支付卡行業(PCI)
** 3C機構設計爸版權所有 ©️ **
上週剛分享了防爆的規格要求,今天接著分享Payment device 的規範 PCI。支付卡產業資料安全標準 (Payment Card Industry Data Security Standard,簡稱PCI DSS) ,這是支付卡產業安全標準協會所製定的標準,是基於保障持卡人資料安全的全球統一規範。凡是儲存、處理或傳輸 VISA 持卡人資料的業者,包括金融機構、特約商店與服務提供者都必須遵守。所有參與 VISA 計劃的廠商,必須定期提供合規證明以符合 PCI DSS。
今天3C機構設計爸要分享的是支付卡行業(PCI),跟防爆是完全不相關的技術領域。PCI 的規範,廣義來說就是當機器被攻擊(attack)時,系統應該要具備的保護設計的要求。比如說,銀行的ATM機器,當有壞人拿了電鑽、起子、以及其他工具去破壞(攻擊) ATM機器的時候,過程可能會有ATM的塑膠蓋被鑽孔、被拆掉的狀況,也可能會有螢幕被破壞,被拆掉的狀況,機器系統有什麼防護機制及設計。那PCI所要求的規格就是機器系統所應該要遵循的保護設計規範。
比如說:
簡易說明1: 塑膠蓋/螢幕被拆掉時,設計是不是有做到當塑膠蓋被拆掉時,電器的電路就會短路 (tamper)而且無法重新開機。(除非有特定的程式,由維修人員才可把機器程式resume回來)。
簡易說明2: 壞人也可能會在機器外殼鑽孔,然後用探針去偵測ATM的線路,那麼當ATM機器被鑽孔後,ATM的主機板以及其他特定零件的線路有沒有做PCI的保護。例如蛇線的設計來保護重要零件,讓鑽孔或探測的攻擊方式失敗,設計上做到只要蛇線被鑽壞,系統電器的電路就會短路 (tamper)而且無法重新開機。
設計上,做了比較複雜的結構,延長入侵者的攻擊時間,該設計在PCI 認證的分數上也可以得到比較高的分數。PCI 規範也定義了設計上的抗攻擊能力評估必須在具備資格(certified)的實驗室進行,決定是否獲得批准的PCI SSC認證。但PCI 實驗室只針對認證的測試,不會提供在認證上所發現的缺失來提供對策。
機構設計如何做到符合PCI 的規範呢。3C機構設計爸簡單的整理幾個方向供設計上做參考。
- 機殼設計的結構、強度、以及組裝方式,必須讓攻擊延長時間,讓攻擊的難度增加。
- 第一層保護: 機殼。機殼的材質不管是金屬還是塑膠,當機殼件結合在一起後,必須在機殼做tamper的設計,或是加上蛇線的設計。
- 第二層、第三層保護….:內構件的保護可以用結構阻擋攻擊之外,可追加蛇線或tamper設計,蛇線的設計在塑膠件上的作法有LDS、真空濺鍍、或是pogo contact、SHU box、laminated PBC 蛇線的方式來完成。另外 conductive tamper rubber、conductive FOF gasket…等等,都是常見的設計方式。
當然,針對個別專案的需求,可以跟實驗室的專家討論,ME、EE、軟體為主要溝通的設計窗口,設計協同合作達到PCI認證的要求。
參考文獻: 網路圖片、文字及企業圖片
報名線上一對一線上課程 或 私訊報名
https://calendly.com/tomdaddydesign/course-link
Facebook:
https://www.facebook.com/tomdaddydesign
IG:
https://instagram.com/tomdaddydesign/
Threads
https://www.threads.net/@tomdaddydesign
