PCI 资料安全标准

 

2005年，维萨(Visa)、万事达卡(Mastercard)、美国运通、发现金融服务公司LLC和JCB等五家国际公司联合起草了支付卡行业(PCI)数据安全标准(DSS)。支付卡产业的各个参与机构均应该考虑实施符合性工作，即使是中小型的商户也应该考虑标准的符合性建设，特别是所有的商户（merchants）和服务提供商（Service providers）需要符合该标准的要求。各支付品牌（如VISA）各自维护其符合性验证体系，如何向支付品牌证明符合性，不同的支付品牌有各自明确的准则和要求。

该标准一共保护12条规则，如下所示：

PCI DDS条目和规则构建和维护安全网络

规则1：安装并维护防火墙配置以保护持卡人数据。

规则2：不要使用供货商提供的默认的系统密码以及其他安全参量。

保护持卡人数据

规则3：保护所储存的持卡人的数据。

规则4：在公开的、公共的网络上传输持卡人数据时采用加密术。

运用易损性管理程序

规则5：使用并定期升级反病毒软件。

规则6：开发并运用安全系统和应用软件。

严格执行访问控制措施

规则7：在交易所需知道数据的情况下也要严格控制访问持卡人数据。

规则8：对每一个访问计算机的人分配一个唯一的ID。

规则9：对持卡人数据的物理进入进行严格控制。

例行监控和检测网络

规则10：跟踪和监控对网络资源和持卡人数据进行的所有访问。

规则11：例行检测安全系统和程序。坚持执行信息安全政策。

规则12：坚持执行有关信息安全的政策。

根据Forrester Research在2007年7月对于美国和欧洲PCI符合性研究报告显示[3]，很多的商户和服务提供商存储了过多的信用卡号码之外的机密数据信息。在被统计的机构当中，81%的机构存储了信用卡号码，73%的机构存储了信用卡过期时间，71%存储了验证码（Verification codes），而且超过50%的机构都表示存储了信用卡磁条（magnetic stripe）上的用户数据。很多处理大批量交易的机构都暴露出了极其错误的行为，特别是一些金融服务、医疗、保险和高等教育行业，相当比例的机构存储了绝对禁止进行存储的数据。这些机构存储信用卡数据的动机也不尽相同，基本上可以归纳为使用这些信息进行防止欺骗的分析、用户唯一识别、业务智能分析、退款、与合作伙伴信息共享等。相当多的机构还需要在信息存储上进行优化和改进，以符合PCI信息安全标准中针对存储的规定。

国内方面，央行、银监会等部门应还没有出台正式的方案，业界也没有统一的规定，只有一些关于网上银行支付的试行方法。感觉每一次相关安全法案的出台，都意味着各种商机。

有一本关于PCI implement的书，可以在百度上搜到。