零售業中的PCI DSS經常被形容為令人焦頭爛額且須謹慎竭力以對的標準。然而,支付流程模式、技術與標準本身不斷地演進,因此達成合規的方式亦隨之改變。有些方法可降低您持卡人資料環境的風險,以免受支付卡違法事件侵害,此外這些做法也能減少合規活動所帶來的負擔。
在這篇部落格文章中,我們將著眼於PCI DSS在零售業中的應用方式,該產業自2020年3月以來歷經真正的轉型變革,我們也會試圖找出所面臨的風險與挑戰,以及如何管理網路韌性及合規性。
零售
認為零售業是以傳統實體經營為主的想法已不合時宜。電子商務伴隨我們的日常生活許久,如今成為實體據點的先驅角色,且在許多案例中,電子商務比實體店所帶來的營收比例更為龐大。
不過,從PCI DSS的角度而言,儲存、處理或傳輸持卡人資料(cardholder data, CHD)的地點、系統、流程或人員皆在PCI DSS規範的範疇中。這意謂著電子商務、後台部門和實體零售店皆在PCI DSS的範疇內。
為什麼零售業應重視PCI DSS?
答案很簡單。
- 您的組織極有可能已與您的收單銀行簽約,依要求您需遵循PCI規範。
- 駭客持續鎖定零售業,且零售業資料(尤其是電子商務端)對駭客而言坐擁著豐富資料來源。在過去數年來所觀察到的典型攻擊包括特別針對零售業,並涵蓋下列攻擊對象:
|
實體店
|
電子商務
|
- 針對銷售點(POS)-記憶體擷取惡意軟體
- 在讀卡機上的實體卡片側錄器
- NFC為主的盜卡器
|
- 傳統的應用層攻擊所造成的後端資料庫損壞
- 線上側錄攻擊— 專門針對電子商務結帳部分
- 利用結合網路釣魚、憑證洩露與密碼填充等方式,對生產網路以遠端存取方式進行攻擊。
|
達到PCI DSS 合規有哪些好處?
達成合規有其好處,相對地不合規也有其缺點。不合規的缺點包括罰款,若置之不理,每違規一次的每月罰款可高達2-6位數。然而,如果您發生資料外洩時是合規的,便可適用安全港條款,即您將免受卡片資料外洩的罰款處分。
資料外洩的罰款明顯不同於持續不合規的罰款,且視資料外洩/卡片遭盜用的規模而定,罰款可能高達數百萬元。該組織也將被迫停止進行支付卡業務,直到資料外洩獲得控制且已糾正資料外洩的源頭。
罰款結構依各家支付卡各異,不過衡量直接罰款的一個合適標準則是每張遭盜的卡號處以3美元的罰款。在信用卡認證編號(CVV)、卡片到期日和名稱也遭洩漏的情況下,這筆罰款則會增加至18美元。
導致資料外洩的最常見問題在於糟糕的漏洞修補機制、身分辨識與存取管理實務缺乏安全性,以及軟體開發實務不健全。
我如何能達到PCI DSS 合規?
1.辨識您的支付卡流程管道
在零售環境中,支付卡資料通常會流通於您的電子商務網站、手機應用程式、電話系統及面對面接觸的實體場所。
2.確定在每個管道中支付卡的交易數量
洽詢您收單銀行有關此項資訊,因為這將影響驗證級別與所需的稽核類型。
3.確定是否有可以縮小網路作業範圍的選項
常見的選項包括運用iFrames、Redirects、委外作業、及點對點加密(P2PE)的解決方案。
4.差異分析
針對其餘條件進行差異分析(gap analysis)。
5.執行
制定一套執行計劃以彌補差距,並確保角色與責任恰當到位,以便在未來對合規進行有效管理。
6.稽核
最終階段,即驗證合規性。驗證類型依每年處理的交易量及您處理這些交易的方式而定。驗證可以是自行評估或須由合格的安全性評估機構(Qualified Security assessor,QSA)進行。
7.每年重新驗證
PCI DSS驗證是一年一度的確效活動,但遵循法規是全年無休的過程,包括必須在每日、每週、每月、每季和每年各時限要求下執行。
PCI DSS 基礎訓練 >
內部稽核員課程 >
主導稽核員課程 >
