概要說明
本檔案概要說明信用卡產業資訊安全標準 (PCI DSS) ,並概述Varonis資料控管解決方案有助於企業組織遵守信用卡產業資訊安全標準(PCI DSS)部分規 定。背景
Master Card Worldwide, Visa International, American Express, Discover Financial Services 與 JCB合作開發信用卡產業資訊安全標準 (PCI DSS),並共同致力於最終制定準則, 有助企業組織處理信用卡資訊於最終制定準則, 防止誤用信卡資料。
何人需要遵守
全部儲存、處理與傳輸信用卡資訊的商家與服務供應商,必須由合格掃描供應商 (ASV)依據信用卡產業資訊安全標準(PCI DSS)的掃描程序 (掃描檢查破壞情況),透過網際路每季自我評估與稽核。
每年必須由 每年必須由 PCI DSS合格的安全評估廠商(QSA)稽核 大型廠商 (也就是 包含電子商務在內的全部銷路,每年 交易金額超過6百萬美元 )與服務供應商 (也就是每年交易金額超過 1 百萬美元 )。稽核作業包含全部系統、應用裝置與技術量測、儲存處理傳輸持卡人信用卡資訊有關政策與程序。
哪些資料被視為敏感哪些資料
- 持卡人主帳號(PAN)
- 持卡人名稱
- 服務代碼
- 到期日
- 個人辨識碼證基碼 (PVV)
- 安全代碼 (數字 3或 4位)
依據作業準則,廠商或服務供應不儲存個人辨識碼驗證基碼(PVV)或唯一在交易時能辨識持卡人的塑膠卡之安全代碼。不過,卻能儲存持人主帳號(PAN)、持卡人名稱、服務代碼與到期日。
若不遵守作業準則,代價與風險為何?
每年盜用與誤信卡損失金額達數十億美,然而次事故成本可能不同端視廠商或服務供應規模而定,損失包括:
- 盜用交易收入損失
- 重新發卡成本
- 調查與可能的訴訟成本
- 金融卡 /信用卡發行公司罰款
- 公司聲譽、客戶信心與營業損失
- 接受信用卡付款能力的潛在損失
VARONIS 如何協助遵守信用卡付款業界準則
Varonis代理商提供綜合系統用於可視、存取控制與稽核非結構化資 料,並將這些料儲存於資庫外部。事實上,Varonis是唯一能自動化整體稽核非結構資料的系統供應商。相 對 PCI 而言 , 不僅保護資料庫相當重要,保護共用檔案亦然。當含有任何 PCI 認定的敏感資料時,企業組織必須稽核存取使用這些網路共用資源,藉以遵守信卡付款準則。
許多企業組織本能致力於保護資料庫內部持卡人訊,為眾的技術解決方案帶來挑戰。然而美國花旗銀行與輝瑞集團有關的違約案件,顯示企業正面臨挑戰─如何控制存取使用傳送可能含持卡人資訊的電子試算表與檔案。從資料庫內部傳送持卡人資訊乃司空見慣,因此繞這些資料可能被使用於市場調查,或被傳送至其他應用程式。依據Ventana 研究顯示, 42 %企業組織所擁有的客戶資料,理當然地儲 %企業組織所擁有的客戶資料,理所當然地儲存於電子試算表中,而這些數量並不包含輸出資料以供自行進企業分析或其他目的之個人使用者。
因此,當提及執行遵守信用卡付款準則的技術時,讓企業不能輕易忽視其共用檔案便極為重要。
沒有留言:
張貼留言