www.fisc.com.tw ■　39

支付卡產業「資料安全標準」 (PCI DSS)第 3.0版之解析與因應〡心得分享

支付卡產業「資料安全標準」 (PCI DSS)第 3.0版之解析與因應

李煒光 / 進化資安股份有限公司常務董事

一、 前言

科技的發展，為生活帶來前所未有的方

便，以信用卡支付為例，過去十年所湧現的

新支付方式及交易途徑，比起之前數十年發展

總和還更加急遽；但是，在我們享受日新月異

的支付方法之際，相關安全問題亦應運而生。

過去數年的國內外新聞，經常出現信用卡資料

失竊的案例，有些大規模的資料外洩案件，甚

至嚴重影響涉案機構的聲譽，更打擊顧客的信

心，進而導致財務及商譽的損失。

支付卡業界一向重視支付鏈上每一個環節

的安全防護機制，西元 2006年， American

Express、Discover Financial Services、JCB

International、MasterCard及 Visa等五家國

際知名的信用卡公司，共同籌組成立 Payment

Card Industry Security Standards Council

(支付卡產業安全標準委員會，以下簡稱 PCI

SSC)，專責維護支付卡產業的資訊安全，制

定適合全球整體業界的資訊安全標準，其中包

含 PCI Data Security Standard (支付卡產業

資料安全標準，以下簡稱 PCI DSS)，並根據

產業發展及科技演化，定期更新標準，發布相

關規範。在信用卡支付鏈上的每一個機構，不

論是金融機構、信用卡處理中心、支付平台、

實體或電子商戶，乃至為銷售業提供服務的供

應商等，只要業務流程涉及信用卡資料的儲

存、傳送或處理，都是這套資料安全標準的管

轄範圍。

二、 PCI DSS更新歷程

PCI DSS的更新頻率為每三年一次，除

針對新版標準的意見收集及檢討外，每年還在

美洲、歐洲及亞洲三地分別舉辦與支付卡業

界成員直接交流的年度大會。值得一提的是，

PCI DSS的內容從最早的第 1.0版開始，就分

為十二個部分，延續到最新的第 3.0版，分類

方式依然保持不變；換言之，PCI DSS所設

定的目標與方向始終如一。

PCI SSC 於 2013年 11月公布最新版本

的 PCI DSS 第 3.0 版，並自 2014 年 1 月 1

日起正式生效；究竟新版本與已經使用三年的

舊版本有什麼重大改變，對業界各種成員又有

何影響，本文將深入探討之。

40　■ 財金資訊季刊 / No.82 / 2015.04

心得分享〡支付卡產業「資料安全標準」 (PCI DSS)第 3.0版之解析與因應

三、 PCI DSS第 3.0版規範重點

PCI DSS從第 2.0版演化到第 3.0版，

並非 PCI SSC閉門造車的成果。在三年的

更新周期裡，PCI SSC利用不同的管道收

集資訊，除於諮詢期間收集來自各參與機構

(Participating Organizations) 的意見外，並且

設立不同的專案小組，研究新興科技所帶來的

資訊安全風險及應對方案。

因應各方意見，加上相關產業演進及消費

者使用支付卡的習慣等因素，並參考近年信用

卡資料失竊事件的主要原因，PCI DSS第 3.0

版提出以下三個重點：

第一，PCI DSS不僅止於審查，亦即非

限每年一次的審查活動而已。根據以往經驗，

有些受查機構針對每年的審查活動都作足準

備，可是一旦審查結束，相關規則與程序隨即

被員工拋諸腦後、束之高閣，大幅提高發生安

全事故的風險；因此，PCI DSS第 3.0版強調

的是全年 365天不間斷，也是必須確實遵循

的資料安全標準。

第二，PCI DSS第 3.0版希望帶給業界

一項重要訊息：資料安全標準不是只涉及某些

特定部門 (例如：資訊、內部查核或資安部門 )

的審查活動，舉凡直接或間接接觸支付卡敏感

資料的單位，都應長期關注並遵循相關資料安

全要求。

第三，無論資訊安全政策與程序制訂得

如何周延、資安防護基礎設施規劃得如何完

善，人員始終都是資訊安全整體架構上最弱的

一環，例如：超級市場出納人員隨意置放客戶

的信用卡簽帳單據，或是系統維修人員為方

便記憶而設定過於簡單的密碼。雖然依據 PCI

DSS條文，這些情況都是被禁止的，可是人

為疏忽往往導致此類事故層出不窮，需要不定

期辦理教育訓練與宣導，以提升所有人員的安

全意識。

總而言之，PCI DSS第 3.0版所強調的，

就是將整套支付卡資料安全要求融入機構的日

常運作中。

四、 PCI DSS第 3.0版條文解析

PCI DSS第 3.0版並不是把整套標準推翻

後重來，機構只要清楚瞭解版本提升的異動內

容，要從符合第 2.0版的要求「升級」至合乎

第 3.0版的要求，絕非遙不可及。

基本上，PCI DSS 第 3.0版的異動內容，

可歸納為以下四類：

(一 ) 原有條文的修訂澄清

PCI SSC針對 PCI DSS第 2.0版條文表

述不清，或是審核時容易發生歧見或爭執的地

方，作了不少修訂。以滲透測試 (Penetration

Testing) 為例，舊版標準只表明必須進行滲透

測試，至於如何進行才是有效的測試方法與程

序，各方都有不少疑問；PCI DSS第 3.0版則

清楚敘明：滲透測試程序必須遵循業界認可的

國際標準，例如：NIST (National Institute of

Standards and Technology) SP800-115， 使

審查與受查雙方皆有所依循。

再舉一例：曾有一些機構將部分工作委託

外部服務供應商 (Service Provider) 處理，試

圖間接規避遵循 PCI DSS規範的相關責任，

第 3.0版第 12.9條則明確規範：機構必須訂

定一套服務供應商的資訊安全管理程序，要求

委外廠商應確實履行 PCI DSS相關規定，以

降低出現「責任黑洞」的風險。

www.fisc.com.tw ■　41

支付卡產業「資料安全標準」 (PCI DSS)第 3.0版之解析與因應〡心得分享

(二 ) 因應新興科技的條文更新

發布 PCI DSS 第 2.0版時，某些新興科

技與發展趨勢未如今日一般成熟而蓬勃，然而

經過三年的更新週期，PCI SCC綜合考量日

新月異的新興科技、層出不窮的安全事故，以

及來自各界的意見與建議，加上專案小組的研

究分析，爰於第 3.0版中加入新的條文內容；

例如，第 2.4條新增要求受查機構在審查過程

中，應提供相關系統清單；第 9.3條則新增機

構管理相關人員於特定地點工作的具體安全要

求，這些都是第 2.0版未曾出現的內容。

(三 ) 提升原有條文的彈性

過去數年來，由於 PCI DSS部分條文

訂得過於僵硬，以致 PCI Qualified Security

Assessor (合格審查員，簡稱 QSA) 在進行

不同機構的審查作業時，常覺窒礙難行。PCI

SSC明白，奢望同一套標準的二百多條條文

能完全適用於不同規模、不同經營條件的機

構，根本是不切實際的。有鑒於此，第 3.0版

特別增加部分條文的彈性，希望各機構不須大

量投資，或是大幅改變其現有系統，就可以滿

足相關安全要求。

舉一個較明顯的例子：第 2.0版第 6.6條

原本明訂機構必須安裝網路應用程式防火牆

(Web Application Firewall，簡稱WAF)，然而

依據過去數年的經驗，要求各種大大小小的機

構都要遵守這條規定，實在是強人所難。所以

PCI SCC從善如流，修訂第 3.0版條文內容，

將安全要求調整為「機構必須安裝能有效偵察

及預防網絡攻擊的自動化技術解決方案」；

針對第 11.5條有關 File Integrity Monitoring

的安全要求，也有類似的鬆綁情況。總而言

之，PCI SSC希望各機構能考量現實情況，

在資源合理有效運用的原則下，達成符合 PCI

DSS第 3.0版的各項安全要求。

(四 ) 員工安全意識的教育訓練

信用卡資料安全是機構每一個人的責任，

但在現實環境中，人員經常是資訊安全機制最

弱的一環；不論系統規劃及政策制定如何完

善，如果缺少人員的配合，就無法發揮真正的

效用。所以，PCI DSS第 3.0版特別強調人

員安全意識的教育訓練，確保所有人員都能瞭

解這套安全標準，而非只限於資訊部門或查核

人員，特別是日常運作會接觸到信用卡資料的

人員更應該全天候保護信用卡資料的安全；例

如：第 8.4條要求針對使用者提供密碼設定的

教育，第 9.9條要求針對銷售點前線員工提供

安全訓練。

五、 結語

PCI DSS第 3.0 版雖然自 2014年 1月 1

日起正式生效，但是 2014年可視為新版標準

的調適期，受查機構可以考量自身情況，選擇

以第 2.0版或第 3.0版為審查依據。

自 2015年 1月 1日起，所有審查都必須

依據第 3.0版執行，而且審查報告 (Report on

Compliance，簡稱 ROC) 內容亦遠較第 2.0

版複雜而詳盡。由於第 3.0版部分條文 2015

年 7月 1日才正式生效，各機構如果想瞭解升

級 PCI DSS第 3.0版所面臨的挑戰，可以聯

絡負責執行審查作業的 PCI QSA，以取得最

準確的資訊；惟有支付鏈上的所有機構皆重視

且符合資訊安全標準，共創安全、可靠的支付

42　■ 財金資訊季刊 / No.82 / 2015.04

心得分享〡支付卡產業「資料安全標準」 (PCI DSS)第 3.0版之解析與因應

環境，才能獲取消費者的信賴及參與，促使支

付卡產業更加蓬勃發展。

※參考文獻 /資料來源：1. PCI DSS Requirements and Security

Assessment Procedures version 3 (PCI Security Standard Council, 2013)。

2. Summary of Changes from PCI DSS Version 2.0 to 3.0 (PCI Security Standard Council, 2013)。

3. Whitepaper: Highlights of Changes of PCI DSS v.3.0 (Evolution Security Consulting, 2014)。

( 公 司 簡 介：Evolution Security Consulting 是一家英國的資安公司，總部設於倫敦，在歐洲及亞洲 (包括台北 ) 設有分公司及資料中心，為各跨國公司

及金融機構提供資安顧問及審核認證服

務。Evolution也是合格的 PCI QSA，為歐亞地區客戶提供認證及顧問服務。)