保護支付生態系統

了解Mastercard®網站數據保護計劃及支付卡行業資料(PCI DSS)

支付卡行業資料安全標準(PCI DSS)由Mastercard與其他支付同業共同成立。我們同時推出網站數據保護計劃(SDP),協助收單機構、商戶和服務供應商遵守這個安全標準。

SDP以PCI DSS為基礎,詳細闡述數據安全和合規驗證要求,旨在保護Mastercard支付賬戶所儲存及傳輸的數據。

PCI DSS用​​於識別安全流程、程序和網站配置中的漏洞。遵守PCI DSS和SDP指令有助保障商戶、服務供應商和發卡機構免受安全漏洞風險,同時提升消費者信心,維持支付系統整體可靠度。

了解更多有關支付卡行業資料安全標準(PCI DSS)

支付卡行業資料安全標準(PCI DSS)

PCI DSS附屬要求逾250項,概括分為六大目標及12項主要求。

六大目標、12項要求

目標 PCI DSS要求
建立並維持
安全網絡
1:安裝與維護防火牆及路由器設定,以保護持卡人資料。
2:對於系統密碼及其他安全參數,請勿使用供應商提供的預設值。
保護持卡人資料 3:保護儲存的持卡人資料。
4:針對透過開放的公用網路傳輸的持卡人資料,予以加密。
維護漏洞管理程式 5:使用並定期更新防毒軟體或程式。
6:開發並維護安全系統和應用程式。
實施嚴格的存取
控制措施
7:根據業務需要,限制對於持卡人資料的存取。
8:為具有電腦存取權限的用戶指派獨立編碼。
9:限制對持卡人資料的實體存取。
定期監控
並測試網路
10:追蹤並監控對於網路資源及持卡人資料的所有存取。
11:定期測試安全系統和程序。
維護資訊
安全政策
12:維護適用於所有員工的資訊安全政策。

支付應用軟體資料安全標準(PA-DSS)

支付應用程式開發者和整合者向第三方出售、分銷或許可使用該程式時,往往會同時存取、處理或傳輸的持卡人數據,作為結算和授權過程的一部分。支付應用軟體資料安全標準(PA-DSS)針對以上情況而製定。

PA-DSS要求第三方支付應用程式的供應商,採取適當的安全控制措施保護持卡人數據。PA-DSS有多項控制措施,專門處理導致信用卡數據遺失等主要常見漏洞。

Mastercard規定於2012年7月1日生效

2012年7月1日生效:Mastercard對Mastercard SDP程序標準作出修改,要求所有使用第三方支付應用程式的商戶和服務供應商,只可以使用符合支付卡行業支付應用軟體資料安全標準(PCI PA-DSS)的程式。 PCI PA-DSS程序指南中已明確當中對第三方支付應用的適用性。此外,Mastercard將針對第1、2及3級商戶以及第1及2級服務提供商,設定一項新PA-DSS合規驗證要求。

Mastercard的PA-DSS相關規定將有助持續推動其全球普及率,並促進支付生態系統中所有持分者遵守這一標準。