据悉,根据支付卡行业数据安全标准委员会提出的要求,在今年年底前,使用在线信用卡支付的大型商户在安全控制上的所有指标都必须达到PCI-DSS规定的在线交易的数据安全标准的要求,否则就得不断的承受巨额罚款直到达标为止。
在网上支付过程中,信用卡数据泄漏是引发的各类欺诈行为的主要隐患。最初支付卡安全保障是由各个支付卡品牌独立完成的,如VISA的AIS。但随着卡基支付的发展,原先支付卡各自为战的安全标准逐渐无法满足信息保密的需要。2004年,VISA和MasterCard联合多家机构,成立了支付卡行业数据安全标准委员会(PCI SSC),委员会的主旨是鼓励所有关键业内机构采用数据安全标准;培养和管理全球范围内有资质的授权扫描服务商(ASV);以及邀请机构加入到此标准的维护行列。同时,为了建立统一的业界标准,最大程度的降低支付卡风险,标准委员会联合制定了旨在严格控制数据存储以保障支付卡用户在线交易安全的数据安全标准(PCI DSS)。
PCI DSS不仅成为了VISA信用卡支付必须的认证标准,也为各机构提供了一个最高级别的保障敏感信息安全性的产业工具和方法的通用集合。该标准制定了一套行业必须达到的共同规定,以确保持卡人资料获得安全及妥善处理。PCI-DSS对于所有的商户、发卡行、收单行和持卡人都有系统的专项要求,这个标准也划分了商家的规模大小。例如,VISA是一个单独的系统,对于亚太地区的支付卡网关和第三方服务商提出凡是月授权交易额达600万,就必须拿到一级安全控制的标准。也就是说,假如某个第三方支付平台,当月与VISA授权交易总额达到了600万,就必须要通过PCI-DSS。这个标准是所有支付卡品牌的强制标准。
PCI-DSS安全认证的主要过程是由VISA和MasterCard授权的独立审查公司完成的一次彻底的在线支付系统安全审查,其中有近200项审查内容。包含 6 大领域 12 项要求的规范,其认证过程异常严苛且繁杂,包括自我安全检测 (Self Security Probe)、漏洞分析 (Analysis of the Vulnerabilities) 以及由协会执行的安全调查 (Security Investigation by the Council)三个阶段,考察范围涉及硬件、软件及员工等多项指标。
PCI-DSS规定的基本安全措施包括:不允许商家存储任何信用卡的三位或者四位确认码;不允许商家无必要的显示信用卡的所有位数;在实现网上交易时,传递信用卡的信息时必须使用加密;密码设置至少要有7位,必须有数字和字母;修改密码时不能提供和前四次相同的密码,试密码不能超过6次。此外,还有诸如要求商家内部网络安装防火墙,监测重要数据的使用记录,等等重要措施来保护信用卡数据安全,等等。
据了解,目前国际上已有多家知名支付企业通过了该认证。而在国内,除了日前刚刚成为国内首家获得PCI-DSS认证的“环迅支付”外,其他大多数支付系统还尚未具备达到此项标准的能力。业内人士分析,支付卡数据安全控制的整体水平尚无法与国际接轨,这也是国内网银账号失窃事故频频发生的主要原因。作为国内第一家获PCI-DSS认证的支付系统,也希望环迅支付能够起到一个典范作用,引领国内支付行业在数据安全控制水平上踏上一个新的台阶。
