返回至PCI服务页面

PCI 3DS服务

atsec中国是支付卡产业（PCI：Payment Card Industry）安全标准委员会（SSC：Security Standards Council）授权的3DS评估机构。目前atsec中国的PCI 3DS评估服务市场包括加拿大、欧洲、美国和亚太（包括中国）。

作为合格的3DS评估机构，atsec中国面向3DS数据环境（3DE：3DS data environment）提供基于3DS核心安全标准（PCI 3DS Core Security Standard）的现场安全评估。该标准提供了完整的逻辑和物理安全要求，以及执行PCI 3DS评估的评估流程。

atsec中国的3DS评估师和您紧密配合，首先会确定3DE范围，然后评估PCI 3DS要求，最终完成PCI 3DS ROC和AOC，并提交给相关的卡品牌、合作机构或者监管机构，在必要时进一步执行重新验证。

除了评估服务，atsec提供完整的咨询服务支持机构实现PCI 3DS标准的合规。我们的咨询顾问拥有标准两个部分14个要求丰富专业的经验，协助机构实现标准的合规。

PCI 3DS核心安全标准分为两个部分。第一部分是用于保护3DE的技术和操作安全控制的基线要求。如果机构的3DE环境已经完整实现了PCI DSS的合规评估，可以采用PCI DSS评估结果支持PCI 3DS第一部分要求的验证。

要求的第二部分是3DS安全要求，用于保护3DS数据和流程。无论机构是否已经PCI DSS合规，如果机构执行3DS功能，则第二部分的要求必须作为评估的环节被执行。

PCI 3DS核心安全要求用于保护3DS功能执行或者3DS数据存储所在的3DS环境。需要保护的特定功能包括：3DS服务器（3DS server）、3DS目录服务器（3DS Directory Server）和3DS访问控制服务器（3DS Access Control Server）。

EMV 3-D安全协议和核心功能规范（EMV 3-D Secure Protocol and Core Functions Specification）定义了如何实施3-D安全协议，该标准由EMVCo进行管理和维护。PCI 3DS核心安全标准（PCI 3DS Core Security Standard）支持3DS的实施，该标准由PCI安全标准委员会负责管理和维护。

3DS，也即“EMV Three Domain Secure”、“EMV 3-D安全”，或EMV 3DS，是由EMVCo所开发的安全协议，用于支持消费者进行卡不呈现类型（CNP：card-not-present）的电子商务交易时的卡信息认证，从而阻止潜在的未授权的交易，帮助商户抵御欺诈风险或行为。3DS定义中的三个维度（3D）包括发卡机构（Issuer Domain）、商户或者收单机构（Merchant or Acquirer Domain）、以及交互域（Interoperability Domain），通过上述各方的信息认证为持卡人提供更加安全可靠的支付方式。

与旧版本的3DS协议（3DS version 1）相比，最新的3DS 2.0支持移动终端和传统浏览器的安全认证和身份识别，从而可以更加方便持卡人在移动终端（如智能手机、平板电脑）或者传统PC上完成操作。3DS 2.0规范所支持的持卡人身份识别方式更加全面，包括但不限于在线PIN、离线PIN、挑战响应（Challenge-response）、共享密钥、静态密码、生物识别、一次性密码等。

如果机构实现了3DS新版本的功能，PCI 3DS标准合规可能由卡品牌、监管机构或者合作机构所强制要求。atsec在PCI 3DS标准相关的诸多安全领域拥有丰富的经验和专业技能，可以协助机构提高3DS环境的整体安全水平。

了解更多关于atsec PCI服务和我们公开资源，请访问：http://www.atsec.com，以及PCI SSC官方网站：https://www.pcisecuritystandards.org。

了解更多服务信息，请联系我们：info_cn@atsec.com。