qq_2975046143 分钟前
【解决】Linux更新系统内核后Nvidia-smi has failed...
linux·运维·服务器
虹科数字化与AR1 小时前
安宝特应用 | 美国OSHA扩展Vuzix AR眼镜应用,强化劳动安全与效率
安全·ar·远程协助
weixin_437398211 小时前
Linux扩展——shell编程
linux·运维·服务器·bash
小林熬夜学编程1 小时前
【Linux网络编程】第十四弹---构建功能丰富的HTTP服务器:从状态码处理到服务函数扩展
linux·运维·服务器·c语言·网络·c++·http
Hacker_Fuchen1 小时前
天融信网络架构安全实践
网络·安全·架构
炫彩@之星1 小时前
Windows和Linux安全配置和加固
linux·windows·安全·系统安全配置和加固
上海运维Q先生1 小时前
面试题整理15----K8s常见的网络插件有哪些
运维·网络·kubernetes