PCI 合規性

您知道嗎?

  • 每秒全球估計刷卡 10,000 次。
  • 如果每刷一次的平均值是 50 美元,表示每秒有約 50 萬美元以電子方式傳輸。
  • 2014 年,信用卡詐騙的遭竊金額達 160 億美元。

加入 PCI!

5 家主要信用卡公司 2006 年聯合組合支付卡產業安全標準協會 (PCI SSC)。

他們擬定了 PCI 資料安全標準 (PCI DSS),用來保護並提高對持卡人資料的控管,試圖減少信用卡詐騙。任何接受、發行或處理支付卡的公司,都必須遵守 PCI DSS 規範。

為什麼要遵守 PCI 規範?

與許多其他安全標準不同,PCI 規範並非法律要求。然而,遵守 PCI 規範能讓貴公司避免高達每月 10 萬美元的罰金。此外,如果公司未能遵守 PCI 規範,該組織可能有權接受信用卡付款撤銷!協助公司遵守 PCI 規範,員工人人有責!

使用者名稱與密碼

 
  • 選擇良好的使用者名稱和密碼很重要,可以進一步保護敏感的持卡人資料。

  • 使用者名稱不能是使用者的真實姓名。

  • 密碼要夠長(我們建議至少 12 個字元)。
 

讓我們練習建立強密碼!試著在下方輸入一個符合下列條件的密碼:

 
  • 密碼長度至少為 12 個字元
  • 密碼包含至少一個大寫字母
  • 密碼包含至少一個數字
  • 密碼包含至少一個特殊字元($、@、% 等)


幹得好!按一下繼續箭頭繼續。

儲存與加密

信用卡資料絕對不該單以文字儲存於 Excel 試算表、Word 文件或任何其他檔案。

在下列兩個情境中,哪一種儲存信用卡資料的方式較理想?(點選正確的情境)

情境 A

一名業務代表將客戶的卡片資料儲存在 Excel 試算表中。

情境 B

儲存信用卡資料時用應用程式加密。

不正確:持卡人資料絕對不應單以文字儲存!
正確:持卡人資料應加密並儲存於安全位置。

需要知道

  • 使用者應該只能取得完成工作職責必要的一部分持卡人資料。
  • 選擇業務代表確認過往的客戶交易時,「不」需要取得的所有持卡人資料(如下列)部分:

 





幹得好!點選繼續箭頭。

實體存取

  • 如果貴組織以實體方式儲存持卡人資料副本,必須儲存於安全的地點。
  • 以下哪一個情境是較理想的持卡人資料副本實體儲存方法?

情境 A

貴組織將客戶收據及持卡人資料儲存於財務長辦公桌未上鎖抽屜內的檔案資料夾中。

情境 B

貴組織將所有持卡人資料的實體副本儲存在上鎖的房間內另外上鎖的檔案櫃中。

不正確:持卡人資料應一律儲存於安全位置!
正確:持卡人資料應一律儲存於安全位置。

設備竄改

  • 詐騙者可能會竄改讀卡機和銷售點裝置等設備,以竊取持卡人資料。

  • 定期檢查螺絲是否鬆脫或其他設備遭到竄改的跡象。

要記住的事項:

  • 利用強密碼保護數位資料。
  • 信用卡資料絕對不應單以文字儲存。
  • 員工僅應存取必須知道的持卡人資料。
  • 以實體方式將持卡人資料副本儲存於安全的地點。
  • 留意設備遭到竄改的跡象。
繼續
返回