标准的PCI决策支持系统的步骤doc - 素包子

标准的PCI决策支持系统的步骤doc - 素包子

标准的PCI决策支持系统的步骤

Visa帐户信息安全指南

2009年10月

本指南介绍了如何可以确保您的业务不储存持卡人的数据敏感

标准的PCI决策支持系统的步骤doc - 素包子

目录

如何确保您的企业没有保存敏感持卡人数据介绍理解持卡人数据敏感验证数据的解释跟踪数据卡片验证值 2(CVV2)个人识别号码(PIN)和密码块持卡人了解其他类型的数据主帐号持卡人姓名和截止日期服务代码寻找敏感的认证数据-在哪里查询认证检测敏感数据-如何看待删除敏感验证数据方法通过媒体联系信息

第 2页共 12页

标准的PCI决策支持系统的步骤doc - 素包子

如何确保您的企业没有持卡人的数据存储敏感导言信用卡交易已成为一个普遍的方式为消费者购买商品和在当地的互联网服务及零售商店购物时国外。为了帮助保持信用卡付款安全方便，签证，帮助形成一个组织，称为支付卡行业安全标准委员会(PCIDSS)。的 PCIDSS的主张和支持不同的安全标准的人数，也许，最广为人知的是 PCI数据安全标准 (PCIDSS)。本标准细节的要求，所有实体，存储，处理或传输持卡人数据必须遵守，以确保持卡人的数据保存安全。两个关键要求对 PCIDSS的地址直接持卡人的数据处理。这些要求是： 不要贮存(即使是加密)敏感的身份验证数据后，授权 安全不敏感的身份验证数据，无论它存储持卡人的数据理解在交易授权，商家收集来自支付卡数据和传输数据的发卡机构。根据这些资料发卡机构可以批准或拒绝交易和发送的授权响应回到商人。本次交易过程说明如下：

交易是利用执行持卡人的支付卡信息，并可包括其他身份验证由客户自己提供的数据，例如签名或个人识别码(PIN)。此信息使用发卡机构核实和批准的交易，因此它是至关重要的这些数据受到保护。

第 3页共 12页

标准的PCI决策支持系统的步骤doc - 素包子

一个支付卡的代表提供如下：一个支付卡的代表提供如下：支付卡正面： 1-芯片的智能卡 2-主账号(PAN)的 3-届满之日起卡 4-持卡人姓名

支付卡背面 1-磁条 2-持卡人签名 3-签证的安全码(CVV2) 4-签证全息图

敏感持卡人的数据是指持卡人的数据不能被保存以后的交易授权。这些数据存储是不允许的在任何情况下，即使数据被加密或其他保护。那里三种类型的敏感持卡人的数据值，统称为'敏感称为验证数据',是由发卡机构来确认是否存在物理卡的塑料和/或在授权时持卡人。这三种类型是敏感的认证数据： 完全的磁条内容，也被称为“轨道数据” 安全码(称为卡片验证值 2,或 CVV2,由 Visa) 密码或 PIN块在您的业务正常运作有不应该需要存储敏感身份验证数据后授权。这些数据存储降低授权和欺诈检测系统的效率，在授权过程并

能加强信用卡欺诈，如果损害。签证不需要敏感数据保持的授权后，授权，实际上是侵犯在 PCIDSS要求和 Visa的国际经营条例存储授权后，这些数据。

第 4页共 12页

标准的PCI决策支持系统的步骤doc - 素包子

敏感验证数据的解释跟踪数据跟踪数据是用来描述这就是在磁存储的信息，任期条纹的支付卡。跟踪数据由发行人确定的物理支付卡交易过程中的存在。数据生成的卡发行人，是根据对持卡人的塑料回磁条记录在芯片或两者兼而有之。每个发卡机构能够记录临近结束时酌情数据的轨道。在某些情况下，有可能赛道的数据重新建构的使用信息取自磁条本身或从卡上的芯片。磁条最多可包含三个数据轨道，每个不同的格式，被称为轨道 1,第 2轨和跟踪 3。只有轨道 1和第 2轨用于支付行业。跟踪数据的定义是国际标准，是所有信用卡品牌相同。

敏感的身份验证数据可以找到对双方的轨道 1和结束轨道 2。这是 Visa国际组织工作条例和违反的 PCI数据安全标准的存储敏感的身份验证数据后授权。非在赛道上敏感的认证可以存储，但必须得到保护根据 PCIDSS的要求。卡片验证值 2(CVV2)签证制定了一个 3位数字代码，以帮助防止对所有人工输入，交易欺诈行为。在 CVV2码值为每个不同的支付卡，即使卡有相同的主帐号 (PAN)的。 CVV2在驻留在卡的背面或在旁边签名面板和使用确认在塑料卡存在的情况下是不可能过程中，磁条或芯片的数据-即人工输入的交易包括电话/邮购交易和网上交易。每个支付品牌中的名称和代码的位置稍有不同： CVV2:卡片验证值 2(签证) CVC2:卡片验证码 2(万事达卡) 刑事调查：卡识别号码(美国运通卡，Discover) CAV2:卡片验证值 2(联合协调) Greatcare(伟大的护理)需要与 CVV2以来持卡人可沟通本价值直接与您联系，例如，通过呼叫中心或网站。即使在这种情况下， CVV2不得存放后授权。该个人识别号码(PIN)和密码块

第 5页共 12页

标准的PCI决策支持系统的步骤doc - 素包子

密码/密码块值所使用的发卡机构，以确认持卡人存在购买时作出。持卡人的 PIN值只知道持卡人，和正确的值可以核实卡发行人及其授权代理人。持卡人个人密码是加密传输到一对 PIN阻止商户收购-这应该发生在一个安全的 PIN码输入设备(PED)。但是，有时系统的发现，让外面的密码，客户接触这些安全装置。在这两种情况下，是不允许储存客户 PIN块，无论加密或不加密后授权。对于未加密的密码块格式如下：格式代码 (1位) 0,1,2,3数位密码 0–9orA–C数字密码 0–9数字或密码填充 (10进制字) 0–9orA–F填充 (2进制字) 6–9orA–F

(1十六进制字符) (2位)

加密的密

码块走 64位，或 16进制数字，随机的形式数字。加密的密码块传播国际标准化组织 8583标准的邮件中外地 45。

持卡人了解其他类型的数据作为敏感验证数据，如密码块加密客户和 CVV2价值，可能很难找到该系统内包含不同的字段和值，它是非常有用的领域寻找到的持卡人在其他类型的数据存储，然后试图寻找敏感的身份验证可能在同一地区存储的数据。主帐户号码(PAN)主帐户号码，也通常被称为卡号，用于唯一标识特定客户帐户在一个特定的发卡机构，世界任何地方。每位持卡者都有一个独特的 PAN价值，这价值在一些地点发现： 浮雕或塑料的物理正面印 数字记录在田径 1和第 2轨或芯片 数据库及纸张档案 交易记录在 PAN可以是任何 13至 19位数字的长度，但 16位到达的最常见的。所有的个人帐户号码的支付品牌发出具有以下属性说明如下。

启动数字

在 PAN开始的数字识别发卡机构。在确定这是不公开信息的确切方法。下面的'经验法则'可以被用来确定

第 6页共 12页

标准的PCI决策支持系统的步骤doc - 素包子

在 5个的 PCI卡支付品牌发布。

LuHn10检查检查的 LuHn10检查公式验证其对数校验数位 (最右边的数字)。标准帐号必须通过下面的测试： 1。从检查点位，这是最右边的数字，和移动离开，双值每第二个数字。 2。数字的总和，产品连同非一倍，从原来的号码数字。 3。如果 0的总目的，人数更是有效的根据 LuHn公式，否则就是不一个有效的 PAN。举例来说，如果该帐户号码是 49927398716,这将是验证如下： 1。双位数字的每一秒钟，从最右边的： (1 x2)=2, (8x2)=16, (3x2)=6, (2X2的)=4, (9x2)=18 2。总和所有的数字(括号内数字是产品从第 1步： 6+(2)+7+(1+6)+9+(6)+7+(4)+9+(1+8)+4=70 3。作为结果(70)已就结束零和因此，可以除以 10,结果是一有效 PAN价值。持卡人姓名和到期日与 PAN一样，持卡人姓名及到期日期可能会记录一个数字地方： 浮雕或塑料的物理正面印 数字记录在田径 1和第 2轨或芯片 数据库及纸张档案 呼叫中心语音录音 交易记录当印刷或浮雕，失效日期记录在 MM/YY格式，但记为 YYMM跟踪数据。这个日期是产生发卡机构。服务代码服务代码定义了各种服务，区分在国际或使用卡国内环境和标识卡的限制。服务代码进行数字在田径记录 1和第 2轨或芯片。这是 3个小数位数字，是所产生的发卡机构。共同服务代码值是 101或 104。

第 7页共 12页

标准的PCI决策支持系统的步骤doc - 素包子

寻找敏感的认证数据-在哪里查询许多企业认为，他们不是存储敏感数据，因为他们看不到它，或者因为这个数据存储不是其业务的特定部分

。不过，重要的是要明白，电脑系统及网络设备，往往被自动储存您不知情的情况的数据，你必须寻找一切可能的存储位置，即使你认为持卡人的数据是不是故意保存。当寻找敏感的验证数据，重要的是有一个支付的类型，您的公司接受良好的理解。一个商人，在从未接受付款的人不会被跟踪或 PIN处理数据。一个商人说，只接受通过 POS机刷卡终端不会处理 CVV2数据客户信用卡付款。因此，找到这些数据的第一步是审查以何种方式进入持卡人的数据，并通过您的业务流程。除了简单的商人，这必须加以记录，因为这将成为您的 PCIDSS标准努力的基石。下表显示常用的方法敏感数据可进入您的业务。一旦在，如果没有正确的管理，数据可以找到您的任何地方的商业环境！

企业

交易类型

交易方式

敏感的身份验证数据跟踪 CVV2密码 PAN

持卡人的数据资料名字服务代码到期

卡存在

磁条或芯片手动键控手动键控

√ X X X X X X X√

X X√√√√√√√

√ X X X X X X X√

√√√√√√√√√

√√√√√√√√√

√ X X X X X X X√

√√√√√√√√√

商家卡不存在

电子商务经常性交易第三方文件，例如外包呼叫中心卡不存在其它邮购/电话订购电子商务其它

服务提供商

其他进程可能涉及持卡人的数据的使用包括： 客户服务/交易纠纷 商户结算 客户身份重要的是要特别小心的数据通过计算机 systems.Modern计算机系统通过经常创建日志或使用'虚拟内存',以确保平稳系统处理-这些也必须考虑而对于敏感数据存储研究。您在您的计算机基础设施的调查范围，可以大大减少(与相关的时间和金钱储蓄)由网络分段执行(例如使用 VLAN)和防火墙。但是，应该认识到，当寻找敏感认证数据基本上验证你的任何网络隔离您已经到位-因此，存储，至关重要的是，系统不应该存储，处理或者传输的数据进行检查确认这是真实的情况。

第 8页共 12页

标准的PCI决策支持系统的步骤doc - 素包子

检测灵敏度验证数据如何看待下表描述了用来寻找敏感的身份验证数据的基本技术数目。没有人的工作方式在所有情况下，这是最好的建议这些方法加以调整和发展适合你的结构网络使用。当检查验证数据敏感重要的是要记住的 PCI决策支持系统适用于所有系统，存储，处理或传输信用卡资料。这包括如 ATM机和 POS设备，以及软件系统的硬件系统。方法程序 1。手动找出数据进入您的业务。 2。确定(和文件)的数据流包括所有 paperbased,语音和系统的基础设施，例如：防火墙，路线，数据记录，备份。 3。调查在交易流程的每个项目，寻找敏感

数据。手动映射流(拧) 4。此外，如果数据处理的计算机系统： 文件的计算机基础设施，操作系统和用于处理数据的程序 如果程序确认的 PA-DSS的名单，并已在一个标准的方式实施 确认如果数据备份来了，哪些信息是被当作正常业务的一部分被俘 1.对于你的业务中使用的每种类型的交易，进入交易作出说明的价值扫描计算机基础设施上的已知值观，例如 PAN,有效期，CVV2,轨道 1,轨道 2。 2.调查在每个项目的交易流程，为寻找敏感的身份验证数据。下面的数据项都知道的模式，可扫描计算机基础设施上已知的模式用扫描工具扫描： PAN(LuHn10检查) PAN启动数字 跟踪 1和第 2轨格式 明文密码块格式不要指望只在您预期的地审查布局-或架构-在您的公司使用，看检查数据库布局或可疑列是否有列或项目的标题 (如'跟踪数据'或 CVV2)可能显示敏感的数据存储在数据库中。方，可能对敏感的认证数据。这个数据可能会发生在艾被许多公司采用不同的数据库，具体系统或可能是一个商业软件的许多不同的原因包位置的一部分。审查日志和错误文件敏感的身份验证数据可能存储有意或可用于存储数据蓄意错误恢复或通信软件 data.Do不能只看到敏感的无意地在许多不同的地方。支付软件，日志可能会不小心保存和普通工具方法引用附录一他的方法是有用的检查 CVV2及密码加密块价值其中数据可能很难找到其他方式。据建议，应当为所有企业执行。虽然它可能是一个劳动力密集型任务复杂的业务，完成后的结果宝贵的，并会协助你的其他 PCIDSS标准的许多任务你。评论

第 9页共 12页

标准的PCI决策支持系统的步骤doc - 素包子

地方，您的身份验证数据的预期可能。这些数据可以发生在许多不同的地点进行许多不同的原因。确认误差为您支付系统恢复方法向您支付系统供应商，并确定他们的系统是如何运作，如果是一个错误。通常系统存储敏感身份验证数据，以协助完成付款处理时发生错误。当寻找敏感的身份验证数据是非常重要的了解交易过程中，不仅在工程付款，而且还发生什么付款不起作用。

删除敏感验证数据要实现 PCIDSS标准，关键是要减少项目的范围是多少，也就是说，以消除持卡人的数据业务，除非是绝对必需的。你越少的数据在您的企业有你都要控制，变得更容易遵守。 当禁止数据发现，采取行动，消除数据尽快考虑改变您的业务流程，因此数据不再授权后仍保留 介绍程序，数据控制，以最短时间安全地删除，保存，一旦不再需要。方法由媒介下表详细共同存储位置，并建议采取

行动，以协助在遵守。媒介纸/传真 授权后切丝 停电持卡人的数据与油墨软拷贝图像(扫描文件，传真 rervers) 改变进程，以便数据不再需要 删除后授权 如果可能的话，电子黑敏感领域呼叫中心-电话录音计算机和计算机存储 如果 CVV2确认是被记录下来，如果是，考虑'冲'技术 加密和安全地存储在最低限度的所有呼叫数据 只能使用 PA-DSS的批准的申请 咨询与软件开发者和应用程序确认是否兼容的 PCI决策支持系统，如果任何特殊设置的需要 分析已知的所有的应用程序来处理敏感数据 扫描所有 PAN和跟踪数据，包括日志和备份存储网络设备 请咨询制造商，并确认，如果设备是 PCI决策支持系统兼容，如有特殊需要设置 分析日志文件的所有敏感数据备份 如果备份是预授权，审查备份的目的和可能的情况下修改 加密备份动作

第 10页共 12页

标准的PCI决策支持系统的步骤doc - 素包子

联系信息欲了解更多有关此文件或客户资料安全计划的信息.请访问我们的网站 http://www.77cn.com.cn/secured或联系： Tony Zhu Risk Management China tzhu@http://www.77cn.com.cn Navy Li Risk Management China navyli@http://www.77cn.com.cn

第 11页共 12页

标准的PCI决策支持系统的步骤doc - 素包子

第 12页共 12页

本文来源：https://www.bwwdw.com/article/4s1i.html