系統識別號 | U0002-0307201117183200 |
---|---|
DOI | 10.6846/TKU.2011.00068 |
論文名稱(中文) | 使用PCI DSS評估程序檢視信用卡收單系統資料安全之研究-以某銀行為例 |
論文名稱(英文) | A research that uses PCI DSS assessment procedures to inspection credit card acquirer system's data security - take some bank as the example |
第三語言論文名稱 | |
校院名稱 | 淡江大學 |
系所名稱(中文) | 資訊工程學系碩士在職專班 |
系所名稱(英文) | Department of Computer Science and Information Engineering |
外國學位學校名稱 | |
外國學位學院名稱 | |
外國學位研究所名稱 | |
學年度 | 99 |
學期 | 2 |
出版年 | 100 |
研究生(中文) | 張欣洋 |
研究生(英文) | Shin-Yang Chang |
學號 | 798410253 |
學位類別 | 碩士 |
語言別 | 繁體中文 |
第二語言別 | 英文 |
口試日期 | 2011-06-16 |
論文頁數 | 79頁 |
口試委員 |
指導教授
-
徐郁輝
委員 - 謝文恭 委員 - 洪文斌 委員 - 徐郁輝 |
關鍵字(中) |
支付卡行業資料安全標準 信用卡 |
關鍵字(英) |
PCI DSS Credit Card |
第三語言關鍵字 | |
學科別分類 | |
中文摘要 |
新版個人資料保護法頒布後,銀行必須證明已善盡保護客戶資料的責任。否則一旦發生資料外洩事件,不但要面臨龐大的賠償金額,還要賠上銀行商譽。為確保銀行對信用卡持卡人資料已採取必要的保護措施,銀行必須符合PCI 規範。如果銀行的營業地點發生資料外洩情事,而銀行當下沒有符合PCI 規範,信用卡國際組織將對銀行處以罰款,同時銀行必須對因資料外洩所造成的詐欺交易負責。然而,如果銀行符合PCI 規範,就可以降低罰款並且有機會不須要為詐欺交易負責。 如何才能證明符合PCI規範?最快的方式就是通過支付卡行業資料安全標準審查(Payment Card Industry Data Security Standard;以下簡稱PCI DSS),本研究針對筆者所任職的部門,使用PCI DSS 12項要求進行自我檢視,找尋出不符合安全測試程序的項目後,藉由改善網路架構或是自行開發程式來解決問題。最後得以通過PCI DSS審查。 |
英文摘要 |
New Personal Data Protection Law was promulgated, the bank must demonstrate that fulfill our responsibility to protect customer information. Otherwise, in the event of data breaches, not only have a huge amount of compensation, but also lose the bank of goodwill. Bank must to ensure that credit card holders information has taken the necessary protective measures, the bank must comply with PCI specifications. If the bank's place of business data leakage violations occur, the bank did not comply with current PCI specification,Bank will be an international credit card organization to impose fines, at the same time banks must be due to data leakage caused by the fraudulent transaction is responsible. However, if the bank in line with the PCI specification, you can reduce the penalty and the opportunity to not have to be responsible for the fraudulent transactions. How to demonstrate compliance with PCI specification? The fastest way to get the Payment Card Industry Data Security Standard certification (Payment Card Industry Data Security Standard; hereinafter referred to as PCI DSS), This research use of PCI DSS 12 requests for self-view, to find out the project does not meet the security test process, through improved network architecture or develop their own program to solve the problem. Finally passed PCI DSS review. |
第三語言摘要 | |
論文目次 |
1.緒論1 1.1研究背景與動機1 1.2研究目的4 1.3研究方法5 1.4論文架構5 2.文獻探討7 2.1支付卡行業資料安全標準(PCI DSS)7 2.2帳戶資料安全(AIS)計劃8 2.3資訊安全管理系統(ISMS)8 3.PCI DSS自我評估方法10 3.1前置作業10 3.2整理資料流13 3.3自我評估14 4.系統實作(一)50 4.1系統簡介50 4.2實作方法51 4.3系統測試及結果分析56 5.系統實作(二)58 5.1系統簡介58 5.2實作方法59 5.3系統測試及結果分析68 6.結論與建議69 6.1研究發現69 6.2未來研究方向69 參考文獻70 附錄-英文論文73 圖目錄 圖1-1、論文架構圖6 圖2-1、PCI DSS十二項要求概觀7 圖2-2、資訊安全管理制度架構圖9 圖3-1、網路架構圖範例10 圖3-2、實體切割網路範例11 圖4-1、z/OS主機無法對FTP傳檔加密51 圖4-2、目前FTP架構示意圖52 圖4-3、FTP Proxy 架構53 圖4-4、CrushFTP 檔案結構54 圖4-5、設定CrushFTP站台(一)54 圖4-6、設定CrushFTP站台(二)55 圖4-7、設定CrushFTP帳號55 圖4-8、設定CrushFTP VFS(一)55 圖4-9、設定CrushFTP VFS(二)56 圖4-10、設定CrushFTP VFS(三)56 圖4-11、實驗測試及結果(一)57 圖4-12、實驗測試及結果(二)57 圖5-1、Tandem OTP架構圖59 圖5-2、實驗測試及結果(一)68 圖5-3、實驗測試及結果(二)68 表目錄 表1-1、重大資料外洩事件表3 表3-1、資訊資產清冊範例12 表3-2、資料流傳輸調查範例(一)13 表3-3、資料流傳輸調查範例(二)13 表3-4、資料流傳輸調查範例(三)14 |
參考文獻 |
[1]Carl Banzhof,[PCI DSS 法規:概觀],McAfee Inc,民國九十六年九月 http://www.wordtech.com.tw/ftp/mcafee/enewsletter/securityinsight0907/article4.htm [2]麻少華,[信用卡網路安全機制探討],國立台灣大學商學研究所碩士論文,民國九十二年七月 [3]PCI安全標準協會,[PCI DSS要求與安全評估程序V2.0版] ,民國九十九年十月 https://zh.pcisecuritystandards.org/minisite/en/pci-dss-v2-0.php [4]帳戶資料安全(AIS) ,VISA,民國九十六年九月 http://www.visa-asia.com/ap/tw/merchants/riskmgmt/ais.shtml [5]99年4月27日三讀之個資法修正條文對照表-個人資料保護-法務部全球資訊網,民國九十九年四月二十七日 http://www.moj.gov.tw/ct.asp?xItem=192309&ctNode=28007&mp=001 [6]PCI_FAQ,5 Ws of PCI Who/What/When/Where/Why,民國一百年二月十九日 http://www.usbsi.com/includes/files/PCI_FAQ.pdf [7]帳戶資料安全(AIS)VisaNet Processors (VNPs),民國九十六年九月 http://www.visa-asia.com/ap/tw/merchants/riskmgmt/ais_visanet.shtml [8]ISMS 資訊安全管理系統,民國一百年六月 http://noc.twaren.net/~liangmc/nuk/nsm972/Lesson7.pdf [9]吳穩男,[信用卡行業資料安全標準之研究-以PCI DSS與ISO 27001為基礎],華梵大學資訊管理學系碩士班碩士論文,民國九十七年 http://ndltd.ncl.edu.tw/cgi-bin/gs32/gsweb.cgi?o=dnclcdr&s=id=%22097HCHT0396046%22.&searchmode=basic [10]FTP Server Software – RaidenFTPD,村榮資訊,民國一百年六月 http://www.raidenftpd.com/tw/ [11]Sniffer教學文件 http://sna.csie.ndhu.edu.tw/~cnyang/PDF/7-Sniffer%E6%95%99%E5%AD%B8.pdf [12]Dan,何謂DMZ,奇摩知識+,民國九十四年二月 http://tw.knowledge.yahoo.com/question/question?qid=1005021200925 [13]SSH,维基百科,民國一百年六月 http://zh.wikipedia.org/wiki/SSH [14]SSL VPN vs. IPsec VPN. 奇摩知識+,民國九十五年五月 http://tw.knowledge.yahoo.com/question/question?qid=1306052708071 [15]IBM Change Request Process,IBM,Jun 2011 [16]IBM GSD331 IMplementation_Manual,IBM,May 2011 [17]IBM GSD331 Mainbody,IBM,May 2011 [18]Center for Internet Security,Jun 2011 http://www.cisecurity.org/ [19]International Organization for Standardization,Jun 2011 http://www.iso.org/iso/home.html [20]Computer Security Training, Network Research & Resources,Jun 2011 http://www.sans.org/ [21]National Institute of Standards and Technology,Jun 2011 http://www.nist.gov/index.html [22]S-FTP,Jun 2011 http://www.answers.com/topic/sftp [23]SSL,Wikipedia,Jun 2011 http://en.wikipedia.org/wiki/SSL [24]z/OS basic skills information center,IBM,Jun 2011 http://publib.boulder.ibm.com/infocenter/zos/basics/index.jsp [25]z/OS RACF,IBM Redbooks,Aug 2010 http://www.redbooks.ibm.com/abstracts/redp4549.html?Open [26]NETSCREEN-5GT USER’S GUIDE,Juniper Networks,Jun 2011 http://www.asiadc.com/advanhost/manual/netscreen5gt_ug.pdf [27]CuteFTP Professional,GlobalSCAPE,Jun 2011 http://www.globalscape.com/products/ftp_clients.aspx [28]Ben,CrushFTP Proxy,Jun 2011 http://www.crushftp.com/crush5wiki/Wiki.jsp?page=FTPProxy [29]Tandem (NonStop Server),HP,Jun 2011 http://www8.hp.com/tw/zh/services/services-detail.html?compURI=tcm%3A71-808926&jumpid=reg_R1002_TWZH [30]Tandem Safeguard,HP,Aug 2006 http://h30163.www3.hp.com/NTL/view/view.asp [31]Tandem TACL,HP,Aug 2006 http://h30163.www3.hp.com/NTL/view/view.asp |
論文全文使用權限 |
如有問題,歡迎洽詢!
圖書館數位資訊組 (02)2621-5656 轉 2487 或 來信