安全標準
全稱PaymentCardIndustry(PCI)DataSecurityStandard(DSS),第三方支付行業(支付卡行業PCIDSS)數據安全標準,是由PCI安全標準委員會的創始成員(visa、mastercard、AmericanExpress、DiscoverFinancialServices、JCB等)制定,力在使國際上採用一致的數據安全措施,以下簡稱PCIDSS。
PCIDSS對於支付網關的安全方面作出標準的要求,其中包括安全管理、策略、過程、網路體系結構、軟體設計的要求的列表等,全面保障交易安全。PCIDSS適用於所有涉及支付卡處理的實體,包括商戶、處理機構、購買者、發行商和服務提供商及儲存、處理或傳輸持卡人資料的所有其他實體。PCIDSS包括一組保護持卡人信息的基本要求,並可能增加額外的管控措施,以進一步降低風險。
PCIDSS信息安全標準有6大項,12小項,整個PCI安全標準基本就圍繞這些項目進行的,正在或準備有意向要做PCI合規審查的組織可以作為參考。
安全概要
1、安裝於維護防火牆設定以保護持卡人資料。
2、對於系統密碼及其他安全參數,不能使用供應商提供的預設值(默認密碼)。
3、保護存儲的持卡人資料。
4、加密通過開放的公用網路傳輸的持卡人資料。
5、使用並定期更新防毒軟體或程式。
6、開發並維護安全系統和應用程式。
7、限制為只有業務需要的人才能存取持卡人資料。
8、為具有電腦存取權的每個人指定唯一的ID。
9、限制對持卡人資料的實際存儲。
10、追蹤並監控對網路資源及持卡人資料的所有存取。
11、定期測試安全系統和程式。
12、維護滿足所有人員信息安全需求的政策。
認證機構
在國外,被PCI委員會授權的認證機構有Applus(Shanghai)、Trustwave、Mcafee、atsec、UL等。
Trustwave的PCIDSS認證服務更是覆蓋了全球範圍。在中國也有適合國內行情的合作夥伴,為國內的第三方支付機構及銀行提供服務。中國區合作夥伴是:北京航天億展科技有限公司
atsec中國作為專業的第三方信息安全服務提供商,是經PCI安全標準委員會授權認可的安全審核機構QSA和弱點掃描服務商ASV。並擁有第一批本土PCIQSA安全審核員。
通過機構
中國南方航空股份有限公司(ChinaSouthernAirlinesCo.,Ltd)
上海付費通信息服務有限公司(付費通)
網銀線上(北京)科技有限公司(Chinabank支付)
迅付信息科技有限公司(IPS支付)
北京通融通信息技術有限公司(易寶支付)
支付寶(中國)網路技術有限公司(Alipay)
快錢支付清算信息有限公司(99Bill支付)
上海匯阜信息技術有限公司(E匯通支付)
世紀禾光科技發展(北京)有限公司(DHgate)
易智付科技(北京)有限公司(首信易支付)
深圳速匯通網路科技有限公司(速匯通支付)
中國民生銀行股份有限公司信用卡中心
上海盛付通電子商務有限公司(盛付通)
武漢市易收通電子科技有限公司(易收通)
安利(中國)日用品有限公司
匯付數據服務有限公司(匯付天下)
重慶艾克沃電子商務有限公司(Ecward)
中銀金融商務崑山分公司(中銀商務)
深圳鼎付信息技術有限公司(GleePay)
銀聯商務有限公司(ChinaUMS)
ZEAIE(HK)CO.,LIMITED
上海浩付網路技術有限公司(91hpay)
中國工商銀行股份有限公司(ICBC)
