背景介绍

当前环境，随着监管机构对数据保护检查力度日趋严格，用户数据保护意识日趋强烈，企业在提升业务竞争力的同时，需要投入更多目光在用户数据保护工作上。一方面，通过提升数据保护水平，避免发生数据泄露事件，可以增强品牌信誉度和竞争力；另外一方面，保护用户数据也是企业作为平台管理者应尽的法律义务。

企业存在各种不同类型的数据，其中用户持卡数据由于其特殊的金融属性，有非常严格的数据保护要求。下面将结合用户持卡数据保护要求，分享下在企业在用户持卡数据保护实践中的一些经验。

用户持卡数据保护要求

两大认证标准

关于持卡数据保护主要有两大认证标准，PCI DSS和 UPDSS。两者因为标准的发起组织不同，因此适用的持卡范围不同，但是两者对持卡数据保护的核心诉求是一致的。下面简单介绍下这2个标准。

PCI DSS（全称Payment Card Industry Data Security Standard）是由 PCI安全标准委员会的创始成员（visa、mastercard、American Express、Discover Financial Services、JCB）发起，因而其适用范围主要针对该五大卡组织。严格意义上说，银联不属于PCI DSS认证范围，但是企业可以按照该标准保护所有种类的用户持卡数据。

UPDSS 是由 中国银联风险管理委员会 2018年通过 的《银联卡支付信息安全管理标准》（银联风管委[2018]3号），简称“UPDSS”。该标准的发布更新代替了2008年发布《银联卡收单机构账户信息安全管理标准》（银联风管委[2008]1号），简称“ADSS”。

认证标准	认证依据	发起组织	适用范围
PCI DSS	Payment Card Industry (PCI) Data Security Standard《支付卡行业 (PCI) 数据安全标准》	PCI安全标准委员会（五大卡组织visa、mastercard、American Express、Discover Financial Services、JCB）	适用于采集、传输、处理、存储任一环节处理了五大卡组织的支付卡的所有实体，包括商户、处理商、收单机构、发卡机构和服务提供商
UPDSS	《银联卡支付信息安全管理标准》	中国银联风险管理委员会	适用于采集、传输、处理、存储任一环节处理了银联卡卡号的业务的所有实体

PCI标准族常见的标准还有 支付应用数据安全标准PA DSS（Payment Application DataSecurity Standard），该标准是面向支付软件供应商所设计的安全要求，目的是为了让客户更好地满足支付卡产业数据安全标准（PCI DSS：Payment Card Industry Data SecurityStandard）的要求，PA DSS适用于第三方支付应用，这些支付应用可能会涉及到授权、清算结算过程中对持卡人数据的存储、传输和处理。

保护的数据范围

PCI DSS 保护的数据为2类：持卡人数据和敏感验证数据，具体分类及存储要求如下：引用于支付卡行业 (PCI) 数据安全标准，3.2.1 版。

UPDSS定义的数据保护的范围更广，其定义的支付信息不仅包括银联卡上记录的账户信息，还包括基于银联卡开展支付业务的网络支付账户信息、身份鉴别信息、支付业务涉及的必要个人信息和其他支付相关信息。包括但不限于：

信息类别	示例
银联卡上记录的账户信息	包括银联卡卡号、卡片有效期、磁道信息（含芯片等效磁道信息）、卡片验证码（CVN及CVN2）等，以及基于上述信息产生的支付标记。
基于银联卡开展支付业务的网络支付账户信息	包括网络支付账户、用户注册名、用户登录名、用户ID等，以及基于上述信息的支付标记。
身份鉴别信息	包括个人标识代码（PIN），网络支付业务中的登录密码、手势密码、查询密码、支付密码、动态口令、短信验证码、密码提示问题答案，指纹、虹膜、人脸等个人生物特征信息，预付卡支付密码等。
支付业务涉及的必要个人信息	包括但不限于姓名、身份证和护照等证件类识别标识、手机号码、固定电话号码、电子邮箱、工作及家庭地址以及支付业务中采集或产生的其他个人信息。
其他支付相关信息	机构或商户名称、机构或商户编码、批量制卡文件、加密密钥、终端编码、终端序列号、设备标识、支付应用软件标识、IP地址、交易位置信息等。

UPDSS按照支付信息对完成支付交易和信息主体资金安全的影响程度，分为敏感支付信息、重要支付信息和一般支付信息。

敏感信息定义包括但不限于卡片有效期、磁道信息（含芯片等效磁道信息）、卡片验证码（CVN及CVN2）、个人标识代码（PIN）、网络支付密码、预付卡支付密码以及用于身份鉴别的个人生物特征信息。

与PCI DSS相比，UPDSS定义的信息范围更广，除此之外，二者还有一个明显差异在于对卡片有效期的保护要求，UPDSS将卡片有效期定义敏感支付信息，和卡片验证码（CVN和CVN2）统一类别，并禁止非必要的存储。

标准	能否存储	加密要求
PCI DSS	可以存储	不与卡号一起存储时，无需加密
UPDSS	不可存储	——

持卡数据保护措施

国际化场景中PCI DSS认证使用的场景较为广泛，如企业未通过PCI DSS认证，部分业务甚至无法使用VISA等国际卡种交易，因此对于有国际化业务且处理境外支付卡数据的企业，可考虑通过PCI DSS认证来提升对持卡人数据的保护能力。随着银联业务的发展，银联对UPDSS的认证要求也在逐步加强。下面将以PCI DSS标准对持卡人数据的保护要求为例，分享下企业对保护持卡人数据的一些实践。

划分持卡人数据区域（PCI区域）

划分单独的持卡人数据区域，将与个人持卡数据相关的数据和应用部署在PCI区域，对进入PCI区域的应用进行审批，对PCI区域边界与普通生产区域设置访问控制策略。划分PCI区域有利于缩小持卡人数据的保护范围，降低持卡人数据的管理成本。

一些实践经验如下：

1.设置PCI区域：在生产区域划分单独的PCI区域，在PCI区域边界部署防火墙，设置PCI区域出入向的访问控制策略；

2.涉卡应用部署在PCI区域：在采集、传输、处理、存储任一环节处理了完整卡号的应用被称为PCI应用，均需要部署在PCI区域，卡号加密存储在PCI区域；

3.新PCI应用需额外审批：新应用上线时对应用进行打标“是否是PCI应用”，如选择“是”，需要经过额外审批。

持卡数据加解密服务

PCI DSS要求卡号必须加密存储，且密钥必须定期更换。

一些加密要求如下：

1.加密机制可以采用加密机或者采用商业算法（算法强度建议不低于AES256/RSA2048/ECDSA256）；

2.自研算法建议采用2层密钥机制，数据密钥DEK和加密密钥KEK。其中数据密钥DEK直接用来加密卡数据，建议采用对称算法，加密密钥KEK用来加密数据密钥，建议采用非对称密钥；

3.加密密钥和数据密钥需定期更改，同时加密密钥的算法强度需强于数据密钥的算法强度，DEK建议的更改频次是每个月更换一次，KEK建议至少半年或者1年更换一次；

4.加密密钥和数据密钥需分开存储，需保证没有人可以同时获取2种密钥（即使数据库运维人员也需要职责分离，并签署密钥保管协议）；

5.加密算法建议与企业内部其他数据加密算法分开，严格控制卡号的解密权限；

6.加解密服务的调用需严格审批，对应用进行鉴权，对调用IP进行异常监控。

卡数据的使用

为了减少维护成本，采取多种方式减少完整卡号（包括可逆算法加密的密文）的流通范围。可采用的方式如下：

1.使用哈希的数据保护措施；

2.使用截断的数据保护措施（卡号前6后4的截断数据不再敏感，无需加密存储）；

3.令牌化的数据保护措施。

请注意不要同时提供哈希密文和截断数据，使用哈希存储时也建议加Salt。

令牌化的数据保护措施，持卡人数据进入流程时，就转化为唯一可识别的卡索引，在整个业务流程的流转过程中，均使用该卡索引标识。只有必须使用明文卡号的场景才需解密真实卡号，如银行等第三方机构对接进行交易时。通过该方法，卡索引在公司内部可作为普通信息流通，不受PCI标准的限制，可有效缩小完整卡号的流通范围，减少管理成本。

总结

通过PCI DSS合规仅是帮助企业建立有效的持卡人数据保护措施的第一步，更重要的工作在于持续的管理维护，对全员进行安全意识提升，对卡号处理的共性需求提供统一的解决方案，如提供统一的支付、返现、退赔款、IVR功能等。通过提升用户数据保护水平从而更好的促进业务正向发展。

精彩推荐

本文始发于微信公众号（FreeBuf）：企业的用户持卡数据保护实践