SAQC–支付应用程式连接到网际网路且不储存电子格式持卡人资料

1、SeojrttyStandards CouncilSecurityStandards Council支付卡行業(PCI)資料安全標準自我評估問卷說明和指南2.0版2010年10月文件變更記錄日期版本描述2008年10月1日1.2版根據新的PCI DSS v1.2 調整相關內容，並實施自原始v1.1以來所註明的 次要變更。2010 年 10 月 28日2.0版根據新的PCI DSS v2.0 要求調整相關内容，闡明SAQ環境類型和資格標 準。為使用基於Web之虛擬終端機的商戶新增SAQ C-VTPCI DSS自我評估問卷說明和指南，V2.0版權所有 2010 PCI Security Stand

2、ards Council LLC2010年10月第13頁目錄說明和指南2.0版2010年10月 文件變更記錄 2關於本文件 4PCI DSS自我評估：整體架構 5PCI資料安全標準：相關文件 6SAQ概要 7遵從PCI DSS的重要性？ 8準備合規驗證的一般技巧與策略 9選擇最適合您組織的SAQ和證明 12SAQ A -不岀示實卡，夕卜包所有持卡人資料功能 12SAQ B -僅使用刷卡機或獨立撥岀終端機的商戶。不儲存電子格式的持卡人資料。13SAQ C-VT -使用基於 Web的虛擬終端機且不儲存電子格式持卡人資料的商戶 13SAQ C -支付應用程式連接到網際網路且不儲存電子格式持卡人資料的

3、商戶14SAQ D -所有其他商戶，以及所有由支付品牌定義為符合完成 SAQ資格條件的服務提供商 14關於某些特定要求不適用性的指南 16完成SAQ的說明 16哪種SAQ最適合我的環境? 17關於本文件認真内本文件旨在協助商戶和服務提供商理解支付卡行業資料安全標準（PCI DSS）和自我評估問卷（SAQ）。閲讀全部説明和指南文件，瞭解PCI DSS對您組織的重要性，您的組織可使用何種策略促進合規性驗證 以及您的組織具備完成哪一個精簡版SAQ的資格條件。以下部分將概述您需要瞭解的 PCI DSS SAQ容。PCI DSS自我評估：整體架構PCI DSS :相關文件SAQ概要遵從PCI DSS的重

4、要性？準備合規驗證的一般技巧與策略選擇最適合您組織的 SAQ和證明關於某些特定要求不適用性的指南完成SAQ的說明哪個SAQ最適合我的環境？PCI DSS自我評估：整體架構PCI DSS和支援文件是一套常用的行業工具和量測標準，有助確保以安全的方式處理敏感資訊。該標準為開發可靠的帳戶資料安全程序（包括預防、偵測和回應安全事故）提供了一個可行的框架 。為降低漏洞風險及發生威脅時所產生的影響 ，所有儲存、處理或傳輸持卡人資料的實體都必須遵守該標準。下圖列出了一些可以幫助組織實現 PCI DSS合規和完成自我評估的工具 。這些文件以及其他相關文件可以從以下位址找到：www.pcisecuritysta

5、 。PCI DSS目笄押茁瞒和UMPCI資料安全標準：相關文件以下文件旨在協助商戶和服務提供商理解PCI DSS和PCI DSS SAQ文件適用對象PCI資料安全標準： 要求和安全評估程序所有商戶和服務提供商導覽 PCI DSS :理解資料安全要求的目的所有商戶和服務提供商PCI資料安全標準： 自我評估問卷說明和指南所有商戶和服務提供商PCI資料安全標準： 自我評估問卷A和證明符合資格的商戶PCI資料安全標準： 自我評估問卷B和證明符合資格的商戶PCI資料安全標準：自我評估問卷C-VT和證明符合資格的商戶若要確定正確的自我評估問卷，請參閲本文件第12頁選擇最適合您組織的 S

6、AQ和證明部分PCI資料安全標準： 自我評估問卷C和證明符合資格的商戶PCI資料安全標準： 自我評估問卷D和證明符合資格的商戶和服務提供商1PCI資料安全標準與支付應用程式資料安全標準： 術語、縮寫和首字縮寫所有商戶和服務提供商SAQ概要PCI DSS自我評估問卷(SAQ)是一種驗證工具，可以幫助商戶和服務提供商對支付卡行業資料安全標準(PCI DSS)合規性狀況進行自我評估 。PCI DSS SAQ 有多個版本，可以滿足各種不同的情況 。本文件可以 幫助組織確定最適合他們的SAQ。PCI DSS SAQ 作為一種驗證工具，適用於那些不要求根據PCI DSS要求和安全評估程序提交現場資料安全合

7、規性報告(ROC)的商戶和服務提供商，但收單機構或支付品牌所可能要求該報告。請咨詢您的收單機構或支付品牌，瞭解有關PCI DSS驗證要求的詳情。PCI DSS SAQ 由以下部分組成：1. 與PCI DSS要求關聯、適合於服務提供商和商戶的問題：請參閱本文件中 選擇最適合您組織的SAQ和證明。2. 合規證明：該證明可印證您有資格執行並已執行PCI DSS自我評估的自我證書 。遵從PCI DSS的重要性？PCI安全標準協會的成員（American Express 、Discover、JCB、MasterCard 和Visa） 直在監控各種帳戶資料威脅。這些威脅可能會影響各種類型的組織，從很小的商

8、戶及服務提供商至很大的商戶及服務提供商均有涉及。安全性缺口和後續的支付卡資料威脅會對受害組織造深遠的影響，包括：1. 監管通知要求，2. 聲譽損失，3. 客戶流失，4. 潛在的財務責任（例如，法律和其他費用及罰款），以及5. 訴訟。事後威脅分析顯示PCI DSS雖已給出處理一般安全漏洞的對策，但在威脅實際發生時組織並未能執行到位。正因為如此，我們才制定了 PCI DSS和各項詳細的要求，目的是最大程度地降低發生威脅的機率並減 輕發生威脅時所產生的影響。威脅發生後進行的調查不斷揭示岀常見的PCI DSS違規形式，包括但不限於：儲存磁條資料（要求3.2）。需注意的是，衆多受威脅的實體並未意識到其系

9、統正在儲存此類資料。因未正確安裝商戶 POS系統而導致存取控制不足，使惡意之人可以透過 POS供應商路徑侵入（要求 7.1、7.2、8.2 和 8.3）設定系統時未變更預設系統設定和密碼（要求2.1）設定系統時未移除或修復非必要和非安全的服務（要求2.2.2和2.2.4）編碼不良的 Web應用程式會導致 SQL插入和其他漏洞，使得可以直接從網站存取儲存持卡人資料 的資料庫（要求6.5）未進行安全修補及安全修補程式已過期（要求6.1）缺少記錄（要求10）缺少監控（透過記錄審查、入侵偵測/預防、季度漏洞掃描和檔案完整性監控系統 ）（要求10.6、11.2、11.4 和 11.5）網路缺少區段劃分，

10、則網路中其他未根據PCI DSS安全處理部分的漏洞會使持卡人資料環境在不知情情況下遭受威脅（例如，透過員工電子郵件和網路瀏覽引用的非安全無綫存取點和漏洞）（要求1.2、1.3 和 1.4）準備合規驗證的一般技巧與策略以下是您在準備 PCI DSS合規驗證時可以使用的一些一般技巧與策略。這些秘訣可能幫助您消除您不需要的資料，隔離您需要的資料至定義且控制的中央集中區域，並且可能允許您限制PCI DSS合規驗證努力的範圍。例如，透過刪除不需要的資料和/或將這些資料隔離在規定的受控區域內，您可以將那些不再儲存、處理或傳輸持卡人資料的系統與網路從您的自我評估範圍中刪除。1. 敏感驗證資料（包括磁條或晶片

11、上的全部磁軌内容、卡驗證碼和值、PIN和PIN資料塊）：a. 確保您絕對沒有儲存這些資料。b. 如果不能確定，可以諮詢您的POS供應商，詢問您使用的軟體產品和版本是否會儲存此類資料。此外，可以考慮僱用合格安全性評估商協助您決定是否將敏感驗證資料儲存、記錄或擷取到您的系統。2. 如果您是商戶，建議透過以下問題，就您的系統安全性事宜諮詢您的POS供應商：a. 我的POS軟體是否通過了支付應用程式資料安全標準（PA-DSS）驗證？（請參閲PCI SSC的驗證支付應用程式清單。）？b. 我的POS軟體是否儲存磁條資料（磁軌資料）或PIN區塊？儲存這些資料是不允許的，那麼您可以在多長時間內幫我移除這些資

12、料？c. 我的POS軟體是否會儲存主帳戶號碼（PAN） ？此類儲存必須受到保護 ，那麽POS如何保護此類資料？d. 您是否記錄關於應用程式所寫檔案的清單並概要記錄每個檔案的內容，以驗證上述禁止儲存的資料未儲存？e. 您的POS系統是否需要安裝防火牆，以便保護我的系統免遭未授權存取？f. 存取我的系統時是否需要使用複雜且唯一的密碼？您在我的系統以及您支援的其他商戶系統中是否沒有使用常見的或預設的密碼？g. 是否已變更組成 POS系統的系統與資料庫預設設定和密碼？h. 所有非必要和非安全服務是否已從POS系統組成部分的系統和資料庫中移除？i. 您是否會從遠端存取我的POS系統？如果會，您是否已實施

13、了適當的控制，以防止他人存取我的POS系統？例如，使用安全的遠端存取方法、不使用常見的或預設密碼。您多久從遠端評估一次我的POS裝置以及進行評估的原因？誰有權從遠端存取我的POS裝置？j. 是否已利用所有適用的安全更新對組成POS系統的所有系統和資料庫進行修補？k. 是否已為組成POS系統的系統和資料庫開啟了記錄功能？l. 如果我以前的POS軟體版本會儲存磁軌資料，當前對POS軟體的更新是否已移除此項功能？移除這些資料時是否使用了安全擦除公用程式？3. 持卡人資料一如果您不需要，請不要儲存！a. 支付品牌規允許儲存個人帳戶號碼（PAN）、到期日期、持卡人名稱和服務代碼 。b. 記錄您儲存這些資

14、料的所有原因和地點。如果資料未用於有價值的業務用途，須考慮消除資料。c. 考量儲存這些資料及其支援的業務流程是否值得付出以下代價：i. 資料遭洩露的風險。ii. 為保護這些資料必須針對PCI DSS付岀的額外努力。iii. 為始終遵從PCI DSS需付出的持續性維護努力。4. 持卡人資料一如果您需要，請將其合併和隔離。您可以透過在定義環境内合併資料儲存並使用正確的網路區段劃分隔離資料，限制PCI DSS評估範疇。例如，如果您的員工瀏覽網際網路 ，在同一機器或網路區段接收電子郵件作爲持卡人資料，考慮劃分（隔離）持卡人資料到其自有機器或網路區段（例如，透過路由器或防火墻）。如果您能有效隔離持卡人資

15、料，則僅須專注於隔離部分的 PCI DSS合規性，而不必關注所有的機器 。5. 補償性控制當組織無法滿足 PCI DSS要求的技術規範，但已透過替代控制措施大幅降低相關風險時，可以考慮使用補償性控制措施來滿足大部分PCI DSS要求。如果您的公司沒有採用與PCI DSS規定完全相同的控制，但是已制定了符合 PCI DSS 補償性控制定義（請參閱適用的SAQ附錄和PCI DSS與PA-DSS術語、縮寫和首字縮寫文件中對補償性控制的定義，文件位於：a. 對SAQ問題回答是，並在特殊說明欄位中註明為滿足要求而使用的各項補償性控 制。b. 審查適用SAQ附錄B中的補償性控制，並填寫SAQ附錄C的補償性

16、控制工作表，記錄補償性控制的使用狀況。c. 針對各項透過補償性控制獲得滿足的要求，填寫補償性控制工作表。d. 根據收單機構或支付品牌的説明，提交所有完成的補償性控制工作表 以及SAQ及/或證明。6. 專業協助和培訓a. 如果您希望在安全專家的指導下實現合規並填寫SAQ ,我們表示鼓勵。但請注意，雖然您可以自由選擇安全專家，但是只有PCI SSC合格安全評估機構(QSA)清單中的機構才是獲得認可的QSA，並已得到PCI SSC的訓練。該清單可以從以下位址找到：。b. PCI安全標準協會(SSC)提供各種教育資源，旨在強化支付卡

17、行業的安全意識。這些資源包括内部安全性評估商(ISA)的PCI DSS培訓和標準培訓。PCI SSC網站還是其他更多資源的主要來源，包括：註：資訊補充是PCI DSS 的補充材料，可確定有助滿足 PCI DSS要求的額外考慮因素 與建議，但不會變更、消除或 取代PCI DSS要求或其中任何 内容。 導覽PCI DSS文件PCI DSS術語、縮寫和首字縮寫 FAQ (常見問題) 線上研討會*資訊補充與指南 合規性證明請參閲 www.pcise 瞭解更多内容選擇最適合您組織的 SAQ和證明根據支付品牌規則，所有商戶和服務提供商均須嚴格遵守PCI DSS。SA

18、Q類別共有五种，簡要顯示在下表内，而更詳細的描述請參閱後文 。使用該表判斷哪種 SAQ適用於您的組織，然後查閱詳細描述，確保能滿 足該SAQ的所有要求。SAQ描述A不出示實卡（電子商務或郵購/電話訂購）的商戶，所有持卡人資料處理事宜均外包。這永不適用於面對面交易的商戶。B未儲存電子格式持卡人資料的刷卡機商戶或者未儲存電子格式持卡人資料的獨立撥出終 端機商戶C-VT僅使用基於Web的虛擬終端機而不儲存電子格式持卡人資料的商戶C擁有連接到網際網路的支付應用程式系統而不儲存電子格式持卡人資料的商戶D所有其他商戶（不包括在上述SAQ A-C的描述中），以及所有由支付品牌定義為符合完 成SAQ的資格條件

19、的服務提供商。對於選擇您的SAQ類型的圖表 指導，請參閲第17頁哪個 SAQ最適合我的環境？。SAQ A -不出示實卡，外包所有持卡人資料功能SAQ A中提及的要求適用於以下商戶：僅保留包含持卡人資料的書 面報告或收據，而不儲存電子格式的持卡人資料，且不在自己的系 統或經營場所處理或傳輸任何持卡人資料的商戶 。SAQ A商戶不儲存電子格式的持卡人資料，不在自己的系統或經營場所處理或傳輸任何持卡人資料，並且透過填寫SAQ A和相關的合規證明來驗證合規性，同時確認以下內容：您的公司僅接受離卡 （電子商務或郵購/電話訂購）交易；您的公司不在自己的系統和經營場所儲存、處理或傳輸任何持卡人資料，而是完全

20、依賴第三方服務提供商來處理這些事宜 ；您的公司已經確認，負責處理持卡人資料的儲存、處理和/或傳輸事宜的第三方服務提供商符合PCI DSS 規定;您的公司僅保留包含持卡人資料的書面報告或收據，而不會以電子方式接收這些文件；並且您的公司不儲存任何電子格式的持卡人資料。此選項永不適用於在面對面POS交易環境中的商戶。SAQB -僅使用刷卡機或獨立撥出終端機的商戶。不儲存電子格式的持卡人資料SAQ B中提及的要求適用於以下商戶：僅透過刷卡機或獨立撥出終端機處理持卡人資料的商戶關於如何利用圖表指導選擇SAQ類型，請參閲第17頁 哪種SAQ最適合我的環 境？。SAQ B商戶僅透過刷卡機或獨立撥出終端機處理

21、持卡人資料，既可以是實體（實卡）商戶，也可以是電子商務或郵購 /電話訂購（離卡）商 戶。此類商戶必須完成 SAQ B和相關的合規證明，確認以下內容， 以便驗證其合規性：您的公司僅使用刷卡機及 /或獨立撥號終端（透過電話綫連接至 公司處理器）處理客戶支付卡資料；獨立撥號終端沒有連接到您環境中的任何其他系統；獨立撥號終端沒有連接到網際網路；您的公司沒有透過網路（内部網路或網際網絡）傳輸持卡人資料你的公司僅保留包含持卡人資料的書面報告或書面收據複本，而不會以電子方式接收這些文件；並且 您的公司不儲存電子格式的持卡人資料SAQ C-VT -使用基於Web的虛擬終端機且不儲存電子格式持卡人資料的商戶SA

22、Q C-VT中提及的要求適用於以下商戶：僅透過連接至網際網路之個人電腦上的隔離虛擬終端機來處理 持卡人資料的商戶。關於如何利用圖表指導選擇 SAQ類型，請參閲第17頁哪種SAQ最適合我的環 境？。虛擬終端機是一種基於網路瀏覽器的存取方式，針對收單機構、處理機構或第三方服務提供商網站而設，其可授權支付卡交易，並讓商戶透過安全連接的網路瀏覽器手動輸入支付卡資料。不同於實體終端機，虛擬終端機不會直接讀取支付卡資料。由於支付卡交易是手動輸入的，交易量小的商戶環境通常使用虛擬終端機，而不是實體終端機。這些商戶僅透過虛擬終端機處理持卡人資料，但不在任何電腦系統上儲存持卡人資料。這些虛擬終端機連接至網際網路

23、，以存取托管虛擬終端機支付處理功能之第三方。第三方可以是透過儲存、處理及/或傳輸持卡人資料來授權及/或結算商戶虛擬終端機支付交易的收單機構、處理機構或第三方服務提供商。本SAQ問卷僅適用於每次透過鍵盤手動輸入單個交易至基於網際網路的虛擬終端機解決方案的商戶。SAQ C-VT商戶透過與網際網路連接之個人電腦上的虛擬終端機處理持卡人資料，但不在任何電腦系統上儲存持卡人資料；其可以是實體（實卡）商戶，也可以是電子商務或郵購 /電話訂購（離卡）商戶。此類商戶 必須完成SAQ C-VT和相關的合規證明，確認以下內容，以便驗證其合規性：您公司為完成支付處理，僅採用透過網際網路連接式網路瀏覽器進行存取的虛擬

24、終端機；您公司之虛擬終端機解決方案由PCI DSS驗證之第三方服務提供商提供並託管；您公司透過隔離在單獨位置之電腦存取符合PCI DSS的虛擬終端機解決方案，此電腦未連接到您環境中其他位置或系統（這可透過防火墻或網路區段劃分將此電腦與其他系統隔離開）；您公司的電腦未安裝可儲存持卡人資料的軟體（例如，無用於批次處理或儲存與轉寄之軟體）;您公司的電腦未連接任何用於擷取或儲存持卡人資料的硬體裝置（例如，未連接連讀卡機）；您公司未透過任何渠道（例如，透過内部網路或網際網路）以電子方式接收或傳輸持卡人資料 您的公司僅保留書面報告或書面收據複本；並且您的公司不儲存電子格式的持卡人資料。此選項決不適用於電子

25、商務商戶。SAQ C -支付應用程式連接到網際網路且不儲存電子格式持卡人資料的商戶SAQ C中提及的要求適用於以下商戶：透過（例如經由DSL、纜線數據機等）連接到網際網路的支付應用 程式（例如POS系統）處理持卡人資料，但不在任何電腦系統上儲存持卡人資料的商戶，連接的原因可能 是：關於如何利用圖表指導選擇 SAQ類型，請參閲第17頁哪 種SAQ最適合我的環境？。1. 支付應用程式系統位於連接到網際網路的個人電腦上（例如電 子郵件或網路瀏覽），或者2. 爲傳輸持卡人資料而將支付應用程式系統連接到網際網路SAQ C商戶透過連接到網際網路的POS機或其它支付應用程式系統處理持卡人資料，但不在任何電腦

26、系統上儲存持卡人資料 ，可以是實體（實卡）商戶，也可以是電子商務或郵購 /電話訂購（離卡）商戶。此類 商戶必須完成SAQ C和相關的合規證明，確認以下內容，以便驗證其合規性：您的公司在同一設備及 /或區域網路（LAN）上既有支付應用程式系統，又有網際網路或公用網路連 接；支付應用程式/網際網路設備未連接至您環境内任何其它系統（這可透過網路區段劃分實現，將支付應用程式系統/網際網路設備與所有其它系統隔離）;您公司的商店未連接到其他商店的位置；並且任何LAN僅可用於單個商店；您的公司僅保留書面報告或書面收據複本 ；您的公司不儲存電子格式的持卡人資料；並且您公司的支付應用程式供應商使用安全的技術，為

27、您的支付系統提供遠端支援。SAQ D -所有其他商戶，以及所有由支付品牌定義為符合完成 SAQ資格條件的服務 提供商SAQ D適用於所有符合完成SAQ資格條件的服務提供商，以及所有不符合SAQ A-C類型描述但具備 SAQ資格的商戶。SAQ D服務提供商和商戶必須完成SAQ D和相關的合規證明，確認以下內容，以便驗證其合規性。雖然許多完成 SAQ D的組織需要驗證是否符合各項PCI DSS要求的規定，但是對於一些業務模式非常特殊的組織來說，某些要求可能不適用。例如，如果某公司在任何情況下均不會使用無線技術，則對於，瞭解有關無線技PCI DSS中針對無線技術管理的部分，該公司不需要驗證其合規性。請參閱下述指南 術及某些其他特定要求排除事項的資訊。關於某些特定要求不適用性的指南排除事項：如果您需要回答 SAQ C或D以驗證您的PCI DSS合規狀態，則可能需要考量以下例外事項。請參閱下方的不適用性，瞭解相應的SAQ回應。要求123、2.1.1和4.1.1 (SAQ C 和D):僅當您的網路中存在無線系統時 ，才需要回答針對無線的 問題。請注意，要求11.1 (使用程序識別未經授權的無綫存取點 )仍必須作答，即使您的環境中沒有 無綫系統，其原因在於程序可偵測到在您不知情時新增的任何惡意或未經授權的設