1、什么是PCI-DSS安全认证
早期支付卡安全保障主要是由各个支付卡品牌独立完成的,如VISA的AIS。但随着卡支付业务的发展,原先支付卡各自为战的安全标准不利于信息保密的标准统一。2004年VISA和MasterCard联合多家机构,成立了支付卡行业数据安全标准委员会PCISSC,委员会的主旨是鼓励所有关键业内机构采用数据安全标准;培养和管理全球范围内有资质的授权扫描服务商(ASV:Approved Scanning Vendors);以及邀请机构加入到此标准的维护行列。同时,为了建立统一的业界标准,最大程度的降低支付卡风险,标准委员会联合制定了旨在严格控制数据存储以保障支付卡用户在线交易安全的数据安全标准,即PCI-DSS安全认证标准。
2、 PCI支付卡业务安全现状
随着网络的飞速发展,特别是网络支付的发展以及由此而带来的安全事件和安全隐患,人们对支付安全的关注与需求日益显著。在互联网支付过程中,信用卡数据泄漏是引发的各类欺诈行为的最大隐患。针对中国市场的特点,Visa对PCI(Payment Card Industry)数据安全标准(DSS:Data Security Standard)认证展开了不遗余力地投入和积极的推广,对所有从事基于Visa国际卡的电子商务交易的收单银行、支付网关和网上商户等各个支付行业参与者推进这一标准的实施。Visa的目标是将具有防范机制的、安全的支付环境延伸到支付卡行业的各个层面 。
3、PCI-DSS的主要内容
Visa、万事达、美国运通等五家国际性卡组织联合起草了一份“支付卡行业数据安全标准”,旨在规范支付交易相关的服务提供商和与其签约的大型商户,使他们遵循此标准以促进信息安全建设,通过6个控制域,具体包括12项控制目标,67要求来保护持卡人数据信息不遭受泄露。这6个控制域、12项控制目标具体如下:
1. 构建并维护安全的网络
2. 保护持卡人数据
3. 维护漏洞管理程序
4. 执行严格的访问控制措施
5. 定期监控网络和测试网络
6. 维护信息安全政策
PCI标准自发布以来,得到了国际卡组织和金融机构的支持和推广,他们通过制定最后合规期限、处罚条例等方式促使这一标准成为了商户和服务提供商必须遵循的一项强制规范。对于支付产业链中那些在国外上市的企业来说,SOX和PCI就像是为企业护航的左右臂膀,从内控和安全两个方面保证着必要的法律遵循及标准合规。
4、PCI-DSS是怎样鉴定的
PCI-DSS认证是非常严密的认证审查过程,PCI-DSS安全认证的主要过程是由VISA和MasterCard授权的独立审查公司完成。是一次彻底对该支付公司在线支付系统的安全审查,其中有近200项审查内容。审核内容包含6大控制域,12项控制目标,其认证过程非常严苛和繁杂,审核阶段主要包括自我安全检测(Self Security Probe)、漏洞分析(Analysis of the Vulnerabilities)以及由协会执行的安全调查(Security Investigation by the Council)三个阶段,考察范围涉及硬件、软件、员工和公司管理等多项指标。
5、PCI-DSS在我国认证的情况
中国已有越来越多的网络商户和支付网关完成了PCI-DSS数据安全标准的合规认证;同时,Visa还进一步强调了通过PCI-DSS数据安全标准的合规认证来进行数据保护,进而确保中国持卡人利益的重要性。 目前,在国内已经完成了PCI DSS 数据安全标准认证的主要支付网关包括:E汇通(ECPSS)、环讯支付 (IPS)、首信易(PayEase)、快钱(99bill)、95epay、BilltoBill、联款通(AsiaPay)等。此外,网上商户如阿里巴巴、中国南方航空公司等也已经完成了PCI-DSS的部分工作。