Standard PCI 3DS Core Security oraz Standard PCI 3DS SDK to niezależne standardy, które definiują kontrole bezpieczeństwa obejmujące różne obszary ekosystemu 3DS.
-
PCI 3DS Core Security Standard wspiera EMVCo 3DS Core Specification, ma zastosowanie do podmiotów, które wykonują lub dostarczają określone usługi 3DS:
The Merchant/Acquirer Domain (3DS Server).
The Issuer Domain (3DS Access Control Server).
The Interoperability Domain (3DS Directory Server).
Standard PCI 3DS SDK obejmuje podmioty, które tworzą/rozwijają 3DS Software Development Kits (SDK), zgodnie ze specyfikacją EMV ® 3-D Secure SDK.
Standard dotyczy wszystkich dostawców:
- 3DS Server (3DSS)
- Access Control Server (ACS)
- Directory Server (DS)
SC2labs świadczy usługę audytu PCI 3DS, jako akredytowany przez PCI SSC
audytor PCI 3DS.
PCI 3DS jest programem jednorocznym - audyt powinien być przeprowadzony przez akredytowanego audytora PCI 3DS co roku.
Wymagania zawarte w standardzie podzielone sa na dwie sekcje:
Part 1: Baseline Security Requirements, które zapewniają techniczne i operacyjne wymagania bezpieczeństwa zaprojektowane w celu ochrony środowisk, w których wykonywane są funkcje 3DS. Wymagania te odzwierciedlają ogólne zasady i praktyki bezpieczeństwa informacji wspólne dla wielu standardów. Są to:
1. Maintain security policies for all personnel
2. Secure network connectivity
3. Develop and maintain secure systems
4. Vulnerability management
5. Manage access
6. Physical security
7. Incident response preparedness
Part 2: 3DS Security Requirements, które zapewniają kontrole bezpieczeństwa specjalnie przeznaczone do ochrony danych, technologii i procesów 3DS. Należa do nich:
1. Validate scope
2. Secure governance
3. Protect 3DS systems and applications
4. Secure logical access to 3DS systems
5. Protect 3DS data
6. Cryptography and key management
7. Physically secure 3DS system
PCI 3DS Data Matrix jest oddzielnym dokumentem, który wspiera PCI 3DS Core Security Standard. PCI 3DS Data Matrix identyfikuje szereg elementów wspólnych dla transakcji 3DS, zgodnie z definicją EMVCo, które są również przedmiotem wymagań w PCI 3DS Core Security Standard. Elementy danych zidentyfikowane w PCI 3DS Data Matrix obejmują te, które są uważane za dane wrażliwe 3DS i które podlegają szczególnym wymogom ochrony danych, oraz niektóre typy kluczy kryptograficznych, które podlegają wymogom HSM.