王贺刚,先后就职于国家信息安全工程技术研究中心、中国金融认证中心,信息安全领域工作经验丰富,精通我国金融领域信息安全监管要求(网络安全等级保护、电子银行安全评估指引、支付信息安全标准等),在支付产业数据安全管理和实践等方面有较深入的理解。

1 引言

随着信息技术深入广泛应用,在当前移动互联网时代,保障网络安全,已成为维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展的基础。在此背景下,《中华人民共和国网络安全法》(以下简称“网络安全法”)于2016年11月7日颁布,自2017年6月1日起施行。《网络安全法》从法律层面确定信息系统运营主体的信息安全管理主体责任。

细分到支付产业,在移动支付等业务过程中,银行卡支付信息1被支付系统等各类业务系统采集、传输、存储。若银联卡支付信息和交易数据的保护不到位,相应业务系统一旦被黑客攻破或者银行卡信息通过钓鱼采集、侧录等途径被非法复制,支付信息也就变成了“公开的秘密”,卡内资金轻易会被盗刷和快速非法转移,给持卡人、商户、支付机构、发卡行等各方直接造成经济损失。综上,银联卡支付信息的保护情况直接决定了银联卡支付信息的安全性,成为其不被泄露的重要保障。监管层面,由中国人民银行负责对我国金融领域信息安全等方面的监管等工作。在央行领导下,中国银联风险管理委员会作为我国专门负责银行卡信息保护的专门组织,制定《非金融收单机构入网管理细则》、《银联卡收单机构支付信息与交易数据安全管理规则》、《银联卡支付信息安全管理标准》等体系化专项管理要求。根据上述要求,支付机构等支付产业上下游参与方应按照以上标准要求,履行合规管理义务等相关主体责任,有效防范数据泄露及产生盗刷和资金损失,切实保障银行卡支付信息安全,有力维护我国金融秩序。

2 境内支付产业数据安全管理的演进过程概述

改革开放以来,通过“金卡工程”,我国建立了独立自主的银行卡品牌,即“中国银联”,推动了以卡基为特征的货币电子化。而电子货币在交易过程中,存在账户盗用产生卡片盗刷等风险特征。为有效建立相应风险处置机制并妥善解决相关问题,在央行领导下,中国银联风险管理委员会作为我国专门负责银行卡信息保护的专门组织,应运而生。中国银联风险管理委员会成立后,于2008年发布《银联卡收单机构账户信息安全管理标准》(银联风管委[2008]1号),简称“ADSS”,以此为有力抓手,明确和细化对收单业务各参与方在账户信息安全管理方面的要求,防范由收单网络引发的账户信息泄露风险。经过标准复审和修订,2013年发布了修订版ADSS标准,即《银联卡收单机构账户信息安全管理标准》(银联风管委[2013]9号)。根据普惠金融及移动支付的深度发展,相应新业务带来新的风险特征。为有效应对日益更新变化的风险,保护持卡人等相关方合法权益,结合上位法要求及隐私保护相关内容,中国银联风险管理委员会于2018年5月启动ADSS标准的复审修订工作,于同年7月发布《银联卡支付信息安全管理标准》(银联风管委[2018]3号),新标准简称“UPDSS”。原《银联卡收单机构账户信息安全管理标准》(银联风管委[2013]9号)于2018年10月1日作废。

3 境外支付产业数据安全管理情况

境外主要卡组织American Express、Discover Financial Services、JCB International、MasterCard,Visa Inc等成立时间较早,一定程度上可以说是银行卡的创立者。在持卡人获得银行卡使用便捷性的同时,盗刷等产生的欺诈问题如影随形,面对共同的问题,上述五家卡组织作为创始成员,于2006年9月联合成立PCI SSC(支付卡产业安全标准委员会),以期在整个支付产业较好解决卡数据泄露、盗刷等问题。同期,PCI SSC发布PCI DSS 1.1版本,以此作为支付产业数据安全标准进行广泛推广及应用。目前,PCI DSS标准已经多次修订更新,截至2019年5月1日,现行版本为PCI DSS 3.2.1。各主要版本变化过程见表1:表1 PCI DSS标准各主要版本变化情况一览表

日期

版本

描述

2006年9月

1.1

PCI SSC成立公告之时,一并发布此版本的标准

2008年10月

1.2

将 PCI DSS 1.2 版改称“PCI DSS 要求和安全评估程序”,以避免文档之间的重复,并对 PCI DSS 安全审核程序 1.1 版做了综合和具体变更

2009年7月

1.2.1

在PCI DSS 1.1升级至PCI DSS 1.2过程中,误删除的语句重新予以增补;在“补偿性控制工作表-完整示例”中,修正页面顶部的用语

2010年10月

2.0

更新并实施 1.2.1 版的变更

2013年11月

3.0

从 PCI DSS 2.0 版更新

2015年4月

3.1

从 PCI DSS 3.0 版更新

2016年4月

3.2

从 PCI DSS 3.1 版更新

2018年5月

3.2.1

从 PCI DSS 3.2 版更新

4 国内外主要情况对比

本节主要从标准要求、监管体系参与方、管理机构等方面进行简要对比分析。

1)标准要求

目前银联卡支付信息保护的标准依据主要是《银联卡支付信息安全管理标准》(即“UPDSS”),UPDSS从8个控制域,236个控制措施进行明确要求。境外卡数据安全标准,即PCI DSS,从6个控制域对支付产业参与方进行要求。具体见表2:表2 两项标准要求对比

类目

境内

境外

标准名称

银联卡支付信息安全管理标准(UPDSS)

PCI DSS

标准保护的核心对象

支付信息

账户数据(Account Data)

标准主要内容

  • 基本要求

  • 安全管理策略

  • 组织管理

  • 访问控制

  • 支付信息生命周期安全

  • 业务设施安全

  • 受理终端及支付应用软件安全

  • 持续改进

  • 建立并维护安全的网络和系统

  • 保护持卡人数据

  • 维护漏洞管理计划

  • 实施强效访问控制措施

  • 定期监控并测试网络

  • 维护信息安全政策

UPDSS保护的核心对象,即“支付信息”,进行明确定义和分类。目前支付信息明确定义为“银联卡上记录的账户信息、基于银联卡开展支付业务的网络支付账户信息、身份鉴别信息、支付业务涉及的必要个人信息和其他支付相关信息”,细分为敏感支付信息2、重要支付信息、一般支付信息。

而PCI DSS保护的核心对象,即“账户数据(Account Data)”,当前包含持卡人数据和敏感验证数据两类。其中,持卡人数据包括完整卡号、持卡人姓名、业务码、有效期;敏感验证数据包括全磁道数据(含芯片卡等效磁道数据)、卡片验证码、卡PIN及卡PIN的密文块。

对比不难发现,UPDSS显著扩大了保护的数据对象范围,同时,按照重要性不同,对不同级别的支付信息,实行不同程度的防护要求。另外,在控制域方面,两项标准之间有一定的共性,均将“访问控制”、“持续改进”单独提出,体现访问控制措施的重要性,以及安全风险时刻动态变化,需要按照PDCA原则持续完善的特征。

2)监管体系的参与方

监管体系参与方主要包括管理机构、标准执行机构、标准适用机构。其中,标准执行机构主要是指按照标准执行安全评估、扫描或案件调查的信息安全服务商。标准适用机构主要是指支付产业各参与方。对此,监管体系方面的简要对比见表3:表3 监管体系参与方对比

类目

境内

境外

标准执行机构

银联卡支付信息安全合规评估机构

QSA/ASV/PFI等

标准适用机构

只要机构的业务过程涉及银联卡卡号采集、传输、处理、存储任一环节,该机构适用UPDSS

适用于所有的实体,只要该实体存储、处理或传输持卡人数据

其中,标准执行机构方面,目前PCI SSC根据具体工作的不同,将标准执行机构的资质细分为QSA(授权的安全评估机构)、ASV(授权的扫描机构)、PFI(授权的调查机构,主要在发生盗刷等欺诈问题后进行调查分析)等,各机构根据资质情况开展限定范围的业务工作。

在标准适用机构方面,基本上两项标准的核心思想是相同的,即,只要机构涉及传输、处理、存储该卡组织的卡号等支付信息,均适用相应标准。

3)管理机构

如前所述,境内有关银行卡数据安全的主要管理机构是中国银联风险管理委员会,其常设机构是中国银联风险管理委员会秘书处(以下简称“秘书处”)。秘书处负责相关会议的召集与主持、日常事务的处理等工作。境外卡组织有关银行卡数据安全的主要管理机构是支付卡产业安全标准委员会(PCI SSC),一定程度上有自治机构的色彩。其常设机构是管理委员会。管理委员会负责维护PCI标准等技术文件、管理各个工作组以及日常事务。具体见表4:表4 管理机构对比

类目

境内

境外

管理机构

中国银联风险管理委员会

支付卡产业安全标准委员会(PCI SSC)

常设机构

中国银联风险管理委员会秘书处

管理委员会(Management Committee)

5 结语

本文从支付产业数据安全管理的主要背景、标准体系、参与方、发展过程等方面,对比分析境内外支付产业数据安全管理体系的各自特点和异同。鉴于当前支付产业数据安全与业务紧密结合,在数据就是资产、数据就是新型资源的趋势下,数据安全愈发显示出其独特的重要性。笔者在实际从业过程中发现当前诸多从业者对支付产业数据安全的顶层管理体系等方面认识相对模糊,本文旨在通过网络媒介与同行等进行交流和探讨。若能对相关从业者、信息安全管理者以及其他读者有所启发和裨益,实属幸事。因时间仓促,个人水平有限,不足之处,欢迎通过留言等方式予以批评指正。

1主要指公民个人在发卡银行申办的各类银联卡(包含借记卡和贷记卡)的卡号、持卡人姓名、身份证号、银行预留手机号、磁道信息(含芯片卡等效磁道信息)、CVN2、卡PIN等。

2支付信息及敏感支付信息定义等,详见《银联卡支付信息安全管理标准》。

声明:本文来自中金网安,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。