PCI产业概述和产业发展动态分享

atsec白海蔚 20243月底

关键词:支付卡产业、PCI DSS、数据安全、支付交易

本文为atsec和作者技术共享类文章,旨在共同探讨信息安全的相关话题。转载请注明:atsec和作者名称。

*如有兴趣了解早期产业信息请参见作者于2021年4月发布信息:

PCI产业标准家族和相关体系简介发展动态 

1    PCI产业概述

         1.1    传统支付产业链和基本的交易流程

        传统的支付流程参与者通常包括持卡人、商户、收单机构、卡组织、发卡机构和服务提供商。

  • 持卡人(Cardholder)是支付卡拥有者,将通过卡呈现(Card Present)或卡不呈现(Card Not Present)的交易方式来购买商品或服务。
  • 发卡机构(Issuer)是代表支付卡品牌或直接由支付卡品牌发行支付卡的银行或其他组织。例如:VisaMasterCard是不直接发卡的,他们的卡是通过银行或其他组织发行的。
  • 商户(Merchant)是支付环节收款的组织,通常是为了销售或分发商品或服务,且参与支付。
  • 收单机构(Acquirer)可以被称为银行、商业银行、处理者(Processor)或独立销售组织(ISO)。就美国运通、DiscoverJCB而言,收单机构本身也可以是支付品牌之一。最终,收单机构是与商户有合同关系的银行或其他实体,以完成其涉及支付卡使用的交易。
  • 卡组织(Payment Brand)包括但不限于VisaMasterCard、美国运通、DiscoverJCB、银联。

下图是支付处理工作流程的基本概述:我们是从商户购买商品或服务的“支付卡的持卡人”,商户向收单机构发送支付交易数据,收单机构通过卡组织的支付网络向发卡机构发送支付业务数据。发卡机构是实际向持卡人发卡的机构,持卡人执行支付交易时,发卡机构都会向商户的收单银行提供交易授权或拒绝。收单机构和发卡机构需要交换支付信息来完成交易的过程称为“清算”(Clearing)。商户银行(收单机构)为持卡人的购买向商户付款以及持卡人的银行(发卡机构)向持卡人开具账单的过程称为“结算”(Settlement)。

1:传统支付流程(源自PCI SSC

当消费者作为持卡人向发卡机构申请办理支付卡、当发卡机构委托制卡机构完成支付卡的生产和制造、当持卡人在商户购买产品或服务需要提供支付卡的数据,例如卡号、姓名、有效期或PINCVV2等信息,而这些支付卡数据在整个交易的支付流程中进行传输、存储和处理的安全性如何保障,实际的应用场景中支付卡产业可以采用的标准如何选择和使用,让我们一起梳理下支付卡产业安全标准与传统支付产业链的关系。

       1.2    支付卡产业安全标准贯穿传统支付产业链

2:贯穿传统支付流程的PCI标准(源自PCI SSC

如文章前述所提及,发卡机构将把持卡人申请办理的支付卡信息提供给卡片制造供应商,以完成支付卡的生产和制造,故而该环节PCI产业要求针对卡厂执行物理安全和逻辑安全审核,即图中所示:PCI Card Production PhysicalPCI Card Production Logical,现行版本为20226月发布的v3.0.1(可参见atsec早期文章:PCI卡片生产和供应安全标准V3.0.1变更说明及合规流程

ATM和销售点(POS)终端进行联机和脱机支付卡交易处理期间,对PIN(个人识别码)数据进行安全管理、处理和传输。所以针对收单机构、收单机构的商户、收单机构的代理服务商、处理PIN交易的机构、提供相关密钥管理功能的机构、支持PIN输入设备的机构等等将需要遵从PCI PIN安全标准,现行版本为20213月发布的v3.1(可参见atsec早期文章:PCI_PIN标准相关截止时间的解读以及近期重要信息.pdf 

日常支付场景中我们不难遇到POS机具用于刷卡交易,而在此场景中可以考虑采用点对点加密的解决方案、组件和应用,从而精简持卡人数据的流动降低交易风险。标准涉及加密和解密,密钥管理,安全设备管理等要求。通过对加密环境中POS终端所获取的数据进行加密,提高持卡人数据的安全保护;持卡人数据在需要的时候在解密环境通过解密环节获取,从而可以有效地在两点之间去除明文卡号数据,该解决方案的开发、认可和部署则需要满足P2PE标准要求,现行版本为20219月发布的v3.1

纵观整个支付卡产业,通常可以概括为从卡片制造、生产到卡片的使用,而在使用时则会需要依托网络、应用系统、软件和硬件设备以及人员来完成。为确保可靠且准确的支付交易,作为支付交易流程一部分的系统和软件的设计、开发和维护方式必须能够保护支付交易的完整性以及与支付交易相关的所有存储、处理或传输的敏感数据的机密性,那么针对支付应用软件可遵从软件安全框架体系(SSFSoftware Security Framework)(原PA DSS支付应用数据安全标准),SSF又包含面向软件厂商的安全软件生命周期(SLCSecure Software Lifecycle)标准,现行版本是20211月发布的v1.1,以及面向支付应用产品的安全软件(Secure Software)标准,现行版本是20235月发布的v1.2.1。(可参见atsec早期文章:PA-DSS到PCI SSF标准的过渡

针对支付终端设备、加密机、支付移动设备应用等等,PCI SSC则维护了PCI POIPCI HSMCPoCSPoCMPoC标准,详细信息可参见:https://www.pcisecuritystandards.org/document_library/

而另一种日常支付场景就是目前越来越多的电子商务网站出现的线上无卡交易,电子商务CNP无卡交易的购买过程启用安全身份验证,以达到降低欺诈交易的风险就是采用了3DS协议。3DS的安全身份验证协议基于三域模型作为协议核心基础,三个域分别是发卡域、商户/收单域和交互域。其中收单域和发卡域通过交互域连接,目的是在电子商务交易期间对持卡人进行身份验证或提供身份验证和账户确认。这些额外的安全防护有助于防止未经授权的CNP交易,并保护商家免受CNP欺诈。通常发卡域的访问控制服务器(ACSAccess Control Server)、商户或收单域的3DS server和交互域的目录服务器(DSDirectory Server)会关注PCI 3DS标准要求,现行版本是201710月发布的v1.0(可参见atsec早期文章:PCI 3DS标准简介 

不难看出PCI支付卡产业经过多年发展,把整个传统的产业链进行了细分,致力于在每一个支付的环节做好支付卡数据的安全保护要求,并维护相关的产业标准。当一个支付交易流程完整时则构建了一个持卡人数据环境,交易流程则涉及支付卡数据的传输、存储和处理,故而通过PCI DSS标准来对持卡人数据环境进行合规建设,现行版本是20223月发布的v4.0(可参见atsec早期文章:PCI DSS v4.0变更系列之一——变更概述.pdf 

整个支付卡产业的相关标准家族仍然还在适应新的风险和支付形态进行演进,且良性的持续发展和改进,atsec也投入了较大的工作并付出我们的贡献。

2    PCI产业发展动态分享

        2.1    一切似乎都变了

                2.1.1    支付方式发生了变化Payments Are Changing

3:支付方式的变化(源自PCI SSC

伴随时代发展,不难发现人们的支付习惯正在发生变化,移动设备越来越成为支付体验的一部分;支付卡BIN升级为8(可参见atsec早期文章:8位长度银行卡BIN码在PCI DSS中的实践;软件解决方案越来越常见,也越来越复杂;支付卡的形态也正在发生变化,多种多样的移动设备、智能手表等穿戴设备,仿佛让我们置身于一场奇幻的支付卡化妆舞会。

                2.1.2    支付卡产业安全标准委员会发生了变化PCI SSC Are Changing

4PCI SSC标准发布流程的变化(源自PCI SSC

如上图所示,支付卡产业安全标准委员会(PCI SSCPayment Card Industry Security Standards Council)创建和发布一个标准的过程:从启动新标准请求、确定标准的目标和范围、标准的开发、请求意见稿(RFCRequest For Comments)、标准报批、标委会的管理委员会和执行委员会正式批准、PCI标委会最终审查,直到标准发布的过程中,PCI SSC也在不断创新和变化。

  • 成立圆桌会议Roundtable
    • 2018年,PCI SSC设置和维护了全球执行评估机构圆桌会议(GEAR:Global Executive Assessor Roundtable),目的是获得PCI SSC有经验且优秀的合格安全评估机构的建议和意见。允许PCI合格安全评估机构的高级管理人员代表PCI评估员群体提出观点,就评估和评估员计划相关的问题向PCI SSC提供建议、反馈和指导。GEAR也是为了进一步强化评估机构产业且开发高质量的培训体系,从而进一步致力于全球支付数据的安全保障。GEAR希望产业优化和改进PCI评估人员和机构的能力和技能,从而更好地为金融机构(如商户、支付处理者)提供服务。近年来,包括atsec在内的GEARPCI高层团队就热门技术和标准发展展开了密切地讨论,并获得了诸多的成果,比如PCI DSS v4.0及其相关方法论、PCI SSF等。
    • 2022年,PCI SSC成立了“Coffee with the Council”,开始着手制作播客系列节目,希望通过广泛被接受的传播形式吸引支付行业,分享新闻、最新动态、第三方的访谈、小组讨论或案例研究,也分享标委会活动的报道等等。
    • 路线图圆桌会议(RRG:Roadmap Roundtable Group)小组在标委会年度战略规划过程中发挥着关键作用,有助于推动标委会的发展方向和战略举措
  • 技术指导小组(TGG:Technology Guidance Group)为标委会的标准和计划提供积极的技术监督。成员有机会在RFC发布之前的开发过程中为标委会的标准提供意见。
  • 推动BOABOABoard of Advisors)投票环节,在每个阶段,PCI SSC将在适用的情况下,审查、处理并解决根据流程收到的所有意见,并将这些意见及其解决方案(如有)传达给顾问委员会,包括意见来源的归属等等。

                2.1.3    标准发生了变化Standards Are Changing

PCI标委会自创立之初的2个支付卡产业标准发展至今已有15个相关标准,构成了支付卡行业的PCI标准家族。详细的标准家族列表可参见下图。

5PCI支付卡产业标准家族(源自PCI SSC

PCI产业标准伴随支付业务的创新和发展,除了最基本的客观目标以外,越来越多地考虑与更多的利益相关者进行互动,以获取更加可以落地实施的标准建议。标准的行文格式不断优化以易于阅读和理解,并在充分考虑支付交易逻辑和支付形态的前提下,标准增加了灵活性,也增加了更多的指导方案和建议。目前就产业最新变化的2个标准信息分享如下:

  • PCI DSS标准v4.0版本自202441日起强制实施

PCI DSS标准v1.0发布于2006年,发展至今历经4个主版本变化,其中v1.2v3.2.1是顺应IT技术发展而更新的小版本,也在支付产业内稳定地使用了较长周期。PCI DSS v4.02022年发布,为了帮助产业机构平稳过渡,新旧版本标准通常都会有一段时间共同使用的过渡周期。v3.2.1版本标准在2024331日强制退休,自202441日起,我们将正式步入PCI DSS v4.0时代。

6PCI标准发展大事记(源自PCI SSC

atsec2018年至今作为PCI标委会GEAR成员,积极参与产业标准工作,代表产业与PCI SSC紧密沟通并反馈相关建议。在最近的洛杉矶GEAR会议后,PCI标委会经过与支付产业内相关者进行详细讨论后,决定终止且废除了PCI DSS v4.0中引入的INFIINFI: Items Noted for Improvement)工作表,并于2024320日通知立即生效,QSA安全评估机构无需完成PCI DSS评估的INFI工作表。这也无疑体现了PCI产业积极聆听来自GEARBOA成员的声音并持续改进的工作方式。

  • PCI SSF标准自202310月替代PCI PA DSS支付应用安全标准

支付软件的安全性是支付交易流程中重要的组成部分,也是实现可靠和准确支付交易的关键。软件安全框架(SSFSoftware Security Framework)体系包括安全软件生命周期(SLCSecure Software Lifecycle)和安全软件(Secure Software)评估。PCI SSF标准的评估目标是供应商的软件本身,是针对支付软件功能定义的一套安全需求,最终目的是为了保护支付交易与数据的机密性与完整性;SLC标准评估目标是软件供应商,是针对软件供应商定义的一套安全需求,以验证供应商设计、开发与交付的流程,保障支付软件在整个生命周期的安全。PCI SSF标准取代了PA DSS成为确保支付软件安全的主要标准。20221028日,PA DSS已正式退出历史舞台。

202210月底有效期结束后,所有之前完成PA DSS 验证的应用软件已被移至“仅可接受预先部署”(Acceptable Only for Pre-existing Deployments)列表。

atsec和产业内厂商的共同努力下,目前大陆地区诸多支付软件和厂商已完成PCI SSF包含软件本身和SLC的完整评估。

软件安全标准还有一个特点就是可以在主体标准要求的基础上不断根据新的软件形态和技术发展开发和发布新的模块(Module)。目前该标准的最新标准是1.2.1,已经包括了三个模块,分别是Module A:账户数据保护要求(主要为了达到原有已经废除的PA DSS的目的),Module B:终端软件要求(主要保护基于POI平台设备上的软件),Module CWeb软件要求(为了保护基于互联网技术、协议和语言的支付交易)。相信未来SSF还将不断推出新的模块以适应更多的支付形态和技术,atsec也将持续投入反馈相关建议。

        2.2    似乎一切又没变

随着支付形态和标准的演进和发展,我们看到信息安全的许多根基的技术和方法还在延续,比如ASV外部扫描和渗透测试、边界防护、入侵检测等等。

产业相关机构的投入和热情并没有改变。

2006PCI产业标准委员会成立以来,atsec作为独立且中立的第三方信息安全咨询和评估机构,成为PCI SSC授权的第一批QSA合格安全评估机构。atsec伴随IT信息技术和整个支付产业的飞速发展,我们始终在这里:始终专注信息安全领域的技术;始终致力于做好数据安全标准的合规工作。

不论产业形态、技术方案、业务创新等一切是不是似乎都变了,atsec专注信息安全、坚持做正确的事情是一直没变的。更多关于PCI相关标准的咨询和评估需求请查阅:atsec - IT安全测试和评估专家 - PCI DSS QSA, ASV, SSF, 渗透测试, 风险评估

参考资料:

  1. https://www.pcisecuritystandards.org/
  2. https://www.atsec.cn/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/485799.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

液晶显示解决方案T-CON面板显示驱动PMIC芯片

随着数智时代的到来,高清电影、游戏、VR/AR、车载等对多屏、大尺寸、更清晰显示设备的需求越来越高;特别是在智能手机、平板电脑、电视、广告展示和显示器等消费电子产品领域;高效、稳定、多功能的电源管理芯片变得至关重要。 对于LCD TV显示…

Linux-安装redis

安装指令 sudo apt-get install redis-server 启动服务 sudo systemctl start redis 查找redis路径 find / -name "filename" linux redis修改密码 sudo nano /etc/redis/redis.conf 找到 "requirepass" 这一行,取消注释并设置新的密码&…

算法练习-常用查找算法复现

一个不知名大学生,江湖人称菜狗 original author: Jacky Li Email : 3435673055qq.com Time of completion:2024.03.24 Last edited: 2024.03.24 目录 算法练习-常用查找算法复现 第1关:顺序查找(算法7.1和7.2) 任务…

第二十章 TypeScript(webpack构建ts+vue3项目)

构建项目目录 src-- main.ts-- App.vue--shim.d.tswebpack.config.jsindex.htmlpackage.jsontsconfig.json 基础构建 npm install webpack -D npm install webpack-dev-server -D npm install webpack-cli -D package.json 添加打包命令和 启动服务的命令 {"scripts…

使用PySimpleGUI库打造一款轻量级计算器

目录 一、PySimpleGUI简介 二、安装PySimpleGUI 三、创建计算器界面 四、实现计算器的功能 五、总结 在Python的世界中,GUI(图形用户界面)库的选择多种多样,但如果你是一个新手,或者想要快速且简单地创建一个G…

谷粒商城——Redisson看门狗

可重入锁: 看门狗机制:(lock.lock()不设置过期时间就会自动触发 看门狗机制) 如果一个线程已经上锁后,在运行的过程中中断导致未释放锁从而导致其他线程无法进行,为此需要为每个锁设置自动过期时间。但是如果线程运行时间较长&am…

网线相关(T568A和T568B定义,交叉线连接方式,8芯网线1分2)

T568B 1 2 3 4 5 6 7 8 白橙 橙 白绿 蓝 白蓝 绿 白棕 棕 T568A 1 2 3 4 5 6 …

智慧园区整体解决方案

智慧园区整体解决方案-综合运营管理系统 1. 园区现状与发展机遇 2. 智慧园区愿景 3. 智慧解决方案架构 4. 智慧园区各子系统介绍 5. 智慧园区建设意义 楼宇管理,物业管理,消防管理,巡检管理,门禁管理,停车管理等综合实…

Linux命令dmesg详解和实例: 显示或控制内核环形缓冲区的内容,查看或操作内核消息

目录 一、命令介绍 二、 基本用法 1、语法结构 2、选项 3、支持的日志设施: 4、支持的日志级别(优先级): 四、基本用法 1. 查看内核消息: 2. 实时查看内核消息: 3. 清空内核消息: 五、 高级用法 1. 过滤消…

005、Dynamo与Revit API之间的转换

今天来聊聊 Dynamo 与 Revit 之间图元转换的基础知识,这些需要你牢牢记住哦,不然在 Python script 中写代码,经常会报错的~ 通常来讲,所有来自 Dynamo 节点的几何图形都不是 Revit 的几何对象,所以它们需要与 Revit AP…

网盘——数据库操作

关于网盘的数据库模块,主要有以下几个内容:定义数据库操作类、将数据库操作类定义成单例模式、数据库操作 数据库是在Qt里面,定义成操作类,专门用这个类产生对象,对数据库实现操作,那么我们在产生对象的时…

2016年认证杯SPSSPRO杯数学建模D题(第二阶段)NBA是否有必要设立四分线全过程文档及程序

2016年认证杯SPSSPRO杯数学建模 D题 NBA是否有必要设立四分线 原题再现: NBA 联盟从 1946 年成立到今天,一路上经历过无数次规则上的变迁。有顺应民意、皆大欢喜的,比如 1973 年在技术统计中增加了抢断和盖帽数据;有应运而生、力…

linux 通过nvm安装node.js

我的博客原文:linux 通过nvm安装node 前言 nvm是一个node版本控制的工具,他可以查看可以安装的node版本,安装node,以及切换node版本,传统的node安装,我们是下载压缩包,然后指定环境变量&…

蓝桥杯算法赛(二进制王国)

问题描述 二进制王国是一个非常特殊的国家,因为该国家的居民仅由 0 和 1 组成。 在这个国家中,每个家庭都可以用一个由 0 和 1 组成的字符串 S 来表示,例如 101、 000、 111 等。 现在,国王选了出 N 户家庭参加邻国的庆典…

吴恩达深度学习笔记:神经网络的编程基础2.15-2.17

目录 第一门课:神经网络和深度学习 (Neural Networks and Deep Learning)第二周:神经网络的编程基础 (Basics of Neural Network programming)2.15 Python 中的广播(Broadcasting in Python)2.16 关于 python _ numpy 向量的说明&…

SpringCloud - 架构体系详解

Spring Cloud简介 Spring Cloud是一系列框架的有序集合。它利用Spring Boot的开发便利性巧妙地简化了分布式系统基础设施的开发,如服务发现注册、配置中心、消息总线、负载均衡、断路器、数据监控等,都可以用Spring Boot的开发风格做到一键启动和部署。 Spring并没有重复制造…

我在京东做数据分析,一位京东数据分析师的工作日常

有人说:“种下一棵树最好的时间是十年前,其次是现在”。任何时候,我们都应该抓住机遇,说不定就是改变你现状的一个机会。 2020年,我在疫情得到控制后,面试入职京东大数据组,截止目前&#xff0…

【项目设计】基于MVC的负载均衡式的在线OJ

项目代码(可直接下载运行) 一、项目的相关背景 学习编程的小伙伴,大家对力扣、牛客或其他在线编程的网站一定都不陌生,这些编程网站除了提供了在线编程,还有其他的一些功能。我们这个项目只是做出能够在线编程的功能。…

浏览器工作原理与实践--渲染流程(上):HTML、CSS和JavaScript,是如何变成页面的

在上一篇文章中我们介绍了导航相关的流程,那导航被提交后又会怎么样呢?就进入了渲染阶段。这个阶段很重要,了解其相关流程能让你“看透”页面是如何工作的,有了这些知识,你可以解决一系列相关的问题,比如能…

机器人自动驾驶时间同步进阶

0. 简介 之前时间同步也写过一篇文章介绍机器人&自动驾驶中的时间同步。在最近的学习中发现一些额外需要阐述学习的内容,这里就再次写一些之前没写到的内容。 1. NTP NTP 是网络时间协议,用来同步网络中各计算机时间的协议,把计算机的…