想製作線上支付服務?但等等,你了解支付規範龍頭PCI-DSS嗎?
國內外各大支付系統常常被罵到翻,但你知道光是基本的業界標準就麻煩到爆炸嗎?
在新零售崛起的時代,零售轉型所促成的網路開店以及電子商務戰正打得如火如荼,但只要你使用/自行架設的網站或是軟體,牽涉到信用卡支付交易時,就會有許多複雜面向的資安問題接踵而來,一但稍稍處理不慎,就會造成卡號外洩、盜刷等疑慮,而所有的網路服務之中,「資訊安全」更是首要被關注的重要議題。一但你的網站曾經陷入盜刷疑雲,相信我,這名譽的翻身真的是比登天還難。
1. 純網銀是有多【純】? 與傳統銀行的數位銀行又有什麼差異呢?
2. 你知道【第三方支付】與【電子支付】之間的差異嗎?Apple Pay、Line Pay又算其中的哪種呢?
3. 你也是不帶現金一族嗎?隱藏在Apple Pay後面的無線通訊原理 - NFC技術
4. Apple pay 不用輸入信用卡號就能支付,到底是怎麼辦到的?
5. 刷卡之後錢進何方? 讓我們一秒搞懂線上金流的奧妙
而站在消費者角度思考,每當我們在網站上填寫信用卡資訊時,總是會提心吊膽,深怕一個神不知鬼不覺,我們的卡號就被中間人攻擊或是 SQL injection 導致外洩。雖然大部份信用卡公司都已經建立了 3D 認證的機制,來確保刷卡行為是本人執行,但推廣的效能仍然有限,在國內仍然有許多電商網站還沒導入 3D 認證,更別提到一些國外網站(如 Airbnb )。雖然小編個人覺得 3D 認證是一個降低使用者體驗的東西,但不得不說在資安考量上,仍然有她的必要性。
但比起信用卡盜刷,完整的信用卡號的資料價值,在犯罪市場中也是要價不斐,難道這些資料外洩都無法可管嗎?
於是在網路蓬勃發展的 2000 年時,看準了網路交易的趨勢以及風險性後,由全球五大信用卡發卡組織:VISA、美國運通公司、發現金融服務公司、JCB 和萬事達國際組織,決定攜手聯合起草一份標準,來規範各個網路服務業者,透過資料流標準化、規範化的方式,來達到資訊把關的目的,在 2004 年,最嚴格的支付規範 PCI-DSS 安全認證 「Payment Card Industry (PCI) Data Security Standard」1.0 就此誕生了,目前也在 2016 年完成了 3.2 版的發佈,而這份認證因為牽涉到卡號資料及交易等重大情資,毫無疑問,也是目前全球最嚴格、級別最高的金融機構安全認證標準。
而 PCI-DSS 的目的,就是規範這些具備處理支付卡款項的公司、或是相關的服務提供商(像是第三方支付公司)等,無論服務、網站規模、交易量多寡,都必須透過符合其規範標準,來達到信用卡交易的環節,都不會有外洩或遭竊的風險,具體的六大目的如下:
1、構建並維護安全的交易系統及網路(Build and Maintain a Secure Network and Systems)
2、保護交易持卡人數據及資料安全(Protect Cardholder Data)
3、維護漏洞管理程式(Maintain a Vulnerability Management Program)
4、執行嚴格的訪問權限控制措施(Implement Strong Access Control Measures)
5、定期監控並測試服務之網路安全(Regularly Monitor and Test Networks)
6、維護資訊安全政策(Maintain an Information Security Policy)
PCI-DSS 認證更是非國際知名的縝密,其中 PCI-DSS 安全認證的主要過程,是透過 VISA 和 Mastercard 授權的獨立審查公司來進行完成。若是細查規範內容可以得知,有將近 200 項的審查內容,認證過程更是嚴苛和繁雜。其中審核階段主要可包含三大階段:
1. 自我安全檢測(self security probe):針對網站的資訊安全、防火牆、硬體架構、敏感資訊流以及相關單位的權責範圍進行檢測
2. 漏洞分析(analysis of the vulnerabilities):透過由 PCI-DSS 受權認證的廠商進行掃描,避免有相關資安漏洞(像是 SSL 的漏洞,也是容易被掃描出來的核心問題之一)
3. 由認證協會所執行的安全調查(security investigation by the council):對員工資安概念、公司資安機制導入等相關議題,進行調查並作出綜合評斷,以小編的經歷,甚至會有稽核員來到公司進行督導、訪查喔
所以說這是一個相當嚴苛的認證機制,PCI-DSS 涉及總體考察範圍不僅涉及到軟體服務及資料庫架構,更是會從你的網站硬體設計、員工資安概念以及公司管理和其他相關制度導入等,進行綜合評斷,來了解所有金流資訊(包含信用卡號的資訊流、儲存與否)以及公司的資安架構是否符合規範。也因為檢核內容過度繁複,所以大多數公司都會藉由審查代辦商來了解實際需執行的內容,來作出相關的查核及制度導入,但當然這些費用也是不容小覷。
儘管透過代辦可以降低審查的複雜度,並完成 VISA 和 Master 要求的兩大文件:AOC (符合性聲明 - Attestation of Compliance)及 ROC (符合性報告 - Report on Compliance),但每一年仍然需要依據你在報告中界定的服務等級,透過提交像是自主檢查報告(SAQ,或稱自我評估問卷)等其他文件,來確保你每一年都有符合規範水準
所以簡單來說,如果你的網站若具備了支付行為,就必須透過完成 PCI-DSS 的認證,以確認每一個交易的資料及卡號,並沒有外洩或被竊取的風險,而舉凡國內的大型第三方支付或金流串接商,像是智富通、綠界以及國際知名的 PayPal、Stripe 等,她們本身也都是具備了 PCI-DSS 的認證,這樣的認證不僅可以確保金流資訊不再有非人為外洩或竊取的風險外,對於店家、網站服務的商譽等,也可以有效的提升。倘若你視若無睹,可能將被裁罰每次交易高達50萬美金的罰款。
詳細的資訊大家可以參考 PCI-DSS 官方網站,來了解更多的審核細節,但記得,在網路開店的同時,先記得了解一下 PCI-DSS 這個規範龍頭,以免上線觸法,得不償失。
最後,如果你喜歡我們的文章,別忘了到我們的FB粉絲團按讚喔!!