- A+
原文标题:境内外支付产业数据安全顶层管理的分析与对比,作者:77POS机网,来源于77pos机网,于2019年5月29日09:29:56发布,共 2813 字,预计阅读时间为3分钟。77pos机网拥有众多优质文章,如果想要浏览更多相关文章,请使用网站顶部的搜索功能进行搜索。
王贺刚,先后就职于国家信息安全工程技术研究中心、中国金融认证中心,信息安全领域工作经验丰富,精通我国金融领域信息安全监管要求(网络安全等级保护、电子银行安全评估指引、支付信息安全标准等),在支付产业数据安全管理和实践等领域有较深入的理解。
—1、引言—
随着信息技术深层次广泛应用,在当今移动互联网时代,确保网络安全,已变成保护网络空间主权和国家安全、社会公共利益,维护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展的基础。在此背景下,《中华人民共和国网络安全法》(以下简称“网络安全法”)于2016年11月7日颁布,自2017年6月1日起施行。《网络安全法》从法律法规层面确定信息系统运营主体的信息安全管理主体责任。
细分化到支付产业,在移动支付等业务全过程中,银行卡支付信息被三方支付平台等各类业务系统采集、传输、存储。若银联卡支付信息和交易数据的保护不到位,相应业务系统一旦被黑客攻破或者银行卡信息通过钓鱼采集、侧录等途径被非法复制,支付信息也就变成了“公开的秘密”,卡内资金轻易会被盗刷和快速非法转移,给持卡人、商户、支付机构、发卡行等各方直接造成经济损失。综上,银联卡支付信息的保护情况直接决定了银联卡支付信息的安全性,成为其不被泄露的重要保障。
监管层面,由中国人民银行负责对我国金融领域信息安全等方面的监管等工作。在央行领导下,中国银联风险管理委员会作为我国专门负责银行卡信息保护的专门组织,制定《非金融收单机构入网管理细则》、《银联卡收单机构支付信息与交易数据安全管理规则》、《银联卡支付信息安全管理标准》等体系化专项管理要求。根据上述要求,支付机构等支付产业上下游参与方应按照以上标准要求,履行合规管理义务等相关主体责任,有效防范数据泄露及产生盗刷和资金损失,切实保障银行卡支付信息安全,有力维护我国金融秩序。
—2、境内支付产业数据安全管理的演进过程概述—
改革开放以来,通过“金卡工程”,我国建立了独立自主的银行卡品牌,即“中国银联”,推动了以卡基为特征的货币电子化。而电子货币在交易过程中,存在账户盗用产生卡片盗刷等风险特征。为有效建立相应风险处置机制并妥善解决相关问题,在央行领导下,中国银联风险管理委员会作为我国专门负责银行卡信息保护的专门组织,应运而生。
中国银联风险管理委员会成立后,在2008年发布《银联卡收单机构账户信息安全管理标准》(银联风管委[2008]1号),简称“ADSS”,以此为有力抓手,明确和细化对收单业务各参与方在账户信息安全管理方面的要求,防范由收单网络引发的账户信息泄露风险。经过标准复审和修订,2013年发布了修订版ADSS标准,即《银联卡收单机构账户信息安全管理标准》(银联风管委[2013]9号)。
根据普惠金融及移动支付的深度发展,相应新业务带来新的风险特征。为有效应对日益更新变化的风险,保护持卡人等相关方合法权益,结合上位法要求及隐私保护相关内容,中国银联风险管理委员会于2018年5月启动ADSS标准的复审修订工作,于同年7月发布《银联卡支付信息安全管理标准》(银联风管委[2018]3号),新标准简称“UPDSS”。原《银联卡收单机构账户信息安全管理标准》(银联风管委[2013]9号)于2018年10月1日作废。
—3、境外支付产业数据安全管理情况—
境外主要卡组织American Express、Discover Financial Services、JCB International、MasterCard,Visa Inc等成立时间较早,一定程度上可以说是银行卡的创立者。在持卡人获得银行卡使用便捷性的同时,盗刷等产生的欺诈问题如影随形,面对共同的问题,上述五家卡组织作为创始成员,于2006年9月联合成立PCI SSC(支付卡产业安全标准委员会),以期在整个支付产业较好解决卡数据泄露、盗刷等问题。同期,PCI SSC发布PCI DSS 1.1版本,以此作为支付产业数据安全标准进行广泛推广及应用。
—4、国内外主要情况对比—
本节主要从标准要求、监管体系参与方、管理机构等方面进行简要对比分析。
1)标准要求
目前银联卡支付信息保护的标准依据主要是《银联卡支付信息安全管理标准》(即“UPDSS”),UPDSS从8个控制域,236个控制措施进行明确要求。境外卡数据安全标准,即PCI DSS,从6个控制域对支付产业参与方进行要求。
UPDSS保护的核心对象,即“支付信息”,进行明确定义和分类。目前支付信息明确定义为“银联卡上记录的账户信息、基于银联卡开展支付业务的网络支付账户信息、身份鉴别信息、支付业务涉及的必要个人信息和其他支付相关信息”,细分为敏感支付信息、重要支付信息、一般支付信息。
而PCI DSS保护的核心对象,即“账户数据(Account Data)”,当前包含持卡人数据和敏感验证数据两类。其中,持卡人数据包括完整卡号、持卡人姓名、业务码、有效期;敏感验证数据包括全磁道数据(含芯片卡等效磁道数据)、卡片验证码、卡PIN及卡PIN的密文块。
对比发现,UPDSS显著扩大了保护的数据对象范围,同时,按照重要性不同,对不同级别的支付信息,实行不同程度的防护要求。
2)监管体系的参与方
监管体系参与方主要包括管理机构、标准执行机构、标准适用机构。其中,标准执行机构主要是指按照标准执行安全评估、扫描或案件调查的信息安全服务商。标准适用机构主要是指支付产业各参与方。
其中,标准执行机构方面,目前PCI SSC根据具体工作的不同,将标准执行机构的资质细分为QSA(授权的安全评估机构)、ASV(授权的扫描机构)、PFI(授权的调查机构,主要在发生盗刷等欺诈问题后进行调查分析)等,各机构根据资质情况开展限定范围的业务工作。
3)管理机构
如前所述,境内有关银行卡数据安全的主要管理机构是中国银联风险管理委员会,其常设机构是中国银联风险管理委员会秘书处(以下简称“秘书处”)。秘书处负责相关会议的召集与主持、日常事务的处理等工作。
境外卡组织有关银行卡数据安全的主要管理机构是支付卡产业安全标准委员会(PCI SSC),一定程度上有自治机构的色彩。其常设机构是管理委员会。管理委员会负责维护PCI标准等技术文件、管理各个工作组以及日常事务。
—5、结语—
本文从支付产业数据安全管理的主要背景、标准体系、参与方、发展过程等方面,对比分析境内外支付产业数据安全管理体系的各自特点和异同。鉴于当前支付产业数据安全与业务紧密结合,在数据就是资产、数据就是新型资源的趋势下,数据安全愈发显示出其独特的重要性。笔者在实际从业过程中发现当前诸多从业者对支付产业数据安全的顶层管理体系等方面认识相对模糊,本文旨在通过网络媒介与同行等进行交流和探讨。若能对相关从业者、信息安全管理者以及其他读者有所启发和裨益,实属幸事。因时间仓促,个人水平有限,不足之处,欢迎通过留言等方式予以批评指正。
以上便是77pos机网给大家分享的关于境内外支付产业数据安全顶层管理的分析与对比http://www.77pos.cn/sdjd/1062.html的相关信息了,希望能帮助到各位卡友,更多pos机使用问题和相关资讯,请关注77pos机网。
%的用户还浏览了这些文章:
