iT邦幫忙

2017 iT 邦幫忙鐵人賽
DAY 2
2
Security

資料安全與簡單加密演算法見面會 系列 第 2

[Day02] 支付卡產業資料安全標準(PCI DSS、PA DSS)

出道成為工程師大約10年多1點點,依稀記得剛進這個產業時常聽到電腦處理個人資料保護法,值班時總是感覺手被綁起來,後來則是這幾年經常見到面在2010年實施的個資法,算是矇住眼睛在值班。企業為了維護資訊安全,也會制定資訊安全管理制度(ISMS)在企業內實施,也這就人性了一些。

因為產業屬性的緣故,我們則是要和客戶一起符合支付卡產業資料安全標準(PCI DSS),因為公司是軟體廠商,必須也要符合支付程式資料安全標準(PA DSS)要求。

資訊安全是軟體及系統廠商很重要的風險管理,稍有不慎就可能灰飛煙滅,
韓非子

千里之堤,毀於蟻穴。

在追求產能X良率的生產效率輪迴中,需要資深成員和主管的支持及以身作責,期待我們能有更多時間及力氣放在資訊安全上。
*SDD:Security-driven Development。

資訊安全法令

遵守個人資料保護法

國內保護個人資料的法規,內容規範了個人資料之蒐集、處理及利用,確保人格權不會受到侵害,另外就是確認個人資料被合理使用。

1995年電腦處理個人資料保護法,先規範了電腦處理個人資料,適用範圍僅限特定電腦資訊產業;
2010年國內正式施行個人資料保護法將範圍也增加到紙本,適用任何機關團體,並依循國際標準修訂。

推薦ithome圖解個資法這篇文章
http://www.ithome.com.tw/article/87965

若非公務機關,可以從第三章非公務機關對個人資料之蒐集、處理及利用閱讀。
系統商的風險:第四章損害賠償及團體訴訟

非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵
害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此
限。依前項規定請求賠償者,適用前條第二項至第六項規定。 

資訊安全管理制度


ISMS(Information Security Management System)

資訊安全管理制度,有系統的分析和管理資訊安全風險的方法,從資訊安全政策規劃、風險管理及評鑑、管理制度實施,然後最後稽核,每一個企業都可以自行定義或選擇適合自己產業屬性制度及標準。

 

資訊安全標準


ISO 27001認證標準

資訊安全管理系統標準,由英國標準協會BSI(British Standards Institution) 的BS 7799 發展而來,主要確保企業保護資訊資產安全機制是否完備,不過對於個人資料保則會顯得有些不足。

ISO是國際標準,國內標準則是CNS,相對ISO27001,國內的國家級標準稱為CNS27001,全名很長,資訊技術-安全技術-資訊安全管理系統-要求事項,
CNS 27001主要參考2013年最新版ISO 27001。

PCI DSS(The Payment Card Industry Data Security Standard):


支付卡產業資料安全標準:

2004年國際信用卡組織(VISA、Mastercard、 JCB、AE與Discover)為保護支付卡片資料所共同制定的安全標準。

各國際組織之前也有自己的標準,像是VISA的AIS(Account Information Security),Mastercard的SDP(Site Data Protection),另外有的企業也會通過SAS 70(The Statement on Auditing Standards No.70)認證。

為保障其他持卡人的資料及交易安全,PCI DSS針對6大領域制定了12項要求:

六大領域

  • 建立並維護安全網路和系統:
  • 保護持卡人資料
  • 維護漏洞管理計畫:
  • 嚴格的認證及授權:
  • 定期稽核監控及測試網路
  • 維護資訊安全政策:

幾乎整個支付卡產業,都必須符合PCI DSS(Payment Card Industry Data Security Standards)的各項要求。

PA DSS(Payment Application Data Security Standard)


程式資料安全標準,也是系統商要遵循的資料安全標準

適用於從事支付應用程式開發並將其銷售、發佈或授權給第三方用於儲存、處理或者傳輸持卡人的授權或結算資料的軟體供應商或其他方。

為保障其他持卡人的資料及交易安全,PA DSS制定了14項要求:

要求 1:不要儲存全部磁條資料、卡片驗證值(CAV2、CID、CVC2、CVV2)或 PIN Block
要求 2:保護儲存持卡人資料
要求 3:提供安全的驗證功能
要求 4:紀錄支付應用程式活動
要求 5:開發安全支付應用程式
要求 6:保護無限傳輸
要求 7:針對漏洞測試應用程式並即時更新支付應用程式
要求 8:安全的網路
要求 9:絕不能在連接到網際網路的伺服器上儲存持卡人資料
要求 10:便於對支付應用程式進行安全的管理
要求 11:經由由開放網際網路的的敏感資訊進行加密
要求 12:保護所有非控制台管理访问
要求 13:為客戶、經銷商維護PA-DSS
要求 14:為工作成員分配 PA-DSS 職責,並為工作人员、客戶、經銷商維護培訓計畫。

就像Check list一樣纏身,需要一條一條的實踐和驗證。

PCI DSS vs PA DSS

每一個處理支付卡的單位(商店、清算組織等)都必須遵從PCI DSS標準,而開發支付卡相關程式的系統商則需要遵從PA DSS。

PTS(PIN Transaction Security) POI(Point of interaction)

個人識別碼交易安全,針對讀卡機、密碼輸入設備的交易安全標準認證。

參考:
http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021
https://www.pcisecuritystandards.org/pci_security/
http://www.ithome.com.tw/article/87965
http://www.nicst.ey.gov.tw/News_Content.aspx?n=626B7A2643794AB0&sms=C43ECA251722A365&s=5D14CC863ACDB700


法國警察
http://ithelp.ithome.com.tw/upload/images/20161217/20103434kaaZeArYpJ.jpg

2015.10攝於colmar,france


上一篇
[Day01] 資料安全與簡單加密演算法見面會
下一篇
[Day03] 資料儲存安全(SQL雜湊加密函數)
系列文
資料安全與簡單加密演算法見面會 30

尚未有邦友留言

立即登入留言