出道成為工程師大約10年多1點點，依稀記得剛進這個產業時常聽到電腦處理個人資料保護法，值班時總是感覺手被綁起來，後來則是這幾年經常見到面在2010年實施的個資法，算是矇住眼睛在值班。企業為了維護資訊安全，也會制定資訊安全管理制度(ISMS)在企業內實施，也這就人性了一些。

因為產業屬性的緣故，我們則是要和客戶一起符合支付卡產業資料安全標準(PCI DSS)，因為公司是軟體廠商，必須也要符合支付程式資料安全標準(PA DSS)要求。

資訊安全是軟體及系統廠商很重要的風險管理，稍有不慎就可能灰飛煙滅，
韓非子

千里之堤，毀於蟻穴。

在追求產能X良率的生產效率輪迴中，需要資深成員和主管的支持及以身作責，期待我們能有更多時間及力氣放在資訊安全上。
*SDD:Security-driven Development。

資訊安全法令

遵守個人資料保護法

國內保護個人資料的法規，內容規範了個人資料之蒐集、處理及利用，確保人格權不會受到侵害，另外就是確認個人資料被合理使用。

1995年電腦處理個人資料保護法，先規範了電腦處理個人資料，適用範圍僅限特定電腦資訊產業；
2010年國內正式施行個人資料保護法將範圍也增加到紙本，適用任何機關團體，並依循國際標準修訂。

推薦ithome圖解個資法這篇文章
http://www.ithome.com.tw/article/87965

若非公務機關，可以從第三章非公務機關對個人資料之蒐集、處理及利用閱讀。
系統商的風險：第四章損害賠償及團體訴訟

非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵
害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此
限。依前項規定請求賠償者，適用前條第二項至第六項規定。　

資訊安全管理制度

ISMS(Information Security Management System)

資訊安全管理制度，有系統的分析和管理資訊安全風險的方法，從資訊安全政策規劃、風險管理及評鑑、管理制度實施，然後最後稽核，每一個企業都可以自行定義或選擇適合自己產業屬性制度及標準。

資訊安全標準

ISO 27001認證標準

資訊安全管理系統標準，由英國標準協會BSI(British Standards Institution) 的BS 7799 發展而來，主要確保企業保護資訊資產安全機制是否完備，不過對於個人資料保則會顯得有些不足。

ISO是國際標準，國內標準則是CNS，相對ISO27001，國內的國家級標準稱為CNS27001，全名很長，資訊技術-安全技術-資訊安全管理系統－要求事項，
CNS 27001主要參考2013年最新版ISO 27001。

PCI DSS(The Payment Card Industry Data Security Standard):

支付卡產業資料安全標準:

2004年國際信用卡組織(VISA、Mastercard、 JCB、AE與Discover)為保護支付卡片資料所共同制定的安全標準。

各國際組織之前也有自己的標準，像是VISA的AIS(Account Information Security)，Mastercard的SDP(Site Data Protection)，另外有的企業也會通過SAS 70(The Statement on Auditing Standards No.70)認證。

為保障其他持卡人的資料及交易安全，PCI DSS針對6大領域制定了12項要求:

六大領域

• 建立並維護安全網路和系統:
• 保護持卡人資料
• 維護漏洞管理計畫:
• 嚴格的認證及授權:
• 定期稽核監控及測試網路
• 維護資訊安全政策:

幾乎整個支付卡產業，都必須符合PCI DSS（Payment Card Industry Data Security Standards）的各項要求。

PA DSS(Payment Application Data Security Standard）

程式資料安全標準，也是系統商要遵循的資料安全標準

適用於從事支付應用程式開發並將其銷售、發佈或授權給第三方用於儲存、處理或者傳輸持卡人的授權或結算資料的軟體供應商或其他方。

為保障其他持卡人的資料及交易安全，PA DSS制定了14項要求:

要求 1：不要儲存全部磁條資料、卡片驗證值（CAV2、CID、CVC2、CVV2）或 PIN Block
要求 2：保護儲存持卡人資料
要求 3：提供安全的驗證功能
要求 4：紀錄支付應用程式活動
要求 5：開發安全支付應用程式
要求 6：保護無限傳輸
要求 7：針對漏洞測試應用程式並即時更新支付應用程式
要求 8：安全的網路
要求 9：絕不能在連接到網際網路的伺服器上儲存持卡人資料
要求 10：便於對支付應用程式進行安全的管理
要求 11：經由由開放網際網路的的敏感資訊進行加密
要求 12：保護所有非控制台管理访问
要求 13：為客戶、經銷商維護PA-DSS
要求 14：為工作成員分配 PA-DSS 職責，並為工作人员、客戶、經銷商維護培訓計畫。

就像Check list一樣纏身，需要一條一條的實踐和驗證。

PCI DSS vs PA DSS

每一個處理支付卡的單位(商店、清算組織等)都必須遵從PCI DSS標準，而開發支付卡相關程式的系統商則需要遵從PA DSS。

PTS(PIN Transaction Security) POI(Point of interaction)

個人識別碼交易安全，針對讀卡機、密碼輸入設備的交易安全標準認證。

參考:
http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021
https://www.pcisecuritystandards.org/pci_security/
http://www.ithome.com.tw/article/87965
http://www.nicst.ey.gov.tw/News_Content.aspx?n=626B7A2643794AB0&sms=C43ECA251722A365&s=5D14CC863ACDB700

法國警察

2015.10攝於colmar,france