王贺刚,先后就职于国家信息安全工程技术研究中心、中国金融认证中心,信息安全领域工作经验丰富,精通我国金融领域信息安全监管要求(网络安全等级保护、电子银行安全评估指引、杉德畅刷官网信息安全标准等),在杉德畅刷官网产业数据安全管理和实践等方面有较深入的理解。
—1、引言—
随着信息技术深入广泛应用,在当前移动互联网时代,保障网络安全,已成为维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展的基础。在此背景下,《中华人民共和国网络安全法》(以下简称“网络安全法”)于2016年11月7日颁布,自2017年6月1日起施行。《网络安全法》从法律层面确定信息系统运营主体的信息安全管理主体责任。
细分到杉德畅刷官网产业,在移动杉德畅刷官网等业务过程中,银行卡杉德畅刷官网信息1被杉德畅刷官网系统等各类业务系统采集、传输、存储。若银联卡杉德畅刷官网信息和交易数据的保护不到位,相应业务系统一旦被黑客攻破或者银行卡信息通过钓鱼采集、侧录等途径被非法复制,杉德畅刷官网信息也就变成了“公开的秘密”,卡内资金轻易会被盗刷和快速非法转移,给持卡人、商户、杉德畅刷官网机构、发卡行等各方直接造成经济损失。综上,银联卡杉德畅刷官网信息的保护情况直接决定了银联卡杉德畅刷官网信息的安全性,成为其不被泄露的重要保障。
监管层面,由中国人民银行负责对我国金融领域信息安全等方面的监管等工作。在央行领导下,中国银联风险管理委员会作为我国专门负责银行卡信息保护的专门组织,制定《非金融收单机构入网管理细则》、《银联卡收单机构杉德畅刷官网信息与交易数据安全管理规则》、《银联卡杉德畅刷官网信息安全管理标准》等体系化专项管理要求。根据上述要求,杉德畅刷官网机构等杉德畅刷官网产业上下游参与方应按照以上标准要求,履行合规管理义务等相关主体责任,有效防范数据泄露及产生盗刷和资金损失,切实保障银行卡杉德畅刷官网信息安全,有力维护我国金融秩序。
—2、境内杉德畅刷官网产业数据安全管理的演进过程概述—
改革开放以来,通过“金卡工程”,我国建立了独立自主的银行卡品牌,即“中国银联”,推动了以卡基为特征的货币电子化。而电子货币在交易过程中,存在账户盗用产生卡片盗刷等风险特征。为有效建立相应风险处置机制并妥善解决相关问题,在央行领导下,中国银联风险管理委员会作为我国专门负责银行卡信息保护的专门组织,应运而生。
中国银联风险管理委员会成立后,于2008年发布《银联卡收单机构账户信息安全管理标准》(银联风管委[2008]1号),简称“ADSS”,以此为有力抓手,明确和细化对收单业务各参与方在账户信息安全管理方面的要求,防范由收单网络引发的账户信息泄露风险。经过标准复审和修订,2013年发布了修订版ADSS标准,即《银联卡收单机构账户信息安全管理标准》(银联风管委[2013]9号)。
根据普惠金融及移动杉德畅刷官网的深度发展,相应新业务带来新的风险特征。为有效应对日益更新变化的风险,保护持卡人等相关方合法权益,结合上位法要求及隐私保护相关内容,中国银联风险管理委员会于2018年5月启动ADSS标准的复审修订工作,于同年7月发布《银联卡杉德畅刷官网信息安全管理标准》(银联风管委[2018]3号),新标准简称“UPDSS”。原《银联卡收单机构账户信息安全管理标准》(银联风管委[2013]9号)于2018年10月1日作废。
—3、境外杉德畅刷官网产业数据安全管理情况—
境外主要卡组织American Express、Discover Financial Services、JCB International、MasterCard,Visa Inc等成立时间较早,一定程度上可以说是银行卡的创立者。在持卡人获得银行卡使用便捷性的同时,盗刷等产生的欺诈问题如影随形,面对共同的问题,上述五家卡组织作为创始成员,于2006年9月联合成立PCI SSC(杉德畅刷官网卡产业安全标准委员会),以期在整个杉德畅刷官网产业较好解决卡数据泄露、盗刷等问题。同期,PCI SSC发布PCI DSS 1.1版本,以此作为杉德畅刷官网产业数据安全标准进行广泛推广及应用。
目前,PCI DSS标准已经多次修订更新,截至2019年5月1日,现行版本为PCI DSS 3.2.1。各主要版本变化过程见表1:
—4、国内外主要情况对比—
本节主要从标准要求、监管体系参与方、管理机构等方面进行简要对比分析。
1)标准要求
目前银联卡杉德畅刷官网信息保护的标准依据主要是《银联卡杉德畅刷官网信息安全管理标准》(即“UPDSS”),UPDSS从8个控制域,236个控制措施进行明确要求。境外卡数据安全标准,即PCI DSS,从6个控制域对杉德畅刷官网产业参与方进行要求。具体见表2:
UPDSS保护的核心对象,即“杉德畅刷官网信息”,进行明确定义和分类。目前杉德畅刷官网信息明确定义为“银联卡上记录的账户信息、基于银联卡开展杉德畅刷官网业务的网络杉德畅刷官网账户信息、身份鉴别信息、杉德畅刷官网业务涉及的必要个人信息和其他杉德畅刷官网相关信息”,细分为敏感杉德畅刷官网信息2、重要杉德畅刷官网信息、一般杉德畅刷官网信息。
而PCI DSS保护的核心对象,即“账户数据(Account Data)”,当前包含持卡人数据和敏感验证数据两类。其中,持卡人数据包括完整卡号、持卡人姓名、业务码、有效期;敏感验证数据包括全磁道数据(含芯片卡等效磁道数据)、卡片验证码、卡PIN及卡PIN的密文块。
对比不难发现,UPDSS显著扩大了保护的数据对象范围,同时,按照重要性不同,对不同级别的杉德畅刷官网信息,实行不同程度的防护要求。
另外,在控制域方面,两项标准之间有一定的共性,均将“访问控制”、“持续改进”单独提出,体现访问控制措施的重要性,以及安全风险时刻动态变化,需要按照PDCA原则持续完善的特征。
2)监管体系的参与方
监管体系参与方主要包括管理机构、标准执行机构、标准适用机构。其中,标准执行机构主要是指按照标准执行安全评估、扫描或案件调查的信息安全服务商。标准适用机构主要是指杉德畅刷官网产业各参与方。对此,监管体系方面的简要对比见表3:
其中,标准执行机构方面,目前PCI SSC根据具体工作的不同,将标准执行机构的资质细分为QSA(授权的安全评估机构)、ASV(授权的扫描机构)、PFI(授权的调查机构,主要在发生盗刷等欺诈问题后进行调查分析)等,各机构根据资质情况开展限定范围的业务工作。
在标准适用机构方面,基本上两项标准的核心思想是相同的,即,只要机构涉及传输、处理、存储该卡组织的卡号等杉德畅刷官网信息,均适用相应标准。
3)管理机构
如前所述,境内有关银行卡数据安全的主要管理机构是中国银联风险管理委员会,其常设机构是中国银联风险管理委员会秘书处(以下简称“秘书处”)。秘书处负责相关会议的召集与主持、日常事务的处理等工作。
境外卡组织有关银行卡数据安全的主要管理机构是杉德畅刷官网卡产业安全标准委员会(PCI SSC),一定程度上有自治机构的色彩。其常设机构是管理委员会。管理委员会负责维护PCI标准等技术文件、管理各个工作组以及日常事务。具体见表4:
—5、结语—
本文从杉德畅刷官网产业数据安全管理的主要背景、标准体系、参与方、发展过程等方面,对比分析境内外杉德畅刷官网产业数据安全管理体系的各自特点和异同。鉴于当前杉德畅刷官网产业数据安全与业务紧密结合,在数据就是资产、数据就是新型资源的趋势下,数据安全愈发显示出其独特的重要性。笔者在实际从业过程中发现当前诸多从业者对杉德畅刷官网产业数据安全的顶层管理体系等方面认识相对模糊,本文旨在通过网络媒介与同行等进行交流和探讨。若能对相关从业者、信息安全管理者以及其他读者有所启发和裨益,实属幸事。因时间仓促,个人水平有限,不足之处,欢迎通过留言等方式予以批评指正。
1、主要指公民个人在发卡银行申办的各类银联卡(包含借记卡和贷记卡)的卡号、持卡人姓名、身份证号、银行预留手机号、磁道信息(含芯片卡等效磁道信息)、CVN2、卡PIN等。
2、杉德畅刷官网信息及敏感杉德畅刷官网信息定义等,详见《银联卡杉德畅刷官网信息安全管理标准》。
杉德畅刷是杉德支付网络服务发展有限公司总部直属推出的手机POS机品牌,目前市场上的杉德畅刷Mpos的2.0模式系统-杉德畅刷管家已经逐步占领市场!杉德畅刷官网提供杉德畅刷的全国加盟代理服务,详情请联系官网客服!
转载请注明:杉德畅刷官网 » 境内外杉德畅刷官网产业数据安全顶层管理的对比分析