什麼是PCI DSS(支付卡產業資料安全標準)?

應援小百科

Publish Date | 2024/08/30 07:08
Author | 應援編輯部

你是否想過在線上捐款,又擔心付款資訊被盜用?許多不肖團體瞄準非營利組織資安不夠完善的弱點盜取個資,應援科技理解你的擔憂,為此,只要通過應援科技支付的金流服務,都會符合全球最嚴格的PCI DSS標準,保護你的金錢與信任不被濫用。


「線上捐錢」、「線上付款」只要信用卡輕輕一刷好方便?不管是電商還是非營利組織,想要順利收款,若使用自行架設的網站或是軟體,「資訊安全」是首要被關注的重要議題。


應援科技在成立初始就以「資訊安全」為宗旨,因此打造自有金流服務完全與國際接軌,和全球最嚴格、級別最高的金融機構安全認證標準PCI DSS(支付卡產業資料安全標準)。


若你不清楚PCI DSS是什麼?簡單說,通過PCI DSS標準,就能防範卡號外洩、盜刷等疑慮,是值得信任的付款交易安全標準。


PCI DSS 是什麼?PCI DSS 認證機構有哪些?

什麼是PCI DSS?PCI DSS 是 英文 Payment Card Industry Data Security Standard的縮寫,中文是:支付卡產業數據安全標準,是由支付卡產業安全標準委員會制定的全球性標準,旨在保護持卡人數據和防止信用卡詐欺。


PCI DSS適用於所有接受、處理、儲存或傳輸信用卡資訊的商家和組織。其主要目的是確保信用卡數據的安全,並減少數據洩露風險。


那麼,提供 PCI DSS 認證機構有哪些?


英國標準協會 BSI(British Standards Institution)) 說明,PCI DSS 是 5 家國際支付卡品牌(VISA、MasterCard、 JCB、AMEX與Discover)基於為支付卡產業保障持卡人資料安全所共同建置的全球統一規範。


為保障其他持卡人的資料安全,繼而針對安全管理、政策、程序與方式、網路配置與軟體設計等多方需求,所訂定之資料安全標準。五家國際支付卡品牌均支持PCI DSS之合規性規範,且致力推廣使用。



獲得 PCI DSS 認證的 6 大保障

PCI DSS涵蓋的主要要求包括:


  1. 建立和維護安全網絡和系統
  2. 保護持卡人數據
  3. 維持脆弱性管理計劃
  4. 實施強有力的訪問控制措施
  5. 定期監控和測試網絡
  6. 維持資訊安全政策


以全球信用卡支付龍頭之一的 VISA 官網說明,PCI DSS是「每一個人都受惠的安全標準。」由於 PCI DSS 強調資安合規標準,VISA 表示,凡儲存、處理或傳輸 Visa 持卡人資料的業者,包括金融機構、特約商店與服務提供者都必須遵守,所有參與 Visa 計劃的合作夥伴,須定期提供合規證明以符合 PCI DSS。


這意味著,應援科技取得 PCI DSS 認證,採用應援科技的客戶,都同樣能享有上述 6 大保障,與國際發卡組織的金流支付資安等級相同。 


PCI DSS 4.0 又是什麼?

PCI DSS 規範不斷演進,業界簡稱為 “PCI 4.0” 的 “PCI DSS 4.0”,主要變更在於,PCI DSS 4.0是標準的最新版本,於2022年3月發布。


與之前版本相比,PCI DSS 4.0引入了多項重要變更,以應對不斷發展的威脅環境和技術進步。以下是一些關鍵變更:


1.增加靈活性和支持安全創新:

允許實施基於目標的合乎法規,讓組織可以選擇如何實現和維持安全目標,而不僅僅是遵循特定的技術或流程。


2.強化身份驗證:

引入了更嚴格的多重身份驗證(MFA)要求,適用於所有具有訪問持卡人數據和系統管理員帳戶的用戶。


3.加強數據加密:

對於傳輸中的持卡人數據,引入了更嚴格的加密要求,確保數據在傳輸過程中不被攔截和洩露。




4.改進的監控和日誌記錄:

強調實時監控和警報功能,以便更快地檢測和響應安全事件。

增加了對日誌記錄和監控數據的詳細要求,確保組織能夠有效地進行安全事件的審計和調查。


5.定期風險評估:

要求組織定期進行風險評估,以識別和管理潛在的安全風險,並根據風險評估結果調整安全控制措施。


6.強化供應鏈安全:

要求組織確保其第三方供應商和合作夥伴也遵守PCI DSS標準,從而減少供應鏈帶來的安全風險。


這些變更目的是為了提高金流支付的整體安全性,並為組織提供更多靈活性,以適應不斷變化的支付技術和威脅環境。採取 最新標準的 PCI DSS 4.0,組織可以更好保護持卡人數據,並確保合乎國際標準。


為什麼應援科技要採取PCI DSS 認證?

Progress Bar指出,如果網站若具備了支付行為,卻沒有 PCI DSS 的認證,「可能將被裁罰每次交易高達50萬美金的罰款。」


應援科技已經支援超過 600 個組織建立官網和舉行活動,成立起始就取得 PCI DSS Level 1、ISO27001 國際標準雙重認證,並投保 1000萬 個資責任險,重視金流安全業界第一。


目前許多政治競選團隊、非營利組織與活動主辦方都已採用應援科技提供的服務。


從訂閱金流、官網架設,應援科技通通一站式整合,並提供單一窗口客服,節省你的行政與溝通成本!


無論你希望透過募款、販售、贊助達成什麼目標,應援科技都能提供你所需的金流支付服務,透過專屬官網,你能輕鬆取得和國際接軌的資安認證,踏出朝向目標的堅實一步。


應援科技已經支援超過 600 個組織建立官網和舉行活動,目前許多 Podcast 創作者和社群經營者都已採用應援科技提供的服務。


由於對創作者來說,只要和單一窗口聯繫、一站式整合功能,創作者不再需要一次找尋多家廠商,從訂閱金流、官網架設,應援科技通通一站式整合,並提供單一窗口客服,節省你的行政與溝通成本!


無論你是經驗豐富的內容創作者還是剛開始希望透過網路賺錢,應援科技都能提供你所需的電子報服務,透過專屬官網,你能輕鬆搜集名單,開始發送你的第一封電子報。

更多文章:

什麼是輕觸支付(Tap to Pay)?

https://tech.oen.tw/posts/2i6nusQT3Vbrh9F5cwbz5tMOPY0?locale=zh-TW


零信任架構:保護組織免受網路攻擊的利器

https://tech.oen.tw/posts/2i6LKI78SUOd28gkTLYdHs8Fl7B?locale=zh-TW


代碼化:全通路支付策略中的祕密武器

https://tech.oen.tw/posts/2i6kbabWuWxZmP896afFXYLpAeq?locale=zh-TW

交易暨資訊安全