網站資料保護計畫 (SDP) 以 PCI DSS 為基礎,詳細介紹了資料安全和合規驗證要求,
旨在保護萬事達卡支付帳戶資料的儲存和傳輸。
PCI DSS 用於識別安全處理流程、程序和網站配置中的漏洞。遵守 PCI DSS 和網站資料保護計畫 (SDP)
的規定有助於保護商戶、服務供應商和發卡機構免受安全漏洞威脅,同時提升消費者信心,
並保護支付系統整體的可靠性。
PCI DSS 總體分為六大目標和 12 項主要求,以及超過 250 條子要求。
目標 | PCI DSS 要求 |
---|---|
建立並維護安全網路 | 1: 安裝並維護防火牆配置,保護持卡人資料 2: 不得將供應商提供的預設值作為系統密碼和其他安全參數 |
保護持卡人資料 | 3: 保護持卡人資料的儲存 4: 對持卡人資料在公共開放網路之間的傳輸進行加密 |
維護漏洞管理計劃 | 5: 使用與定期更新防毒軟體 6: 發展與維護各種安全系統與應用 |
實施嚴格的存取管控措施 | 7: 根據業務須知範圍限制獲取持卡人資料的許可權 8: 為每個有電腦存取權限的用戶分配唯一的ID識別 9: 限制實質存取持卡人資料 |
定期監控和測試網路 | 10: 追蹤並監控所有網路資源和持卡人資料的存取 11: 定期測試安全系統和流程 |
維護資訊安全政策 | 12: 維護資訊安全政策 |
支付應用資料安全標準(PA-DSS)的制定乃在規範軟體開發者和支付應用整合者,
如何對持卡人資料進行存儲、處理,或傳輸,包括授權過程中或當這些應用被出售、
分送或授權給第三方協力廠商時。
PA-DSS 要求第三方支付應用的協力廠商必須確保採取適當的安全管控措施,以保護持卡人資料的安全。
支付應用資料安全標準(PA-DSS)中有許多管控措施專門用於處理導致信用卡資料丟失的常見漏洞。
2012年7月1日生效:萬事達卡已修改萬事達卡 SDP 計劃標準,
要求所有使第三方支付應用的商戶和服務提供者只能使用符合支付卡行業支付應用資料安全標準
(PCI PA-DSS)的應用。PCI PA-DSS 計劃指南中已明確規範其對第三方支付應用的適用性。此外,
萬事達卡將針對 1 級、2 級和 3 級商戶以及 1 級和 2 級服務提供者設定新的 PA-DSS 合規驗證要求。
萬事達將協助持續推動卡支付應用資料安全標準(PA-DSS)的相關規定為全球採用,
並促進支付生態系統中所有利益關係者遵守 PCI DSS 資料安全標準。