PCI_PIN_Security_Requirements_Testing -PCI认证-安全行业基础篇4

PCI认证

PCI DSS(Payment Card Industry Data Security Standard)是由全球五大信用卡组织(Visa、MasterCard、American Express、Discover和JCB)共同制定的一套安全标准,旨在保护信用卡持卡人的数据安全。

PCI DSS标准包括12个主要的安全要求,分为六大类别:

  1. 构建和维护一个安全的网络和系统
  • 安装和维护防火墙配置,以保护持卡人数据
  • 不使用供应商提供的系统默认密码和其他安全参数
  1. 保护持卡人数据
  • 保护存储的持卡人数据
  • 加密跨公共网络传输的持卡人数据
  1. 维护一个漏洞管理程序
  • 使用并定期更新防病毒软件
  • 开发和维护安全的系统和应用程序
  1. 实施强大的访问控制措施
  • 限制业务需求的数据访问
  • 对所有系统组件分配一个唯一的ID
  • 限制物理访问持卡人数据
  1. 定期监控和测试网络
  • 跟踪和监控所有访问网络资源和持卡人数据的行为
  • 定期测试安全系统和流程
  1. 维护一个信息安全政策
  • 为所有员工建立、发布、维护和传播一个信息安全政策

所有处理、存储或传输信用卡信息的商户和服务提供商都需要遵守PCI DSS标准。根据商户处理的信用卡交易量,PCI DSS有不同的合规级别,每个级别都有自己的合规要求。

PCI PIN认证

PCI PIN Security是由支付卡行业安全标准委员会(Payment Card Industry Security Standards Council,简称PCI SSC)制定的一种安全标准。这个标准主要针对的是处理、传输或存储个人识别号(PIN)的设备和系统。

PCI PIN Security标准的主要目标是保护消费者的个人识别号(PIN)和相关的支付卡数据。这个标准包括了一系列的要求,包括但不限于:

  • 使用安全的密码和PIN处理技术
  • 使用安全的网络和系统来传输和存储PIN
  • 对处理PIN的设备和系统进行定期的安全审计和测试
  • 对处理PIN的员工进行适当的安全培训

如果一个组织想要通过PCI PIN Security认证,它需要满足所有的这些要求,并通过一个由PCI SSC认可的第三方审计机构的审计。

PIN Security 标准介绍

该标准具体包括 7 个控制目标(Control Objective)和 33 个安全要求(Requirement), 标准的结构分为标准主体部分,标准附录(Normative Annex)A,B,C,以及一个补充附录Appendix A。

标准主体部分

是针对交易处理操作(Transaction Processing Operations)中, 关于 PIN 保护的安全要求,包括了 7 个控制目标, 这 7 个控制目标是由 33 个安全要求组成的:

控制目标 1(Control Objective 1):采用确保安全的设备和方法处理本标准所管控的交易 PIN。(PINs used in transactions governed by these requirements are processed using equipment and methodologies that ensure they are kept secure.)
控制目标 3(Control Objective 3):密钥应在安全的方式下运送和传输。(Keys are conveyed or transmitted in a secure manner.)
控制目标 4(Control Objective 4):HSM 的密钥载入和 PIN 输入设备应在安全的方式下处理。(Key-loading to HSMs and PIN entry devices is handled in a secure manner.)
控制目标 5(Control Objective 5):密钥的使用应禁止或能够检测未授权的使用。(Keys are used in a manner that prevents or detects their unauthorized usage.)
控制目标 6(Control Objective 6):密钥采用安全的方式进行管理。(Keys are administered in a secure manner.)
控制目标 7(Control Objective 7):用于处理 PIN 的设备和密钥应在安全的方式下管理。(Equipment used to process PINs and keys is managed in a secure manner.)
标准附录 A(Normative Annex A) -- 采用非对称技术进行对称密钥分发(Symmetric

Key Distribution using Asymmetric Techniques)

  • A1 -- 采用非对称技术操作进行远程密钥分发(Remote Key Distribution Using
    Asymmetric Techniques Operations)
  • A2 -- 证书和注册授权 CA&RA 操作(Certification and Registration Authority
    Operations)
标准附录 B(Normative Annex B) -- 密钥注入设施(KIF:Key-Injection Facilities)
标准附录 C(Normative Annex C)- 核准算法的最小密钥长度要求和算法之间的等效

关系

补充附录(Appendix A)- 标准要求的适用性列表 Applicability of Requirements

合规价值

PCI PIN 标准适用于涉及支付卡帐户 PIN 交易处理的所有收单机构和相关供应商,例如收

单银行、服务提供商、POS 机具生产厂商,密钥注入设施 KIF 和证书处理机构 CA&RA。

当机构管理、处理和/或传输 PIN 数据时,PCI PIN 安全合规可能会被卡品牌、监管机构以

及合作机构所强制要求。比如 VISA 要求所有处理 VISA PIN 数据的服务提供商(包括代表

VISA 客户进行 PIN 处理、转换、接受,和/或密钥管理服务)应完全符合 VISA PIN 安全体

系安全要求和 VISA 规定的验证截至日期,这些机构包括但不限于:获取 PIN 的第三方

VisaNet 处理者(VNP:VisaNet Processor)、作为服务提供商获取 PIN 的客户 VNP、获取

PIN 第三方服务者(TPS:Third-Party Servicers)、加密和支持组织(ESO:Encryption and

Support Organizations)。

成功提交 PIN AOC(PIN Attestation of Compliance)给 VISA 证明其合规状态的 VISA PIN

安全体系参与者将会被列在 VISA 服务提供商网站的全球服务提供商注册系统中。

根据 VISA 规定,没有完成合规评估的罚则规定如下:

最初的违背以及未合规的每个月,至多最初违背之后的四个月:每个月 10,000 美元罚

违背四个月之后,以及其后的每个月:每个月 25,000 美元罚金

以上信息可见卡品牌对 PIN Security 不合规机构的惩罚力度是非常严厉的。因此,涉及 PIN

交易处理,以及针对 PIN 保护的密钥管理的机构,一定要和相关卡品牌确认好合规要求。做

到先期规划好合规要求,以保障业务的安全开展。

相关推荐
我言秋日胜春朝★25 分钟前
【Linux】进程地址空间
linux·运维·服务器
繁依Fanyi1 小时前
简易安卓句分器实现
java·服务器·开发语言·算法·eclipse
C-cat.1 小时前
Linux|环境变量
linux·运维·服务器
Smartdaili China1 小时前
如何在 Microsoft Edge 中设置代理: 快速而简单的方法
前端·爬虫·安全·microsoft·edge·社交·动态住宅代理
m51271 小时前
LinuxC语言
java·服务器·前端
hakesashou1 小时前
Python中常用的函数介绍
java·网络·python
C++忠实粉丝1 小时前
计算机网络socket编程(4)_TCP socket API 详解
网络·数据结构·c++·网络协议·tcp/ip·计算机网络·算法
九州ip动态1 小时前
做网络推广及游戏注册为什么要换IP
网络·tcp/ip·游戏
运维-大白同学1 小时前
将django+vue项目发布部署到服务器
服务器·vue.js·django
Estar.Lee1 小时前
时间操作[取当前北京时间]免费API接口教程
android·网络·后端·网络协议·tcp/ip