PA-DSS 测试和咨询
atsec 中国是经支付卡产业(PCI:Payment Card Industry)安全标准委员会(Security Standards Council)认可的支付应用合格安全评估机构(PA-QSA:payment application Qualified Security Assessor)。atsec能够基于支付应用数据安全标准PCI PA DSS(Payment Application Data Security Standard)为支付应用产品提供合规评估服务。目前atsec中国的PCI PA-QSA服务市场面向亚太。该服务旨在由atsec的IT安全专家帮助支付应用开发商满足PA-DSS的要求。
- atsec是开发国际的、规范的IT安全标准的主要贡献者。atsec拥有高水平的专家指导客户如何应用和实施这样的标准,同时基于一些标准化的准则评估IT运营、产品和系统。
- atsec中国是经过支付卡产业(Payment Card Industry)安全标准委员会(Security Standards Council)授权的合格安全评估机构(QSA:Qualified Security Assessor),在全球范围执行第三方的PCI 安全评估。
- 拥有源代码审核、FIPS 140-2测试、算法验证、SCAP和渗透测试的专业技能。
- atsec为不同规模的客户执行了大量的安全审计和评估,客户群体包括通讯、能源、金融和国防部门,使其在评估应用和体系的过程中积累了丰富的实践经验。
- atsec全球品牌是唯一一家经多个国家体系(美国、德国、瑞典和意大利)认可的实验室来执行通用评估准则Common Criteria(ISO/IEC 15408 and 18045)的评估。atsec为世界范围内诸多的大型厂商(包括操作系统、数据库、网络设备等领域)提供Common Criteria的咨询和测评工作,改进其产品安全。
PA-DSS的目的是帮助提供支付应用给其他机构的软件提供商开发安全的没有存储被禁止的数据的应用,例如完整磁条信息、其他敏感认证数据或者PIN数据,并且确保他们的支付应用支持PCI DSS合规,比如通过实施标准要求的用户认证和日志等功能。PA-DSS的要求适用于被销售、分销或者授权给第三方的支付应用。许多卡品牌要求这样的应用需要经过独立的实验室测试,例如像atsec这样的PA-DSS QSA公司。
针对支付应用的PA-DSS要求包括:
- 不存储全磁条、卡授权密码或者价值(CAV2, CID, CVC2, CVV2)或者PIN block数据
- 保护存储的持卡人数据
- 提供安全的密码特征
- 日志记录应用活动
- 开发安全的应用
- 保护无线传输
- 测试应用以发现脆弱性
- 完成安全网络的实施
- 持卡人数据不允许存储在连接互联网的服务器上
- 完成安全的远程软件升级
- 完成对应用的安全远程访问
- 通过公共网络加密敏感交易
- 加密所有non-console管理式访问
- 维护指导文档并且对客户、分销商和集成商进行培训
了解更多关于PA-DSS的信息,请访问https://www.pcisecuritystandards.org,或联系我们:info_cn@atsec.com。