支付卡行業(PCI)

** 3C機構設計爸版權所有 **

上週剛分享了防爆的規格要求，今天接著分享Payment device 的規範 PCI。支付卡產業資料安全標準 (Payment Card Industry Data Security Standard，簡稱PCI DSS) ，這是支付卡產業安全標準協會所製定的標準，是基於保障持卡人資料安全的全球統一規範。凡是儲存、處理或傳輸 VISA 持卡人資料的業者，包括金融機構、特約商店與服務提供者都必須遵守。所有參與 VISA 計劃的廠商，必須定期提供合規證明以符合 PCI DSS。

今天3C機構設計爸要分享的是支付卡行業(PCI)，跟防爆是完全不相關的技術領域。PCI 的規範，廣義來說就是當機器被攻擊(attack)時，系統應該要具備的保護設計的要求。比如說，銀行的ATM機器，當有壞人拿了電鑽、起子、以及其他工具去破壞(攻擊) ATM機器的時候，過程可能會有ATM的塑膠蓋被鑽孔、被拆掉的狀況，也可能會有螢幕被破壞，被拆掉的狀況，機器系統有什麼防護機制及設計。那PCI所要求的規格就是機器系統所應該要遵循的保護設計規範。

比如說:

簡易說明1: 塑膠蓋/螢幕被拆掉時，設計是不是有做到當塑膠蓋被拆掉時，電器的電路就會短路 (tamper)而且無法重新開機。(除非有特定的程式，由維修人員才可把機器程式resume回來)。

簡易說明2: 壞人也可能會在機器外殼鑽孔，然後用探針去偵測ATM的線路，那麼當ATM機器被鑽孔後，ATM的主機板以及其他特定零件的線路有沒有做PCI的保護。例如蛇線的設計來保護重要零件，讓鑽孔或探測的攻擊方式失敗，設計上做到只要蛇線被鑽壞，系統電器的電路就會短路 (tamper)而且無法重新開機。

設計上，做了比較複雜的結構，延長入侵者的攻擊時間，該設計在PCI 認證的分數上也可以得到比較高的分數。PCI 規範也定義了設計上的抗攻擊能力評估必須在具備資格(certified)的實驗室進行，決定是否獲得批准的PCI SSC認證。但PCI 實驗室只針對認證的測試，不會提供在認證上所發現的缺失來提供對策。

機構設計如何做到符合PCI 的規範呢。3C機構設計爸簡單的整理幾個方向供設計上做參考。

當然，針對個別專案的需求，可以跟實驗室的專家討論，ME、EE、軟體為主要溝通的設計窗口，設計協同合作達到PCI認證的要求。