TD商戶服務方案數據安全

確保您的持卡人數據安全性，幫助防止盜竊

與行業標準保持同步

什麼是支付卡行業數據安全標準 (PCI DSS)？
12個原則
要求
為何保護數據安全
如此重要
保護您的
數據的提示
針對商戶

支付卡行業數據安全標準（PCI DSS）

透過評估您企業內部數據的安全性以及在必要時提升安全級別以達到或超過行業標準，支付卡行業數據安全標準能夠幫助您防止消費者的機密持卡人數據被盜取。

我們在下文中提供了要點，以幫助您了解數據安全的相關事宜，同時教導您如何維護持卡人數據安全。

堅持標準

支付卡行業數據安全標準要求收集、處理、傳輸或儲存持卡人數據的任何組織維護全球支付行業所制定並由支付卡行業安全標準委員會 (PCI SSC) 管理的數據安全標準。

處理持卡人數據的所有商戶都必須遵守支付卡行業數據安全標準及支付卡網絡合規計劃。不合規的商戶須接受罰款、繳納費用或接受評估和/或終止支付處理服務。

Visa合規計劃

Visa Canada支付應用程序合規計劃以時間表的形式明確要求收單機構必須確保其使用付款應用軟件處理交易的商戶（現有及新商戶）僅使用已獲支付卡行業數據安全標準認證的軟件。

詳細了解Visa Canada支付應用程序合規計劃

支付卡行業數據安全標準12項原則

支付卡行業數據安全標準涉及很多方面，對安全管理、政策、流程、網絡架構、軟體設計和其他關鍵性保護措施作出了規定。這套全面性的標準旨在幫助企業保護消費者的持卡人數據。

以下是支付卡行業數據安全標準的12項原則。

構建並維護安全網絡

安裝和維護用於保護持卡人數據的防火牆
不使用供應商提供的預設值系統密碼或其他安全參數

保護持卡人數據

保護儲存的持卡人數據
在公開的公共網絡傳輸持卡人數據時進行加密

維護漏洞管理計劃

使用並定期更新防毒軟體
開發及維護安全系統和應用程式

執行嚴格的瀏覽控制措施

除在業務需要情況下，限制存取持卡人數據
向擁有電腦使用權限的每個人提供唯一的ID
限制於實體環境存取持卡人數據

定期監測網絡

追蹤並監督所有存取網絡資源及持卡人數據的情況
定期測試安全系統和程序

制定資訊安全政策

維持保護資訊安全的政策

如需了解有關支付卡行業數據安全標準的更多資訊並查看相關文檔，請瀏覽支付卡行業數據安全標準委員會網站。

瀏覽網站

保護數據安全為何重要

消費者使用信用卡和扣賬卡的次數越頻繁，就會有越多的持卡人賬戶數據需要被處理甚至存檔。

因此，如果相關企業不採取必要措施主動地以安全方式收集和儲存持卡人數據，則該類數據被盜用的風險就越高。支付卡行業數據安全標準計劃為該類企業提供了可遵循的統一標準，以保障所收集和儲存的消費者持卡人數據的安全。

保護持卡人數據對您的企業有以下幾大好處。

1. 建立消費者信任

許多消費者並不只在他們認為值得信賴的商戶購物一次，他們日後還可能再次光顧並向其他人推薦這些商戶。Visa曾於2006年贊助了一項橫跨12個國家的調查。該調查發現，個人及財務資料安全是消費者首要考慮的因素。這些消費者還表示，商戶採取的數據安全措施會影響他們在商戶購買產品與服務的決定。

遵守行業標準能表達您對保護消費者機密付款資料的重視。這項資訊安全對建立並維持消費者信任非常重要。

2. 增强安全性

支付卡行業數據安全標準的主要目標是在於支付系統的所有環節保護機密數據。遵守支付卡行業數據安全標準能增強數據安全意識，幫助您加強安保措施，盡量降低數據失竊的風險

3. 避免不必要的支出

實行嚴格的數據安全政策有助您預防數據失竊問題，進而避免企業聲譽和盈利受損。

如果因安全措施不力導致數據洩漏，您的企業或許會遭受重大司法審查、訴訟、罰款，整體營運也會受到嚴重影響。

實施有效的數據安全標準，您就可以避免這些支出，同時維護企業的良好聲譽。

4. 維護正面形象

有鑑於時下公眾對個人數據安全問題越來越關注，遵守支付卡行業數據安全標準對於保護您的企業在消費者及媒體眼中的形象大有助益。

5. 獲得競爭優勢

嚴格的數據安全政策有助您建立誠信可靠的聲譽。如果顧客相信把機密賬戶資料交給您是安全無虞的，他們就會經常惠顧，進而增加您的盈利，為您帶來競爭優勢。

保護您的客戶數據免遭黑客攻擊

遵照這些實用的安全提示以保護您的持卡人資料以及您的業務：

存放
盡量少儲存持卡人資料，絕不儲存信用卡或扣賬卡磁條所含資料。
賬戶
當不再需要賬戶資料時，安全地銷毀資料。絕不儲存CVV、CVV2或個人密碼。
網絡
確保您的支付卡收款環境與互聯網等公共網絡適當隔離，並定期對您公司的安全系統進行檢測。

密碼
更改軟體開發商最初提供的系統密碼及安全碼。
加密
對儲存在處理機構電腦中的所有支付卡資料以及通過互聯網或其他公共網絡傳輸的任何支付卡數據進行加密。
存取權限
僅在有必要知道的情況下向員工提供客戶數據的瀏覽權限，並確保其獲得唯一的ID。您還應制定資訊安全政策，詳細說明負責處理客戶數據的僱員須遵守的規定。

使合規性成為您業務的首要事務

軟件
請檢查軟件及更新偏好設定（特別是殺毒軟件和操作系統），確保賬戶資料不會在您不知情的情況下被儲存。檢查軟體是否符合付款應用程式數據安全標準。

合規性
根據支付卡行業數據安全標準委員會網站上的支付卡行業要求進行安全評估，包括擁有持卡人數據瀏覽權限的所有第三方供應商。

遵守支付卡行業數據安全標準

所有儲存、處理或傳輸持卡人數據的商戶均須遵守支付卡行業數據安全標準，並透過適當的途徑獲得合規認證。

以下說明了Visa Canada所確定的商戶級別以及各級別的認證規定。

商戶級別和認證規定

以下說明了Visa Canada所確定的商戶級別以及各級別的認證規定。


	說明	認證規定	認證機構
商戶級別1	每年處理逾6,000,000筆Visa交易的商戶	每年進行一次支付卡行業數據安全現場評估每年完成一次支付卡行業自我評估問卷每季進行網絡掃描	合格安全評估機構(QSA) 授權掃描服務商(ASV)
商戶級別2	每年處理逾1,000,000筆Visa交易的商戶	每年完成一次支付卡行業自我評估問卷每季進行網絡掃描	合格安全評估機構(QSA) 授權掃描服務商(ASV)
商戶級別3	每年處理20,000至1,000,000筆Visa電子商務交易的商戶	每年完成一次支付卡行業自我評估問卷每季進行網絡掃描	授權掃描服務商(ASV)
商戶級別4	每年處理的Visa電子商務交易量低於20,000件的任何商戶和每年處理的Visa交易量不超過1,000,000件的所有其他商戶。	每年完成一次支付卡行業自我評估問卷每季進行網絡掃描	為了幫助您滿足支付卡行業數據安全標準要求，支付卡行業安全標準委員會針對小商戶提供多種資源。如需了解更多資訊，請瀏覽支付卡行業安全標準委員會網站。

確保您的資料安全，並確保您符合PCI標準

查看評估機構

服務供應商合規性

服務供應商指代表商戶或其他服務供應商儲存、處理或傳輸持卡人數據的組織。所有服務供應商均須遵守支付卡行業數據安全標準（PCI DSS），包括聘請合格安全評估機構(QSA)對其遵守支付卡行業數據安全標準的情況進行認證。

有關服務供應商須達到的合規要求詳情以及已獲得支付卡行業數據安全標準合規認證的服務供應商的列表，請瀏覽：

Visa服務供應商合規要求

Visa認證服務供應商清單

支付應用程序數據安全標準

支付應用程序數據安全標準（PA-DSS）由支付卡行業安全標準委員會管理，旨在幫助軟件供應商開發支援支付卡行業數據安全標準的安全的第三方支付應用程序。

向第三方出售、分發任何支付應用程序或授予許可均須遵守支付應用程序數據安全標準的規定。儘管非針對第三方的應用程序不受支付應用程序數據安全標準的約束，但仍須依照支付卡行業數據安全標準確保其安全性。

最後，支付應用程序數據安全標準不適用於獨立的銷售點終端機、數據庫軟件和網絡服務器軟件。

如需了解有關支付應用程序數據安全標準的詳情，包括合規的支付應用程序清單，請瀏覽支付卡行業安全標準委員會網站。