搜尋:

Navigation

    接受Visa卡 帳戶資料安全(AIS)

帳戶資料安全(AIS)

什麼是帳戶資料安全


什麼是帳戶資料安全(AIS)計劃?

帳戶資料安全(AIS)是一項風險管理計劃,目的在保護Visa支付系統中之敏感帳戶及交易資料。它保護所有支付系統(無論在實體或虛擬環境)參與者的權益,包括Visa發卡機構和收單機構、商店和持卡人。 
 
2004年,Visa與其他主要支付卡品牌開始共同努力建立一套支付產業共用之的安全標準,因此AIS相關規定便被納入支付卡產業資料安全標準Payment Card Industry Data Security Standard(PCI DSS)內容之一。
 
自2006年9月起,PCI DSS及其所有相關文件改由PCI安全標準協會("PCI SSC")負責擁有、維護並發佈,而Visa則是將AIS計劃作為確認資料安全(以PCI DSS為標準)的合規性及實施狀況之管理計劃。

回頁首

AIS計劃適用於哪些機構?

AIS計劃是一套完整的資安規範,適用對象為所有參與Visa支付系統的機構;即所有負責處理、儲存或傳輸Visa卡帳戶及/或交易資料的機構,包括商店、處理機構及支付服務提供商。

AIS計劃有何優點?

透過執行及遵守PCI DSS規定,您將可有效保護客戶資料,免受安全漏洞、詐欺等潛在風險影響。 
 
除了保護顧客權益外,妥當的資安措施還可助您減少風險,並減低因持卡人帳戶資料外洩而增加之損失和補救成本。
 
AIS計劃有助於您:
 
提升品牌忠誠度,讓客戶對您的業務更有信心
隨著顧客的信心增加,銷售額及業績可同時提升
保護您免受潛在安全漏洞的影響,減少不必要的調查及相關訴訟開支
 降低因資料外洩所帶來媒體負面報導之風險
提高對資料安全的意識,並提供更多預防措施
減少客訴及相關負面開支

回頁首

支付卡產業資料安全標準(PCI DSS)規定有哪些?

負責儲存、處理或傳輸Visa卡資料之所有商店及服務提供商,都必須符合PCI DSS規定,所有交易類型,包括零售(實體店面)、郵電購(MOTO)和網路交易都包含在PCI DSS之安全規範內。 
 
PCI DSS基本上透過12項主要標準來保障持卡人帳戶及交易資料安全:
 
建構並維護安全的網路
要求 1:
安裝並維護防火牆設定,以保護持卡人資料
要求 2:系統密碼和其他安全參數不使用供應商提供的預設設定
保護持卡人資料
要求 3:
保護儲存的持卡人資料
要求 4:在開放型的公共網路中傳輸持卡人資料時會加密
維護漏洞管理程式
要求 5:
使用防毒軟體並定期更新
要求 6:開發、維護安全系統和應用程式
執行嚴格的存取控制措施
要求 7:
限制只限業務需要知道的人才能存取持卡人資料
要求 8:為每位擁有電腦存取權的使用者分配唯一的User ID
要求 9:
限制對持卡人資料的實體存取
定期監控網路和測試網路
  要求 10:跟蹤和監控存取網路資源和持卡人資料的所有操作
  要求 11:
定期測試安全系統和程序
維護資訊安全政策
  要求 12:維護資訊安全的政策
 
PCI DSS是為保障客戶資料的隱密性、有效性及完整性而設。同時也是處理或管理Visa帳戶資料的資安標準。
 
請按這裏,瞭解完整的PCI DSS。

如何確認是否符合PCI DSS標準?

若要確認貴機構是否符合PCI DSS標準,您應該完成以下認證工作: 

1. 自我評估問卷Self Assessment Questionnaire
PCI SSC提供一份自我評估問卷(SAQ)作為PCI DSS確認工具之一,目的在幫助商店及服務提供商針對PCI DSS合規狀況進行自行評估。PCI DSS_SAQ有四種版本可供選擇,請按這裏,詳細瞭解SAQ。
 
商店及服務提供商應至少每年一次填寫SAQ進行自我評估。
 
2. 弱點掃描(Vulnerability Scan)
弱點掃描是一種自動化工具,它是以商店/服務提供商提供的外部網路協定(IP)位址為目標,從遠端審查網路及Web應用軟體進行非侵入性掃描。
 
商店及服務提供商必須選擇由PCI SSC授權之掃描供應商(ASV)所提供之掃描工具進行最少每季一次的弱點掃描。請按這裏,查看ASVs名單。
 
免費提供掃描服務
Visa為亞太地區Visa客戶提供免費但限量限時的網路掃描以及線上自我評估問卷服務,網站為https://www.trustkeeper.net/esp/Login.public
 
請注意,本項服務為限量限時供應,只有透過您的Visa收單機構申請之專屬帳號方可享有免費掃描服務,請聯繫您的Visa收單機構提出申請。
3. 現場稽核
確認PCI DSS合規性最全面方法就是由PCI SSC合格評核機構(QSA)進行每年一次PCIDSS現場稽核。如需查看PCISSC認可之QSA名單,請按這裏
 
Visa已根據交易筆數、潛在風險,以及商店和服務提供商因引入其他支付系統之衍生風險,規範PCIDSS合規程序及合規認證等級。
 
  • 如想瞭解商店之AIS合規認證規定,請按這裏
  • 如想瞭解服務提供商之AIS合規認證規定,請按這裏
 

回頁首

  • 列印本頁

快速連結

 

外部連結

 
 
首頁 | 認識Visa | 人才招募 | 網站主要內容 | 使用網站的法律資訊 | 保護您的隱私 | 連結指引 | Visa全球網站 | Visa亞太區網站
© Copyright Visa. All Rights Reserved.