atsec中国成功完成航空结算PCI DSS年度合规评估
2015-04-27中国,北京 - 中国航空结算有限责任公司(以下简称“航空结算”)于2015年3月30日通过了atsec基于支付卡产业数据安全标准(PCI DSS:Payment Card Industry Data Security Standards)v 3.0版本的符合性评估,这也是航空结算首次通过PCI DSS数据安全标准符合性评估。
在本次基于PCI DSS V3.0标准的评估过程中,atsec依据新版本标准,对航空结算的IPRA系统、BSP系统以及德付通支付平台所涉及持卡人数据环境进行了PCI DSS标准的审核和验证,有条不紊地执行了准备评估和正式评估的工作。航空结算对所有差距问题进行了有效的整改, atsec评估团队在验证所有整改有效性后出具了合规证明(AOC:Attestation of Compliance)。双方对于本次审核专业和严谨角度的追求,以及信息安全建设的共同目标为双方长期紧密的合作奠定了良好的基础。
对于本次PCI合规的成功合作,航空结算总经理郭天表示:“为提升新航国际客运、BSP、第三方支付等信用卡交易数据安全性,提高其信息网络系统高稳定性,结算公司以PCI DSS合规性建设为契机,组建了包括研发、运维、支持在内的28人专门项目团队,投入了约480人月,针对数据输入、处理、传输、存储、备份、恢复、演练等各个环节,覆盖系统设计、研发、运行和审计等四维空间,开展了整套的数据安全性建设。我们通过实施三大业务信息网络系统的合规性建设,全面夯实了信息安全建设基础,全面提升了数据安全保障水平,属交通运输业内首次大规模、整业务、成系统实施,获得新加坡航空公司、国际航协、中国人民银行的高度认可,并取得了重大的经济效益”。
atsec中国PCI实验室副主任和资深顾问高向东评论到:“PCI DSS作为业界公认的数据安全标准,其对于持卡人数据的保护能力和可信度正被全球范围内越来越多的机构所认可。涉及处理支付数据的机构,尤其是涉及持卡人数据处理的机构,符合PCI DSS标准将是一个向其合作伙伴和监管机构进行安全技术和安全管理保护能力的一个有效方式。我们在此向航空结算表示祝贺,也希望通过PCI合规促进越来越多的合规机构能更多地参与到国际性的业务合作,并且提高自身的信息安全管理和技术水平。在此过程中,atsec也将持续地尽最大努力提供服务,以帮助合规机构不断提升安全技术与管理方面的能力。
在航空结算的合规建设过程中,atsec团队与航空结算的运维与开发团等队高效配合,有效地使用了业界的先进理念与技术。通过令牌化方案的使用,有效分隔涉卡环境与非涉卡环境。另外,针对不同合规业务平台的特点,双方也紧密配合并实施了针对不同数据存储位置的数据加密方案,从而使得不同的数据以更合理的方式得到强有力的保护。”
多年以来,atsec在国内率先拥有诸多中国本土授权的PCI评估师QSA,atsec中国全体团队成员以及强大的海外专家团队面向中国、以及亚太和全球的客户提供高质量、高效、且以业务为导向的PCI完整服务,而由于atsec中国团队的专注性以及服务中国客户的期望,我们非常重视且贡献于中国的支付安全产业。
关于艾特赛克(atsec)信息安全
艾特赛克信息安全(atsec information security)是一家独立且基于标准的信息技术(IT:Information Technology)安全服务公司(www.atsec.com),它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec在德国慕尼黑成立于2000年,并且通过美国、德国、瑞典和中国的办公室开展了广泛的国际业务。atsec提供的服务包括正式的实验室测试和评估、独立的测试和评估以及信息安全咨询。
atsec提供PCI SSC体系下的服务,并且atsec是一家能够提供PCI DSS和PA-DSS标准的评估服务的QSA公司。atsec中国是目前唯一一家在中国以独立的实体获得了PCI SSC的QSA、ASV和PA QSA资质的中立的信息安全评估机构。atsec的渗透测试、应用安全、ASV(Approved Scanning Vendor)服务和信息安全咨询服务,作为评估服务工作的有力支撑。atsec是一家独立的公司,并且与其它产品供应商没有任何商业关系。
atsec提供美国国家标准与技术研究委员会(NIST:National Institute of Standards and Technology)和加拿大通讯安全协会(CSEC:Communications Security Establishment Canada)制定的密码模块验证体系下的密码模块和算法测试服务。atsec同时提供NIST个人身份验证体系(NPIVP)、密码算法测试(CAVP:Cryptographic Algorithm Validation Program)和安全内容自动化协议(SCAP:Security Content Automation Protocol Program)下的正式的测试,以及GSA FIPS 201 EP下的产品认可测试。
atsec愿意与任何公司合作,无论其规模大小,只要其重视IT安全。
关于航空结算
中国航空结算有限责任公司(以下简称结算公司) ,成立于 1991 年,是目前中国大陆居主导地位的航空收入管理外包服务及计算机系统产品服务商,国际航协合伙人组织成员,全球第一大 BSP 数据处理及软件服务商。
结算公司致力于民航收入信息管理系统产品的研发,产品涵盖航空客、货、邮收入结算、数据服务、机场航空收费管理、销售审核以及国内、国际清算等各个领域,有 10 多套系统拥有软件著作权并曾先后荣获国家、全国民航科技进步奖,广泛应用于各民航企业与机构的航空结算相关的信息管理系统。 2006 年以来,又推出了新一代“民航国际客运收入管理系统”,新一代“民航国内客运收入管理系统、民航货运收入管理系统、民航数据服务系统”,标志着航空结算公司系统产品在功能和技术上有了跨越式的创新。
结算公司秉承“把安全放在首位,以服务赢得客户,用文化熔炼团队,为客户创造价值”的理念,通过严格的内部控制,建立了一流的市场服务保障体系,形成了包括航空收入管理系统服务、代理结算、清算、 BSP 数据处理及软件服务等业务在内的多元化业务格局,与国内民航客户以及新加坡、澳门航空公司有着长期的友好合作关系,在为航空公司、机场等民航相关企业与机构实现收入管理、提供市场决策信息服务、促进中国民航结算资金顺畅流转方面发挥着重要的作用。