支付卡行業 (PCI)
支付應用程式的資料安全標準
要求和安全評估
程序
1.2.1 版
2009 年 7 月
PCI PA-DSS 要求和安全評估程序 v1.2.1 第 i 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月
文件變更記錄
日期版本描述頁碼
2008 年 10 月 1 日 1.2
根據新的 PCI DSS v1.2 調整相關內容,並實施自原始 v1.1 以來所註明的次要
變更。
2009 年 7 月 1.2.1
在「PA-DSS 的範圍」中,根據《PA-DSS 計劃指南》v1.2.1 調整相關內容,
以闡明 PA-DSS 適用於哪些應用程式。
v, vi
在實驗室要求 6 中,更正了「OWASP」的拼寫。 30
在驗證證明的第 2a 部分中,更新了支付應用程式功能,以便與
《PA-DSS 計劃指南》中列出的應用程式類型保持一致,此外,還在第 3b 部分中闡明了年度重新驗證程序。
32, 33
PCI PA-DSS 要求和安全評估程序 v1.2.1 第 ii 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月
目錄
文件變更記
錄 ........................................................................................................................................ .. (i)
簡
介 ........................................................................................................................................ (iv)
本文件用
途 ........................................................................................................................................ . (iv)
PCI DSS 與 PA-DSS 的關
係 ........................................................................................................................................ .. (iv)
PA-DSS 的範
圍 ........................................................................................................................................ . (v)
PA-DSS 對硬體終端的適用
性 ........................................................................................................................................ . (vii)
角色與責
任 ........................................................................................................................................ (vii)
PA-DSS 實施指
南 ........................................................................................................................................ . (x)
支付應用程式的合格安全評估機構 (PA-QSA) 要
求 (x)
測試實驗
室 ........................................................................................................................................ .. (xi)
PCI DSS 適用性資
訊 ........................................................................................................................................ .. (xii)
驗證報告的說明與內
容 ........................................................................................................................................ . (xiii)
PA-DSS 完成步
驟 ........................................................................................................................................ (xv)
PA-DSS 計劃指
南 ........................................................................................................................................ .. (xv)
PA-DSS 要求和安全評估程
序 (1)
1. 不要保留完整磁條資料、卡驗證碼或驗證值 (CAV2、CID、CVC2、CVV2) 或 PIN 區塊資料 (1)
2. 保護儲存的持卡人資
料 ........................................................................................................................................ . (5)
3. 提供安全驗證功
能 ........................................................................................................................................ (7)
4. 記錄支付應用程式活
動 ........................................................................................................................................ . (9)
5. 開發安全支付應用程
式 ........................................................................................................................................ .. (10)
6. 保護無線傳
輸 ........................................................................................................................................ .. (14)
7. 針對漏洞測試支付應用程
式 .....................................................................................................................................
15
8. 便於進行安全的網路實
施 ........................................................................................................................................ (16)
9. 不得在連接到網際網路的伺服器上儲存持卡人資
料 (16)
10. 便於進行安全的遠端軟體更
新 ........................................................................................................................................ . (17)
11. 便於對支付應用程式進行安全的遠端存
取 (17)
12. 對公用網路上的敏感流量進行加
密 ........................................................................................................................................ (20)
13. 對所有非主控台管理存取進行加
密 ........................................................................................................................................ . (21)
14. 為客戶、經銷商與整合商維護指導文件與培訓計
劃 (21)
PCI PA-DSS 要求和安全評估程序 v1.2.1 第 iii 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月
附錄 A:《PA-DSS 實施指南》的內容摘
要 (23)
附錄 B:針對 PA-DSS 評估的測試實驗室設定確
認 (28)
附錄 C:驗證證
明 ........................................................................................................................................ .. (32)
PCI PA-DSS 要求和安全評估程序 v1.2.1 第 iv 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月
簡介
本文件用途
本文件供支付應用程式的合格安全評估機構 (PA-QSA) 在執行支付應用程式審查時使用,
以便
軟體供應商能夠驗證支付應用程式是否符合 PCI 支付應用程式的資料安全標準 (PA-DSS)。此外,
本文件還供 PA-QSA 用作範本,以編制「驗證報告」。
PCI DSS 與 PA-DSS 的關係
支付應用程式的資料安全標準 (PA-DSS) 要求來源於支付卡行業的資料安全標準 (PCI DSS)
要求和安全評估程序。本文件位於 https://www.wendangku.net/doc/5615363928.html,,
其中詳細說明了符合 PCI DSS 規定所需的條件 (以及為促使客戶達到 PCI-DSS 合規要求,支付應用程式必須支援的
內容)。
由於大多數供應商不會儲存、處理或傳輸持卡人資料,因此,傳統的 PCI 資料安全標準可能不直接適用於
支付應用程式供應商。然而,由於客戶會使用這些支付應用程式來儲存、處理和傳輸
持卡人資料,因此客戶需要符合 PCI 資料安全標準規定,因而支付應用程式應該有助於而不是有礙於
客戶符合 PCI 資料安全標準規定。支付應用程式會有礙於合規性的情況包括:
1. 授權之後,將磁條資料儲存在客戶的網路中;
2. 應用程式要求客戶停用 PCI 資料安全標準所要求的其他功能 (例如,防毒軟體或防火牆),
以便使支付應用程式正常工作;以及
3. 供應商使用不安全的方式連接至應用程式,以便為客戶提供支援。
安全支付應用程式,在實施到符合 PCI DSS 規定的環境中後,將儘量減少出現安全性缺
口的可能性,
從而防止這些安全性缺口危及完整磁條資料、卡驗證碼和驗證值 (CAV2、CID、CVC2、CVV2)、PIN 與 PIN 區塊,
並防止其造成損害嚴重的欺詐行為。
PCI PA-DSS 要求和安全評估程序 v1.2.1 第 v 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月
PA-DSS 的範圍
PA-DSS 適用於開發以下支付應用程式的軟體供應商或其他方:用於在授權或交收過程中
儲存、處理
或傳輸持卡人資料,並會銷售、分發或授權給第三方的
支付應用程式。
以下指南可幫助您確定 PA-DSS 是否適用於給定的支付應用程式:
註:
所有經驗證的
支付應用程式產品
均不得為 Beta 版。
? PA-DSS 適用於以下支付應用程式:通常以「現貨供應」模式銷售與安裝,無需軟體供
應商進行太多
自訂;
? PA-DSS 適用於以下支付應用程式:以模組形式提供,通常包括一個「基準」模組以及
多個針對不同客戶類型或功能提供
或者按照客戶要求自訂的其他模組;如果上述基準模組是唯一執行支付功能的模組 (需經PA-QSA 確認),
則 PA-DSS 僅適用於該模組。如果上述其他模組也執行支付功能,
則 PA-DSS 也適用於這些模組。請注意,軟體供應商最好將支付功能分離到一個或少數
基準模組中,
而將其他模組留作非支付功能之用,這是一種「最佳實務」。這種最佳實務 (儘管並不是一種要求) 能夠
限制受 PA-DSS 約束的模組數量;
? PA-DSS 不適用於由應用程式或服務提供商僅作為某項服務提供的支付應用程式 (除非此類應用程式
也銷售、授權或分發給第三方),因為:
1) 此類應用程式是一種提供給客戶 (通常為商戶) 的服務,而客戶沒有能力管理、安裝
或控制此類應用程式或其環境;
2) 此類應用程式涵蓋在應用程式或服務提供商自己的 PCI DSS 審查範圍內 (此審查涵蓋範圍應由客戶確認);
和/或
3) 此類應用程式不銷售、分發或授權給第三方。
此類「軟體作為服務提供」的支付應用程式範例包括:
1) 由應用程式服務提供商 (ASP) 提供的支付應用程式,ASP 會在其網站上託管此類支付應用程式,以供客戶使用。請注意,
如果 ASP 的支付應用程式也銷售給第三方並在第三方網站上加以實施,而且此類應用程式未涵蓋在 ASP 的 PCI DSS 審查範圍內,
則 PA-DSS 將適用。
2) 存放在服務提供商網站上並由商戶用來輸入支付交易的虛擬終端應用程式。
請注意,如果此類虛擬終端應用程式哪怕有一部分已分發給商戶並在其網站上加以實施,而且未涵蓋在虛擬終端提供商的 PCI DSS 審查範圍內,則 PA-DSS 將適用。
? PA-DSS 不適用於作為支付應用程式套件一部分的非支付應用程式。如果對整個套件一起進行評估,
則此類應用程式 (例如,套件中包含的欺詐監控、評分或偵測應用程式) 可以 (但不要求一定要) 在 PA-DSS 涵蓋
範圍內。但是,如果支付應用程式是某套件的一部分,而且需要依賴此套件中其他應用程式中的控制來滿足 PA-DSS 要求,
則應對該支付應用程式及其所依賴的套件中的所有其他應用程式
PCI PA-DSS 要求和安全評估程序 v1.2.1 第 vi 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月
一起進行 PA-DSS 評估。此類應用程式不應與其所依賴的其他應用程式分開進行評估,因為在一個應用程式中無法滿足所有的 PA-DSS 要求。
? PA-DSS 不適用於僅為單一客戶開發並向其銷售的支付應用程式,因為此應用程式將涵蓋在
客戶正常的 PCI DSS 合規性審查範圍內。請注意,此類應用程式 (也可稱為「自訂」應用程式) 僅銷售給
單一客戶 (通常是大型商戶或服務提供商),並且是按照客戶提供的規範
進行設計和開發的;
? PA-DSS 不適用於由商戶與服務提供商開發的僅在內部使用 (不銷售、分發或授權給第三方) 的支付應用程式,
因為此類內部開發的支付應用程式將涵蓋在商戶或服務提供商正常的 PCI DSS 合規性
審查範圍內。
例如,就以上最後兩項而言,不管內部開發或「自訂」的支付應用程式是儲存了違禁的敏感驗證資料還是允許使用複雜密碼,
都將涵蓋在商戶或服務提供商正常的 PCI DSS 合規性審查範圍內,
而無需進行單獨的 PA-DSS 評估。
以下清單所列的應用程式不是用於 PA-DSS 用途的支付應用程式 (因此無需接受 PA-DSS 審查),
但此清單並未詳盡列出所有範例:
? 安裝支付應用程式的作業系統 (例如,Windows、Unix)
? 儲存持卡人資料的資料庫系統 (例如,Oracle)
? 儲存持卡人資料的後端辦公室系統 (例如,用於報告或客戶服務用途)
註:
PCI SSC 將僅列出
屬於支付應用程式的
應用程式。
PA-DSS 審查的範圍應包括如下內容:
? 涵蓋所有支付應用程式功能,包括但不限於:1) 端對端的支付功能 (授權和交收);
2) 輸入與輸出;3) 錯誤狀態;4) 到其他檔案、系統和/或支付應用程式或者應用程式元件的介面與連接;
5) 所有持卡人資料流;6) 加密機制;以及 7) 驗證機制。
? 涵蓋支付應用程式供應商應向客戶與經銷商/整合商提供的指導資訊 (請參閱本文件後文所述的《PA-DSS 實施指南》),
以確保:1) 客戶瞭解如何以符合 PCI DSS 規定的方式實施支付應用程式;
以及 2) 客戶清楚地知道某些支付應用程式與環境設定可能會妨礙其 PCI DSS
合規性。請注意,即使在以下情況下,支付應用程式供應商可能仍需提供此類指導資訊:1)
在客戶安裝應用程式之後,具體的設定無法由支付應用程式供應商控制;或者 2) 具體的設定由客戶負責,
而非由支付應用程式供應商負責。
? 涵蓋為接受審查的支付應用程式版本選定的所有平台 (應明確指出所包含的平台)。
? 涵蓋支付應用程式所含或所使用的用以存取和/或檢視持卡人資料的工具 (報告工具、記錄工具等)。
PCI PA-DSS 要求和安全評估程序 v1.2.1 第 vii 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月
PA-DSS 對硬體終端的適用性
如果滿足以下各項條件,裝有支付應用程式的硬體終端 (也稱為 POS 啞終端或獨立式POS 終端) 無需
接受 PA-DSS 審查:
? 該終端沒有連接至商戶的任何系統或網路;
? 該終端僅連接至收單機構或處理商;
? 支付應用程式供應商提供了安全的遠端:1) 更新;2) 疑難排解;3) 存取和 4) 維護;以及
? 授權之後,從未儲存以下內容:磁條任意磁軌上 (即,位於卡的背面、晶片上或其他位置) 的完整內容、
卡驗證碼或驗證值 (印在支付卡正面或背面的三到四位數值)、PIN 或經加密的
PIN 區塊。
角色與責任
支付應用程式社群包括多種利益相關者,其中有些利益相關者更為直接地參與了 PA-DSS 評估程序,
例如供應商、PA-QSA 與 PCI SSC。而其他利益相關者雖沒有直接參與評估程序,但也
應清楚整個程序,
以便更好地做出相關的業務決策。
下文將說明支付應用程式社群內各利益相關者的角色與責任。參與評估程序的利益相關
者
須承擔其各自的相關責任。
支付品牌
共同創立 PCI SSC 的支付品牌包括 American Express、Discover Financial Services、JCB International、MasterCard Worldwide
和 Visa, Inc.。這些支付品牌負責制定與執行和 PA-DSS 合規性相關的任何計劃,包括
但不限於以下方面:
? 使用符合 PA-DSS 規定之支付應用程式的所有要求、指令或日期;
? 與使用不合規的支付應用程式相關的所有罰款或處罰。
支付品牌可規定使用 PA-DSS 與 PCI SSC 所列驗證支付應用程式時所需遵從的合規計劃、指令和
和日期等。透過上述合規計劃,支付品牌可推廣使用所列的已驗證支付應用程式。
支付卡行業安全標準協會 (PCI SSC)
PCI SSC 是一家標準機構,負責維護支付卡行業標準,包括 PCI DSS 與 PA-DSS。在
PA-DSS 方面,
PCI SSC 的職責是:
? 集中存放所有的 PA-DSS 驗證報告 (ROV);
? 對 PA-DSS ROV 執行品質保證 (QA) 審查,以確認報告的一致性與品質;
? 在本網站上發佈 PA-DSS 驗證支付應用程式清單。
PCI PA-DSS 要求和安全評估程序 v1.2.1 第 viii 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月
? 培訓 PA-QSA,並使其具有執行 PA-DSS 審查的資格;
? 按照標準生命週期管理程序,維護並更新 PA-DSS 標準及相關文件。
請注意,PCI SSC 並不會從驗證角度核准此類報告。而由 PA-QSA 負責從評估之日起,
記錄支付應用程式對 PA-DSS 的合規性。另外,PCI SSC 還負責執行 QA,以確保 PA-QSA 準確、
完整地記錄 PA-DSS 評估情況。
軟體供應商
軟體供應商 (簡稱「供應商」) 負責開發在授權或交收過程中用於儲存、處理或傳輸持卡人資料的支付應用程式,
然後將其銷售、分發或授權給第三方 (客戶或經銷商/整合商)。供應商的職責是:
? 開發符合 PA-DSS 規定的支付應用程式,有助於而不是有礙於客戶的 PCI DSS 合規性(此類
應用程式所需的實施或組態設定不能違反 PCI DSS 要求);
? 供應商無論是在儲存、處理還是傳輸持卡人資料時 (例如為客戶排解疑難時),
都要遵從 PCI DSS 要求;
? 根據本文件的要求,針對每個支付應用程式編寫《PA-DSS 實施指南》;
? 就如何按照符合 PCI DSS 規定的方式安裝及設定支付應用程式,對客戶、經銷商與整
合商進行相關教育;
? 確保支付應用程式如本文件中所述,成功通過 PA-DSS 審查,符合 PA-DSS 要求。
PA-QSA
PA-QSA 是經 PCI SSC 培訓具有執行 PA-DSS 審查資格的 QSA。請注意,並非所有QSA 都是 PA-QSA –
QSA 必須符合額外的資格要求,才能成為 PA-QSA。
PA-QSA 的職責是:
? 按照《安全評估程序》與《PA-QSA 驗證要求》,對支付應用程式
執行評估;
? 就支付應用程式是否符合 PA-DSS 要求提供意見;
? 在 ROV 中提供足夠的文件資料,以證明支付應用程式的 PA-DSS 合規性;
? 向 PCI SSC 提交 ROV,以及「驗證證明」(須由 PA-QSA 與供應商簽名);
? 針對 PA-QSA 的工作維護一套內部品質保證程序。
PA-QSA 負責宣佈某個支付應用程式是否已達到合規要求。 PCI SSC 不會從技術合規性的角度核准 ROV,
而是對 ROV 執行 QA 審查,以確保此類報告充分記錄了合規性
證明。
經銷商與整合商
經銷商與整合商是指代表軟體供應商或其他方銷售、安裝支付應用程式和/或提供相關服務的實體。經銷商
與整合商的職責是:
PCI PA-DSS 要求和安全評估程序 v1.2.1 第 ix 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月
? 將符合 PA-DSS 規定的支付應用程式實施到符合 PCI DSS 規定的環境中 (或指導商戶這樣做);
? 按照供應商提供的《PA-DSS 實施指南》,設定此類支付應用程式 (如果已提供
設定選項);
? 以符合 PCI DSS 規定的方式,設定此類支付應用程式 (或指導商戶這樣做);
? 按照《PA-DSS 實施指南》與 PCI DSS 規定,提供此類支付應用程式的相關服務(例如,疑難排解、傳送遠端更新和提供遠端支援)。
經銷商與整合商無需提交支付應用程式以供評估,產品只能由供應商提交。
PCI PA-DSS 要求和安全評估程序 v1.2.1 第 x 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月
客戶
客戶是指以下商戶、服務提供商或其他方:購買或接收第三方支付應用程式,
在支付交易的授權或交收過程中用於儲存、處理或傳輸持卡人資料。希望使用
PA-DSS 合規應用程式的客戶的職責是:
? 將符合 PA-DSS 規定的支付應用程式實施到符合 PCI DSS 規定的環境中;
? 按照供應商提供的《PA-DSS 實施指南》,設定此類支付應用程式
(如果已提供設定選項);
註:
只有 PA-DSS 合規
支付應用程式
無法保證
PCI DSS 合規性。
? 以符合 PCI DSS 規定的方式,設定此類支付應用程式;
? 針對環境與支付應用程式設定,維護 PCI DSS 合規狀態。
PA-DSS 實施指南
已驗證的支付應用程式必須能以符合 PCI DSS 規定的方式進行實施。為此,軟體供應商需提供
《PA-DSS 實施指南》,以便指導其客戶與經銷商/整合商安全地進行產品實施,並記錄本文件中所述的安全設定詳情,
以及明確說明供應商、經銷商/整合商及客戶為滿足 PCI DSS 要求
各自需承擔的責任。該指南應詳細說明客戶和/或經銷商/整合商該如何在客戶的網路中啟用安全
設定。例如,《PA-DSS 實施指南》應包括確保 PCI DSS 密碼安全性 (即使這並不受支付應用程式控制) 的責任與基本功能,
以便客戶或經銷商/整合商瞭解該如何實施安全密碼,
才能符合 PCI DSS 規定。
按照《PA-DSS 實施指南》在符合 PCI-DSS 規定的環境中實施的支付應用程式,
應有助於客戶的 PCI DSS 合規性並提供相應支援。
請參閱「附錄 A:《PA-DSS 實施指南》的內容摘要」,對比瞭解《PA-DSS 實施指南》中所述的
實施相關控制的責任。
支付應用程式的合格安全評估機構 (PA-QSA) 要求
? 只有合格安全評估機構 (QSA) 公司所雇用的「支付應用程式的合格安全評估機構 (PA-QSA)」
才能執行 PA-DSS 評估。請參閱 https://www.wendangku.net/doc/5615363928.html, 上的合格安全評估機構清單,
以獲取有資格執行 PA-DSS 評估的公司清單。
? PA-QSA 必須採用本《支付應用程式的資料安全標準》文件中所記錄的測試程序。PCI PA-DSS 要求和安全評估程序 v1.2.1 第 xi 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月
測試實驗室
? PA-QSA 必須有權進入用來執行認證程序的實驗室。該實驗室應能夠模擬支付應用程式
的真實使用環境。
? 請參閱本文件中的「附錄 B:針對 PA-DSS 評估的測試實驗室設定確認」,
以瞭解實驗室及相關實驗室程序的詳細要求。
? PA-QSA 必須針對接受審查的支付應用程式所使用的特定實驗室,完成附錄 B,並將其附到
完成的 PA-DSS 報告中一起提交。
PCI PA-DSS 要求和安全評估程序 v1.2.1 第 xii 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月
PCI DSS 適用性資訊
(節選自 PCI DSS v1.2)
下表來自於支付卡行業的資料安全標準 (PCI DSS),說明了持卡人資料與敏感驗證資料的常用元素,
以及此類資料是否允許儲存及是否需要保護。此表
並非意在詳盡列出所有資料元素,而只是要說明適用於每種資料元素的不同類型的要求。
主要帳戶號碼 (PAN) 是關係到 PCI DSS 要求與 PA-DSS 適用性的決定性因素。如果不會儲存、
處理或傳輸 PAN,則 PCI DSS 與 PA-DSS 將不適用。
資料元素
是否
允許儲存
是否
需要保護
PCI DSS 要求 3, 4
持卡人資料主要帳戶號碼是是是
持卡人姓名
1
是是
1
否
業務代碼
1
是是
1
否
到期日期
1
是是
1
否
敏感
驗證
資料
2
完整磁條資料3
否不適用不適用
CAV2/CID/CVC2/CVV2 否不適用不適用
PIN/PIN 區塊否不適用不適用
1
這些資料元素如果與 PAN 一同儲存,則必須受到保護。這種保護應按照 PCI DSS 對持卡人環境的一般保護要求
提供。此外,其他法規 (例如,關於消費者個人資料保護、隱私、
身份盜用或資料安全的法規) 可能還要求對此類資料提供特定保護,或要求適當披露公司的做法
(如果在業務過程中收集消費者的相關個人資料)。然而,如果不會儲存、處理或傳輸PAN,則 PCI DSS 將
不適用。
2
授權之後,不要儲存敏感驗證資料 (即使已加密)。
3
位於磁條中、晶片上的磁條映像中或其他位置的完整磁軌資料。
PCI PA-DSS 要求和安全評估程序 v1.2.1 第 xiii 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月
驗證報告的說明與內容
本文件為 PA-QSA 編制「驗證報告」提供了範本。所有 PA-QSA 在完成「驗證報告」時,都必須遵守本文件中對報告內容與格式的說明。
「驗證報告」應包含以下資訊,作為詳細的「要求和安全評估程序」
的序言:
1. 審查範圍描述
? 根據上述「PA-DSS 的範圍」一節,描述審查涵蓋的範圍
? 驗證時限
? 用於評估的 PA-DSS 版本
? 審查文件清單
2. 報告摘要
包括以下內容:
? 產品名稱
? 涵蓋的產品版本及相關平台
? 此產品的經銷商和/或整合商清單
? 測試支付應用程式時使用的作業系統
? 支付應用程式使用或支援的資料庫軟體
? 支付應用程式/產品系列的簡要描述 (2-3 句話)
? 支付應用程式的典型實施網路圖 (不一定是在客戶現場進行的某次具體實施),
其中應在較高層級包括:
o 客戶網路的進出連接
o 客戶網路中的元件,包括 POS 裝置、系統、資料庫及 Web 伺服器 (如適用)
o 其他必要的支付應用程式/元件 (如適用)
? 各通訊連結的描述或圖表,包括:(1) LAN、WAN 或網際網路;(2) 主機對主機的軟體
通訊;
以及 (3) 已部署軟體的主機內的通訊 (例如,同一主機上的兩個不同處理序
如何相互通訊)
? 顯示所有持卡人資料流程的資料流程圖,包括授權、擷取、交收和扣款流程 (如
適用)
PCI PA-DSS 要求和安全評估程序 v1.2.1 第 xiv 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月
? 簡要描述儲存持卡人資料的檔案與表格,並輔以詳細目錄,該詳細目錄由 PA-QSA 編
制 (或由軟體供應商提供) 並留在工作文件中。
對於各種持卡人資料儲存 (檔案、表格等),該詳細目錄
應包括:
- 所有已儲存持卡人資料元素的清單
- 如何保護資料儲存
- 如何記錄對資料儲存的存取
? 列出與支付應用程式相關的所有軟體元件,包括第三方軟體要求與依賴性
? 描述支付應用程式的端對端驗證方法,包括應用程式驗證機制、
驗證資料庫以及資料儲存的安全性
? 描述支付應用程式在典型實施中的作用,以及完整的支付實施需要哪些
其他類型的支付應用程式
? 描述該產品所面向的典型客戶 (例如,大型或小型企業,特定行業、網際網路或實體企業),
以及供應商的客戶群 (例如,細分市場、大客戶名稱)
? 定義供應商版本控制方法,以描述/闡明供應商如何透過其版本號表示重要與次要版本變更,
以及確定供應商在重要與次要版本變更中包含了哪些類型的變更。
請注意,還必須完成「附錄 B:針對 PA-DSS 評估的測試實驗室設定確認」,
並將其隨已完成的 PA-DSS 報告一同提交。
3. 結果與觀察結論
? 所有 PA-QSA 必須使用以下範本提供詳細的報告描述與結果
? 描述測試程序欄中不包括的所執行的其他測試。
4. 聯絡資訊與報告日期
? 軟體供應商聯絡資訊 (包括網址、電話號碼與電子郵件地址)
? PA-QSA 聯絡資訊 (包括名稱、電話號碼與電子郵件地址)
? PA-QSA 品質保證 (QA) 主要聯絡資訊 (包括 QA 主要聯絡人姓名、電話號碼與電子郵件
地址)
? 報告日期
PCI PA-DSS 要求和安全評估程序 v1.2.1 第 xv 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月
PA-DSS 完成步驟
本文件包含「要求和安全評估程序」表格以及「附錄 B:針對 PA-DSS 評估的測試實驗室
設定確認」與「附錄 C:驗證證明」。「要求和安全評估程序」
詳細說明了 PA-QSA 必須執行的程序。「附錄 B:針對 PA-DSS 評估的測試實驗室設定確認」
須由 PA-QSA 完成,以便確認用於執行此 PA-DSS 評估的測試實驗室的狀態與
能力。「附錄 C:驗證證明」須由 PA-QSA 與軟體供應商在完成「驗證報告」之後
進行填寫並簽名。
PA-QSA 必須執行以下步驟:
1. 使用本文件作為範本,完成「驗證報告」:
a. 根據「驗證報告的說明與內容」一節,完成「驗證報告」
的序言
b. 完成並記錄「要求和安全評估程序」中詳述的所有步驟,包括在
「到位」欄中對觀察到的控制進行簡短描述,並進行評述。請注意,不得將帶有任何「不到位」意見的報告提交給 PCI SSC,
必須所有項目均標注為「到位」後方可提交。
2. 完成「附錄 B:針對 PA-DSS 評估的測試實驗室設定確認」。
3. 完成並簽署「附錄 C:驗證證明」(PA-QSA 與軟體供應商需共同完成)。
4. 完成之後,根據《PA-DSS 計劃指南》將上述所有文件提交給 PCI SSC。
PA-DSS 計劃指南
請參閱《PA-DSS 計劃指南》,以瞭解有關 PA-DSS 計劃管理的資訊,包括以下主題:? PA-DSS 報告提交與認可程序;
? 「PA-DSS 驗證應用程式清單」上所列支付應用程式的年度續期程序;
? 將 PABP 驗證應用程式轉換至 PA-DSS 驗證支付應用程式清單;
? 在確定是由於所列支付應用程式存在漏洞而導致威脅出現時的通知責任。
PCI SSC 保留以下權利:由於支付應用程式的資料安全標準 (PA-DSS) 發生重大變更,和/或由於所列支付應用程式中明確發現漏洞,
因而要求執行重新驗證。
PCI PA-DSS 要求和安全評估程序 v1.2.1 第 1 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月
PA-DSS 要求和安全評估程序
PA-DSS 要求
測試程序
到位不
到位
目標日期/
評述
1. 不要保留完整磁條資料、卡驗證碼或驗證值 (CAV2、CID、CVC2、CVV2) 或 PIN 區塊資料
1.1 授權之後,不要儲存
敏感驗證資料 (即使已加密):
敏感驗證資料包括下文
要求 1.1.1-1.1.3 中所述的
資料。
PCI 資料安全標準要求 3.2
註:禁止在授權之後儲存
敏感驗證資料,假設前提是
交易已完成授權程序,
並且客戶已獲得
最終交易核准。授權
完成後,不能儲存
此類敏感驗證資料。
1.1 如果敏感驗證資料 (見下文 1.1.1–1.1.3)
在授權之前被儲存,然後又被刪除,
則應獲取並審查這些資料的刪除方法,
以便確定這些資料無法復原。
對於下列各項敏感驗證資料,
在完成模擬支付應用程式各項功能
的數次測試交易後,請執行以下步驟,
以產生各種錯誤狀態與記錄
項目。
PA-DSS 要求
測試程序到位
不
到位
目標日期/
評述
PCI PA-DSS 要求和安全評估程序 v1.2.1 第 2 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月PA-DSS 要求
測試程序到位
不
到位
目標日期/
評述
1.1.1 授權之後,不要儲存
磁條任意磁軌上 (位於卡的背面、
晶片上或其他位置)
的完整內容。此類資料也可稱為
完整磁軌、磁軌、磁軌 1、磁軌 2 及
磁條資料。
在正常的業務過程中,
可能需要保留以下
磁條資料元素:
? 帳戶持有人姓名
? 主要帳戶號碼 (PAN)
? 到期日期
? 業務代碼
為將風險降至最低,請只儲存業務所需的
資料元素。
註:請參閱《PCI DSS 與 PA-DSS
術語、縮寫和首字縮寫》,以瞭解
更多資訊。
PCI 資料安全標準要求 3.2.1
1.1.1 使用鑑識工具和/或方法 (商業工具、
指令碼等),
4
檢查支付應用程式建立的所有輸出,
並驗證在授權後是否沒有儲存
卡背面磁條中任意磁軌上的
完整內容。包括以下類型的檔案 (以及
由支付應用程式產生的任何其他
輸出):
? 輸入的交易資料
? 所有記錄 (例如,交易記錄、歷史記錄、偵錯記錄、
錯誤記錄)
? 歷史記錄檔案
? 追蹤檔案
? 靜態記憶體,包括靜態快取記憶體
? 資料庫架構
? 資料庫內容
4
鑑識工具或方法:是指用於發現、分析及提出鑑識資料的工具或方法,可為快速、徹底地驗證、搜尋
與復原電腦證據提供有效途徑。如果 PA-QSA 使用鑑識工具或方法,這些工具或方法應能準確找到由支付應用程式寫入的
任何敏感驗證資料。這些工具可以是商業性的、開源性的或是由 PA-QSA 內部開發的。PCI PA-DSS 要求和安全評估程序 v1.2.1 第 3 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月
PA-DSS 要求
測試程序到位
不
到位
目標日期/
評述
1.1.2 授權之後,不要儲存
用於驗證不出示實卡的交易的
卡驗證值或驗證碼 (印在支付卡
正面或背面的三位或四位
數值)。
註:請參閱《PCI DSS 與 PA-DSS
術語、縮寫和首字縮寫》,以瞭解
更多資訊。
PCI 資料安全標準要求 3.2.2
1.1.1 使用鑑識工具和/或方法 (商業工具、
指令碼等),
5
檢查支付應用程式建立的所有輸出,
並驗證在授權後是否沒有儲存
印在卡正面或簽名條上的三位或四位
卡驗證碼 (CVV2、CVC2、CID、
CAV2 資料)。包括以下類型的檔案
(以及由支付應用程式產生的任何其他
輸出):
? 輸入的交易資料
? 所有記錄 (例如,交易記錄、歷史記錄、偵錯記錄、
錯誤記錄)
? 歷史記錄檔案
? 追蹤檔案
? 靜態記憶體,包括靜態快取記憶體
? 資料庫架構
? 資料庫內容
1.1.3 授權之後,不要儲存
個人識別碼 (PIN) 或
加密的 PIN 區塊。
註:請參閱《PCI DSS 與 PA-DSS
術語、縮寫和首字縮寫》,以瞭解
更多資訊。
PCI 資料安全標準要求 3.2.3
1.1.3 使用鑑識工具和/或方法 (商業工具、
指令碼等),
5
檢查支付應用程式建立的所有輸出,
並驗證在授權後是否沒有儲存
PIN 和加密的 PIN 區塊。包括以下類型的檔案
(以及由支付應用程式產生的任何其他
輸出):
? 輸入的交易資料
? 所有記錄 (例如,交易記錄、歷史記錄、偵錯記錄、
錯誤記錄)
? 歷史記錄檔案
? 追蹤檔案
? 靜態記憶體,包括靜態快取記憶體
? 資料庫架構
? 資料庫內容
5
鑑識工具或方法:是指用於發現、分析及提出鑑識資料的工具或方法,可為快速、徹底地驗證、搜尋
與復原電腦證據提供有效途徑。如果 PA-QSA 使用鑑識工具或方法,這些工具或方法應能準確找到由支付應用程式寫入的
任何敏感驗證資料。這些工具可以是商業性的、開源性的或是由 PA-QSA 內部開發的。
PCI PA-DSS 要求和安全評估程序 v1.2.1 第 4 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月
PA-DSS 要求
測試程序到位
不
到位
目標日期/
評述
1.1.4 安全刪除由以前版本的
支付應用程式儲存的所有磁條資料、
卡驗證值或驗證碼,以及 PIN
或 PIN 區塊資料。刪除時須
遵循行業認可的安全刪除標準,
例如由美國國家安全局維護的
核准產品清單,或由其他州或
國家標準或法規所確定的
刪除標準。
PCI 資料安全標準要求 3.2
註:僅當以前版本的支付應用程式
儲存了敏感驗證資料時,本要求才
適用。
1.1.4.a 審查由供應商準備的
《PA-DSS 實施指南》,並驗證該文件是否
為客戶與經銷商/整合商提供了如下說明:
? 必須移除歷史資料 (由以前版本的
支付應用程式儲存的磁條資料、
卡驗證碼、PIN 或 PIN 區塊)
? 如何移除歷史資料
? 要達到 PCI DSS 合規要求,執行此類移除
是絕對必要的
1.1.4.b 驗證供應商是否為移除此類資料提供了
安全擦除工具或程序。
1.1.4.c 透過使用鑑識工具和/或方法,驗證
供應商提供的安全擦除工具或程序是否
可按照行業認可的資料安全刪除標準,
安全地移除此類資料。
1.1.5 安全刪除從客戶處收到的
記錄檔、偵錯檔及其他資料來源中
用於偵錯或疑難排解的所有
敏感驗證資料 (授權前資料),
以確保在軟體供應商系統中
沒有儲存磁條資料、卡驗證碼或
驗證值以及 PIN 或 PIN 區塊
資料。僅在解決問題需要時
才能對此類資料進行有限收集,
並且在儲存時須加密,
在使用後須立即刪除。
PCI 資料安全標準要求 3.2
1.1.5.a 檢查軟體供應商用來對客戶的問題
進行疑難排解的程序,並驗證這些程序是否
包括以下內容:
? 僅在解決特定問題需要時,
才收集敏感驗證資料
? 僅在特定的已知位置儲存此類資料,
並限制存取
? 根據解決特定問題的需要,
僅收集有限數量的資料
? 儲存時,對敏感驗證資料進行加密
? 使用後,立即安全刪除此類資料
1.1.5.b 抽查客戶近期提出的部分疑難排解
請求,驗證是否每個事件均遵從 1.1.5.a 中
所檢查的程序。
PCI PA-DSS 要求和安全評估程序 v1.2.1 第 5 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月PA-DSS 要求
測試程序到位
不
到位
目標日期/
評述
1.1.5.c 審查由供應商準備的
《PA-DSS 實施指南》,並驗證該文件是否
為客戶與經銷商/整合商提供了如下說明:
? 僅在解決特定問題需要時,才收集
敏感驗證資料。
? 僅在特定的已知位置儲存此類資料,
並限制存取。
? 根據解決特定問題的需要,
僅收集有限數量的資料。
? 儲存時,對敏感驗證資料進行加密。
? 使用後,立即安全刪除此類資料。
2. 保護儲存的持卡人資料
2.1 軟體供應商必須為客戶提供指導,
讓其瞭解在客戶定義的保留期
到期後,如何清除持卡人
資料。
PCI 資料安全標準要求 3.1
2.1.a 審查由供應商準備的
《PA-DSS 實施指南》,並驗證該文件是否
為客戶與經銷商/整合商提供了如下指導:
? 超過客戶所定義保留期的持卡人資料
必須予以清除
? 支付應用程式儲存持卡人資料的
所有位置的清單 (以便客戶瞭解
需要刪除的資料所在的位置)
2.2 顯示 PAN 時對其進行遮罩 (最多
可顯示前六位和後四位
數字)。
註:
? 對於出於合法業務需求需要
查看完整 PAN 的員工和其他方,
本要求不適用;
? 如果針對銷售點 (POS) 收據
等持卡人資料顯示有更加嚴格的
要求,則本要求不會取代此類
要求。
PCI 資料安全標準要求 3.3
2.2 審查信用卡資料顯示,包括但不限於
POS 裝置、螢幕、記錄和收據,以確定
在顯示持卡人資料時對信用卡號碼進行了
遮罩,但出於合法業務需求需要
查看完整信用卡號碼的人員除外。
PCI PA-DSS 要求和安全評估程序 v1.2.1 第 6 頁
Copyright 2008 PCI Security Standards Council LLC 2009 年 7 月PA-DSS 要求
測試程序到位
不
到位
目標日期/
評述
2.3 透過使用下列任一方法,至少
使 PAN 在其任何儲存位置 (包括
可擕式數位媒體、備份媒體與記錄
中的資料) 都具有不可讀性:
? 基於強效密碼編譯的單向
雜湊
? 截斷
? 索引 Token 與 Pad (必須
安全地儲存 Pad)
? 具有相關金鑰管理流程和程序的
強效密碼編譯。
在所有帳戶資訊中,必須至少使
PAN 具有不可讀性。
PCI 資料安全標準要求 3.4
必須使 PAN 在其任何儲存位置 (甚至是
支付應用程式之外的位置) 都具有不可讀性。註:「強效密碼編譯」的定義,請參閱
《PCI DSS 與 PA-DSS 術語、
縮寫和首字縮寫》。
2.3.a 驗證是否按照 PCI DSS 要求 3.4,
使 PAN 在其任何儲存位置都具有不可讀性。2.3.b 如果軟體供應商出於任何原因 (例如,因為
從客戶處收到了用於偵錯或疑難排解的記錄檔、偵錯檔與其他資料來源) 儲存了 PAN,
則驗證是否按照 PCI DSS 要求 3.4,
使 PAN 具有不可讀性。
2.4 如果使用了磁碟加密 (而不是檔案
或資料欄層級的資料庫加密),則必須
獨立於原生作業系統存取控制機制,
對邏輯存取進行管理 (例如,
不使用本機使用者帳戶
資料庫)。解密金鑰不得關聯至
使用者帳戶。
PCI 資料安全標準要求 3.4.1
2.4 如果使用了磁碟加密,則驗證其實施情況
是否符合 PCI DSS 要求 3.4.1.a 至
3.4.1.c。
2.5 支付應用程式必須保護用來