作者:Maurício Okuyama,Kryptus 售前经理
PCI(源自英语, 支付卡行业) 或 PCI SSC (PCI安全标准委员会) 是一个全球性组织,汇集了支付行业的利益相关者,旨在为支付行业制定和促进高标准和信息安全资源的采用。为了确保这种采用的一致性,PCI 维护着一系列标准和要求,包括 PCI PIN 安全,这些内容会定期审查和更新,涵盖行业中最多样化的部分:支付服务提供商、软件解决方案提供商、硬件解决方案提供商等。
例如,所有以某种方式在“经典品牌”(美国运通、Discover、万事达卡、Visa)通过卡支付的服务或技术资源供应链中运营的公司都遵循某些特定的 PCI 标准。对于通过卡“机器”处理付款的公司、对于数据中心或托管支付软件或 API 的公司,甚至对于制造该领域使用的加密硬件的公司都有要求。
为什么 PCI 很重要?
卡品牌有自己的技术和运营要求,需要由为支付行业提供产品和服务的实体来实施。在某些方面,涉及安全区域或其他区域,一个旗帜的要求和要求与另一个旗帜的要求和要求不同。因此,想要通过其产品组合覆盖所有品牌的产品和/或服务提供商需要一套明确的要求,如果得到适当满足,将允许提供商覆盖每个卡品牌的共同点和特性。
考虑到品牌的需求、利益和要求,PCI 充当品牌与支付行业其他利益相关者之间的中介,为该行业的产品和服务提供商建立共同的标准基础。因此,通过联合支付行业最多样化的利益相关者并维护和发展安全标准,PCI 为该行业的可持续和全球发展做出了贡献。
最终, 受益的是消费者和社会最终,他们将受益于一个通用、可靠且通过与安全要求相关的技术发展而日益便捷的支付系统。
PCI 标准对支付市场和最终用户有哪些好处?
PCI 支持使用一套通用的安全标准和要求,供支付领域的最多样化利益相关者遵循。如果没有这个统一的基础,我们可能就无法享受在世界任何地方或任何购物网站上使用银行卡付款的便利。因此,PCI 活动对于市场和最终用户来说至关重要,最终用户将受益于通用、可靠且通过与安全要求相关的技术发展而日益便捷的支付系统。
关于 PCI 引脚安全
O PCI PIN 安全 是 PCI 标准之一,所有在 ATM 和销售点 (PoS) 终端处理在线和离线支付卡交易期间管理、处理和传输个人识别码 (PIN) 数据的公司都必须采用该标准。
PCI PIN 安全标准规定的要求规定,持卡人输入的所有 PIN 必须在符合安全加密设备 (SCD) 要求的设备上进行处理,例如 HSM(硬件安全模块)。 PIN 码绝不应该在加密模块之外以“明文”形式暴露。
FIPS 140-2 认证和 PCI
联邦信息处理标准 (FIPS) 出版物 140-2 是定义加密安全模块最低安全要求的标准。拥有FIPS 140-2认证意味着您的设备已经通过美国国家标准与技术研究院(NIST)和加拿大网络安全中心(CCCS)的验证。简而言之,该标准确保产品采用强大的安全措施,例如物理和逻辑保护方法,以及四个 FIPS 140-2 安全级别之一批准的加密机制。
对于金融机构来说,遵守 PCI PIN 安全 并确保认证,用于存储支付交易加密密钥的 HSM(硬件安全模块)或加密安全模块必须满足 FIPS 140-2 3 级认证的要求。两个通过实施 Kryptus HSM(已获得 FIPS 140-2 3 级认证)获得 PCI PIN 安全认证的公司示例如下: 靠近南澳州 Ø 第七组。两者都需要符合 PCI 标准并确保金融交易背后的安全基础设施的稳健性。
