使用PCI DSS評估程序檢視信用卡收單系統資料安全之研究-以某銀行為例

Abstract

新版個人資料保護法頒布後，銀行必須證明已善盡保護客戶資料的責任。否則一旦發生資料外洩事件，不但要面臨龐大的賠償金額，還要賠上銀行商譽。為確保銀行對信用卡持卡人資料已採取必要的保護措施，銀行必須符合PCI 規範。如果銀行的營業地點發生資料外洩情事，而銀行當下沒有符合PCI 規範，信用卡國際組織將對銀行處以罰款，同時銀行必須對因資料外洩所造成的詐欺交易負責。然而，如果銀行符合PCI 規範，就可以降低罰款並且有機會不須要為詐欺交易負責。 如何才能證明符合PCI規範?最快的方式就是通過支付卡行業資料安全標準審查(Payment Card Industry Data Security Standard；以下簡稱PCI DSS)，本研究針對筆者所任職的部門，使用PCI DSS 12項要求進行自我檢視，找尋出不符合安全測試程序的項目後，藉由改善網路架構或是自行開發程式來解決問題。最後得以通過PCI DSS審查。