PCI_PIN_Security_Requirements_Testing -PCI认证-安全行业基础篇4

PCI认证

PCI DSS（Payment Card Industry Data Security Standard）是由全球五大信用卡组织（Visa、MasterCard、American Express、Discover和JCB）共同制定的一套安全标准，旨在保护信用卡持卡人的数据安全。

PCI DSS标准包括12个主要的安全要求，分为六大类别：

1. 构建和维护一个安全的网络和系统

• 安装和维护防火墙配置，以保护持卡人数据
• 不使用供应商提供的系统默认密码和其他安全参数

2. 保护持卡人数据

• 保护存储的持卡人数据
• 加密跨公共网络传输的持卡人数据

3. 维护一个漏洞管理程序

• 使用并定期更新防病毒软件
• 开发和维护安全的系统和应用程序

4. 实施强大的访问控制措施

• 限制业务需求的数据访问
• 对所有系统组件分配一个唯一的ID
• 限制物理访问持卡人数据

5. 定期监控和测试网络

• 跟踪和监控所有访问网络资源和持卡人数据的行为
• 定期测试安全系统和流程

6. 维护一个信息安全政策

• 为所有员工建立、发布、维护和传播一个信息安全政策

所有处理、存储或传输信用卡信息的商户和服务提供商都需要遵守PCI DSS标准。根据商户处理的信用卡交易量，PCI DSS有不同的合规级别，每个级别都有自己的合规要求。

PCI PIN认证

PCI PIN Security是由支付卡行业安全标准委员会（Payment Card Industry Security Standards Council，简称PCI SSC）制定的一种安全标准。这个标准主要针对的是处理、传输或存储个人识别号（PIN）的设备和系统。

PCI PIN Security标准的主要目标是保护消费者的个人识别号（PIN）和相关的支付卡数据。这个标准包括了一系列的要求，包括但不限于：

• 使用安全的密码和PIN处理技术
• 使用安全的网络和系统来传输和存储PIN
• 对处理PIN的设备和系统进行定期的安全审计和测试
• 对处理PIN的员工进行适当的安全培训

如果一个组织想要通过PCI PIN Security认证，它需要满足所有的这些要求，并通过一个由PCI SSC认可的第三方审计机构的审计。

PIN Security 标准介绍

该标准具体包括 7 个控制目标（Control Objective）和 33 个安全要求（Requirement）， 标准的结构分为标准主体部分，标准附录（Normative Annex）A，B，C，以及一个补充附录Appendix A。

标准主体部分

是针对交易处理操作（Transaction Processing Operations）中， 关于 PIN 保护的安全要求，包括了 7 个控制目标, 这 7 个控制目标是由 33 个安全要求组成的：

控制目标 1（Control Objective 1）：采用确保安全的设备和方法处理本标准所管控的交易 PIN。（PINs used in transactions governed by these requirements are processed using equipment and methodologies that ensure they are kept secure.）

控制目标 2（Control Objective 2）：用于 PIN 加密/解密的密钥以及相关的密钥管理的创建流程，应确保不可能预测任何密钥或者确定特定的密钥比其他密钥更大的可能性。（Cryptographic keys used for PIN encryption/decryption and related key management are created using processes that ensure that it is not possible to predict any key or determine that certain keys are more probable than other keys.）

控制目标 3（Control Objective 3）：密钥应在安全的方式下运送和传输。（Keys are conveyed or transmitted in a secure manner.）

控制目标 4（Control Objective 4）：HSM 的密钥载入和 PIN 输入设备应在安全的方式下处理。（Key-loading to HSMs and PIN entry devices is handled in a secure manner.）

控制目标 5（Control Objective 5）：密钥的使用应禁止或能够检测未授权的使用。（Keys are used in a manner that prevents or detects their unauthorized usage.）

控制目标 6（Control Objective 6）：密钥采用安全的方式进行管理。（Keys are administered in a secure manner.）

控制目标 7（Control Objective 7）：用于处理 PIN 的设备和密钥应在安全的方式下管理。（Equipment used to process PINs and keys is managed in a secure manner.）

标准附录 A（Normative Annex A） – 采用非对称技术进行对称密钥分发（Symmetric

Key Distribution using Asymmetric Techniques）

• A1 – 采用非对称技术操作进行远程密钥分发（Remote Key Distribution Using
  Asymmetric Techniques Operations）
• A2 – 证书和注册授权 CA&RA 操作（Certification and Registration Authority
  Operations）

标准附录 B（Normative Annex B） – 密钥注入设施（KIF：Key-Injection Facilities）

标准附录 C（Normative Annex C）- 核准算法的最小密钥长度要求和算法之间的等效

关系

补充附录（Appendix A）- 标准要求的适用性列表 Applicability of Requirements

合规价值

PCI PIN 标准适用于涉及支付卡帐户 PIN 交易处理的所有收单机构和相关供应商，例如收
单银行、服务提供商、POS 机具生产厂商，密钥注入设施 KIF 和证书处理机构 CA&RA。
当机构管理、处理和/或传输 PIN 数据时，PCI PIN 安全合规可能会被卡品牌、监管机构以
及合作机构所强制要求。比如 VISA 要求所有处理 VISA PIN 数据的服务提供商（包括代表
VISA 客户进行 PIN 处理、转换、接受，和/或密钥管理服务）应完全符合 VISA PIN 安全体
系安全要求和 VISA 规定的验证截至日期，这些机构包括但不限于：获取 PIN 的第三方
VisaNet 处理者（VNP：VisaNet Processor）、作为服务提供商获取 PIN 的客户 VNP、获取
PIN 第三方服务者（TPS：Third-Party Servicers）、加密和支持组织（ESO：Encryption and
Support Organizations）。
成功提交 PIN AOC（PIN Attestation of Compliance）给 VISA 证明其合规状态的 VISA PIN
安全体系参与者将会被列在 VISA 服务提供商网站的全球服务提供商注册系统中。
根据 VISA 规定，没有完成合规评估的罚则规定如下：

最初的违背以及未合规的每个月，至多最初违背之后的四个月：每个月 10,000 美元罚

金

违背四个月之后，以及其后的每个月：每个月 25,000 美元罚金

以上信息可见卡品牌对 PIN Security 不合规机构的惩罚力度是非常严厉的。因此，涉及 PIN
交易处理，以及针对 PIN 保护的密钥管理的机构，一定要和相关卡品牌确认好合规要求。做
到先期规划好合规要求，以保障业务的安全开展。