标准的PCI决策支持系统的步骤.pdf

标准的PCI决策支持系统的步骤Visa帐户信息安全指南2009年10月本指南介绍了如何可以确保您的业务不储存持卡人的数据敏感第2页共12页目录如何确保您的企业没有保存敏感持卡人数据介绍理解持卡人数据敏感验证数据的解释跟踪数据卡片验证值2（CVV2）个人识别号码（PIN）和密码块持卡人了解其他类型的数据主帐号持卡人姓名和截止日期服务代码寻找敏感的认证数据-在哪里查询认证检测敏感数据-如何看待删除敏感验证数据方法通过媒体联系信息第3页共12页如何确保您的企业没有持卡人的数据存储敏感导言信用卡交易已成为一个普遍的方式为消费者购买商品和在当地的互联网服务及零售商店购物时国外。为了帮助保持信用卡付款安全方便，签证，帮助形成一个组织，称为支付卡行业安全标准委员会（PCIDSS）。的PCIDSS的主张和支持不同的安全标准的人数，也许，最广为人知的是PCI数据安全标准（PCIDSS）。本标准细节的要求，所有实体，存储，处理或传输持卡人数据必须遵守，以确保持卡人的数据保存安全。两个关键要求对PCIDSS的地址直接持卡人的数据处理。这些要求是：不要贮存（即使是加密）敏感的身份验证数据后，授权安全不敏感的身份验证数据，无论它存储持卡人的数据理解在交易授权，商家收集来自支付卡数据和传输数据的发卡机构。根据这些资料发卡机构可以批准或拒绝交易和发送的授权响应回到商人。本次交易过程说明如下：交易是利用执行持卡人的支付卡信息，并可包括其他身份验证由客户自己提供的数据，例如签名或个人识别码（PIN）。此信息使用发卡机构核实和批准的交易，因此它是至关重要的这些数据受到保护。第4页共12页一个支付卡的代表提供如下：一个支付卡的代表提供如下：支付卡正面：1-芯片的智能卡2-主账号（PAN）的3-届满之日起卡4-持卡人姓名支付卡背面1-磁条2-持卡人签名3-签证的安全码（CVV2）4-签证全息图敏感持卡人的数据是指持卡人的数据不能被保存以后的交易授权。这些数据存储是不允许的在任何情况下，即使数据被加密或其他保护。那里三种类型的敏感持卡人的数据值，统称为敏感称为验证数据，是由发卡机构来确认是否存在物理卡的塑料和/或在授权时持卡人。这三种类型是敏感的认证数据：完全的磁条内容，也被称为“轨道数据”安全码（称为卡片验证值2，或CVV2，由Visa）密码或PIN块在您的业务正常运作有不应该需要存储敏感身份验证数据后授权。这些数据存储降低授权和欺诈检测系统的效率，在授权过程并能加强信用卡欺诈，如果损害。签证不需要敏感数据保持的授权后，授权，实际上是侵犯在PCIDSS要求和Visa的国际经营条例存储授权后，这些数据。第5页共12页敏感验证数据的解释跟踪数据跟踪数据是用来描述这就是在磁存储的信息，任期条纹的支付卡。跟踪数据由发行人确定的物理支付卡交易过程中的存在。数据生成的卡发行人，是根据对持卡人的塑料回磁条记录在芯片或两者兼而有之。每个发卡机构能够记录临近结束时酌情数据的轨道。在某些情况下，有可能赛道的数据重新建构的使用信息取自磁条本身或从卡上的芯片。磁条最多可包含三个数据轨道，每个不同的格式，被称为轨道1，第2轨和跟踪3。只有轨道1和第2轨用于支付行业。跟踪数据的定义是国际标准，是所有信用卡品牌相同。敏感的身份验证数据可以找到对双方的轨道1和结束轨道2。这是Visa国际组织工作条例和违反的PCI数据安全标准的存储敏感的身份验证数据后授权。非在赛道上敏感的认证可以存储，但必须得到保护根据PCIDSS的要求。卡片验证值2（CVV2）签证制定了一个3位数字代码，以帮助防止对所有人工输入，交易欺诈行为。在CVV2码值为每个不同的支付卡，即使卡有相同的主帐号（PAN）的。在CVV2驻留在卡的背面或在旁边签名面板和使用确认在塑料卡存在的情况下是不可能过程中，磁条或芯片的数据-即人工输入的交易包括电话/邮购交易和网上交易。每个支付品牌中的名称和代码的位置稍有不同：CVV2：卡片验证值2（签证）CVC2：卡片验证码2（万事达卡）刑事调查：卡识别号码（美国运通卡，Discover）CAV2：卡片验证值2（联合协调）Greatcare（伟大的护理）需要与CVV2以来持卡人可沟通本价值直接与您联系，例如，通过呼叫中心或网站。即使在这种情况下，该CVV2不得存放后授权。个人识别号码（PIN）和密码块第6页共12页密码/密码块值所使用的发卡机构，以确认持卡人存在购买时作出。持卡人的PIN值只知道持卡人，和正确的值可以核实卡发行人及其授权代理人。持卡人个人密码是加密传输到一对PIN阻止商户收购-这应该发生在一个安全的PIN码输入设备（PED）。但是，有时系统的发现，让外面的密码，客户接触这些安全装置。在这两种情况下，是不允许储存客户PIN块，无论加密或不加密后授权。对于未加密的密码块格式如下：格式代码（1位）数位密码（1十六进制字符）数字密码（2位）数字或密码填充（10进制字）填充（2进制字）0,1,2,309orAC0909orAF69orAF加密的密码块走64位，或16进制数字，随机的形式数字。加密的密码块传播国际标准化组织8583标准的邮件中外地45。持卡人了解其他类型的数据作为敏感验证数据，如密码块加密客户和CVV2价值，可能很难找到该系统内包含不同的字段和值，它是非常有用的领域寻找到的持卡人在其他类型的数据存储，然后试图寻找敏感的身份验证可能在同一地区存储的数据。主帐户号码（PAN）主帐户号码，也通常被称为卡号，用于唯一标识特定客户帐户在一个特定的发卡机构，世界任何地方。每位持卡者都有一个独特的PAN价值，这价值在一些地点发现：浮雕或塑料的物理正面印数字记录在田径1和第2轨或芯片数据库及纸张档案交易记录在PAN可以是任何13至19位数字的长度，但16位到达的最常见的。所有的个人帐户号码的支付品牌发出具有以下属性说明如下。启动数字在PAN开始的数字识别发卡机构。在确定这是不公开信息的确切方法。下面的经验法则可以被用来确定第7页共12页在5个的PCI卡支付品牌发布。LuHn10检查检查的LuHn10检查公式验证其对数校验数位（最右边的数字）。标准帐号必须通过下面的测试：1。从检查点位，这是最右边的数字，和移动离开，双值每第二个数字。2。数字的总和，产品连同非一倍，从原来的号码数字。3。如果0的总目的，人数更是有效的根据LuHn公式，否则就是不一个有效的PAN。举例来说，如果该帐户号码是49927398716，这将是验证如下：1。双位数字的每一秒钟，从最右边的：（1x2）=2，（8x2）=16，（3x2）=6，（2X2的）=4，（9x2）=182。总和所有的数字（括号内数字是产品从第1步：6+（2）+7+（1+6）+9+（6）+7+（4）+9+（1+8）+4=703。作为结果（70）已就结束零和因此，可以除以10，结果是一有效PAN价值。持卡人姓名和到期日与PAN一样，持卡人姓名及到期日期可能会记录一个数字地方：浮雕或塑料的物理正面印数字记录在田径1和第2轨或芯片数据库及纸张档案呼