保护支付生态系统
了解万事达卡网站数据保护计划和 PCI
2006 年,万事达卡与行业同仁共同设立并制定了支付卡行业数据安全标准(PCI DSS)。为帮助收单机构、商户和服务提供商遵守这一重要标准,万事达卡还推出了网站数据保护计划(SDP)。
网站数据保护计划(SDP)以 PCI DSS 为基础,详细介绍了数据安全和合规验证要求,旨在保护被储存和传输的万事达卡支付账户数据。
PCI DSS 用于识别安全流程、程序和网站配置中的漏洞。遵守 PCI DSS 和网站数据保护计划(SDP)指令有助于保护商户、服务提供商和发卡机构免受安全漏洞侵害,同时提升消费者信心,并保护支付系统整体的可靠性。
PCI 数据安全标准
PCI DSS 有超过 250 条子要求,总体分为 6 个目标和 12 项主要求。
6 个目标,12 项要求
目标 | PCI DSS 要求 |
---|---|
建立并维护安全网络 | 1:安装并维护防火墙配置,保护持卡人数据 |
保护持卡人数据 | 3:保护所储存的持卡人数据 4:对持卡人数据在公共开放网络之间的传输进行加密 |
维护漏洞管理程序 | 5:使用杀毒软件并定期更新 6: 建立并维护安全系统和应用 |
采取强大的访问控制措施 | 7:根据业务须知限制获取持卡人数据的权限 |
定期监控和测试网络 | 10:跟踪并监控对网络资源和持卡人数据的所有访问 11:定期测试安全系统和流程 |
维护信息安全政策 | 12:维护信息安全政策 |
支付应用数据安全标准
软件开发者和支付应用整合者会对持卡人数据进行存储、处理,在向第三方出售、分销或提供特许应用时的结算和授权过程也会传输持卡人数据。支付应用数据安全标准(PA-DSS)正是针对以上情形而制定。
PA-DSS 要求第三方支付应用的供应商采取合适的安全控制措施,以保护持卡人数据。支付应用数据安全标准(PA-DSS)中有许多控制措施专门用于处理导致信用卡数据丢失的常见漏洞。
已于 2012 年 7 月 1 日生效的万事达卡相关规定
2012 年 7 月 1 日生效:万事达卡修改了万事达卡 SDP 程序标准,要求所有使用第三方支付应用的商户和服务提供商只能使用符合支付卡行业支付应用数据安全标准(PCI PA-DSS)的应用。PCI PA-DSS 程序指南中已明确其对第三方支付应用的适用性。此外,万事达卡将设定一项新的 PA-DSS 合规验证要求,专门针对 1 级、2 级和 3 级商户以及 1 级和 2 级服务提供商。
万事达卡关于支付应用数据安全标准(PA-DSS)的相关规定将有助于继续推动其在全球范围内的采用,并促进支付生态系统中所有利益关系者遵守这一标准。