PCI安全認證標準將涵蓋流動支付

據本港金融管理局調查,全港信用咭已達一千七百萬張,全港信用咭及提款咭已更換了具EMV 智能晶片,加強個人和交易保安。隨著流動科技迅速發展,各式各樣支付方式,包括流動、NFC、無線或網上繳付平台如雨後春筍,提高交易資料保密的需求。愈來愈多交易採用支付卡,也有更業內機構,主動認證PCI安全認證標準。

零售商和銀行必須達到某些保安要求,業內最流行保安認證,是由五個主要發卡機構成立的PCI
安全標準協會,目前已擴展為國際組織。PCI 安全標準協會於 2006 年創立,屬於開放全球論壇,負責制定、管理、推廣PCI 安全標準和提高安全意識,包括了資料安全標準 (DSS)、支付應用程式的資料安全標準 (PA-DSS) 以及 PIN 輸入裝置 (PED) 要求。PCI協會將 PCI DSS 納入其各自的資料安全合規計劃技術要求,推出了審查處理,只有經過 PCI 安全標準協會認證的 QSA 和 ASV 才有資格驗證 PCI DSS 合規性。

目前,PCI 安全標準協會發佈版本為2.0,去年十一月亦發表了新3.0版本,今年開始執行,成員根據PCI 安全標準實行保護資料。所有處理儲存支付卡數據機構;包括從生產蒐集支付卡數據硬件,例如POS廠商,甚至是金融支付應用開發商,處理大量數據零售商,業內均鼓勵須通過PCI審查認證,以確保消費者資料保安。由於愈來愈多第三方外判商和流動服務供應商,亦有可能處理大量支付卡資料,PCI新版本亦加強有關規管,包括自我測試保安滲透能力(Penetration test)和防止遭病毒入侵,也有更嚴格要求。近期,本港流動服務供應商,例如CSL等亦開始進行PCI 安全標準的審核工作。

PCI 安全標準協會環球總監Jeremy King表示,隨著信用卡加入EMV晶片科技,有些人以為不再需要PCI。其實EMV也需要PCI 安全標準,以提供適當的認證,單純採用EMV晶片,並不會確保支付卡用戶資料獲安全保障。

PCI 安全標準內容也不斷變革,以適應不斷改變的支付方式。King表示,愈來愈多接受付款商號採用流動付款,加上應用不斷湧現,不單沒有降低PCI 安全標準重要性,反而提高了認授性。

「流動付款跟傳統最大分別,是可能不再使用沿用設備收款。客戶可能用NFC規格手機,或者安裝有讀卡機的手機進行收款,終端設備必須有新標準,以確保安全。接受付款的終端不再在固定位置,交易流程更加不固定,加密和保安程序,也會隨之改變;例如防止假冒的設備套取資料,也必須設計新交易程序。」新的PCI 安全標準,將集中規管商號接受流動支付程序。

未來,PCI 發展針對新流動支付模式對個人及交易資料保安的衝擊。其中亦包括愈來愈多的二元認證(two-factor authentication),也就是Tokenization,採用產生一次性密碼的認證工具,以確定用戶身份,未來PCI 安全標準也會將有關認證納入監管。