[Chinese]PCI委员会发布在线支付应用数据安全标准PA-DSS
近日,在线支付行业的权威机构PCI委员会发布了相关应用的数据安全标准 – PA-DSS。之前,该委员会发布的PCI-DSS数据安全标准偏重于系统和基础设施层面。这次发布的新数据安全标准主要是为了解决支付应用的安全问题。
据报道,这次发布的PA-DSS主要定义了在线支付相关的第三方接口的数据安全标准,对内部开发用于自用的应用则不是这次安全标准的目标范围。
该标准的前身是Visa公司的Payment Application Best Practices (PABP),该最佳实践已经获得了不少公司的认可采用,包括American Express, MasterCard Worldwide, Discover and JCB International等。PCI委员会希望通过这次采标让更多的企业接受这个数据安全标准。预计相关的审计、扫描工具将会出现新的商机。
据报道,在2010年7月1日前,所有相关成员公司的第三方销售和支付应用将会被要求符合上述标准。
支付数据安全标准
作者:中国智能卡网
委员会管理的标准通过支付应用程序全球计划提高支付持卡人的数据安全。
管理支付卡行业(PCI)数据安全标准 (DSS)、支付卡行业 PIN 码输入设备 (PED) 安全要求和支付应用程序数据安全标准 (PA-DSS)的全球性、开放式行业标准机构 PCI 安全标准委员会于4 月 15 日在电子交易协会年会和博览会上宣布了支付应用程序数据安全标准 (PA-DSS) 的 1.1 版本。发布 PA-DSS 后,委员会将于今年秋天公布一项计划,包括维护有效的支付应用程序清单。用户可通过此清单辨别出获 PCI SSC 验证的支付应用程序,并满足新的标准。
越来越多的罪犯通过支付应用程序的脆弱性盗取支付卡数据,某些软件可神不知鬼不觉地在用户系统中存储机密的支付卡数据。
零售解决方案提供商协会的执行董事 J. Joseph Finizio 说:“许多商人和零售商在支付处理应用程序上依靠第三方软件供应商。有了委员会管理全球认证的有效支付应用程序清单后,各种规模的商家便可轻松地选择已被各大主要支付品牌接受的有效的支付应用程序,从而持续保证持卡人数据的安全。”
现在由委员会管理的 PA-DSS 此前由 Visa 公司管理,其名称为支付应用程序最优方法 (PABP)。PA-DSS 的目标是帮助软件提供商及他人开发不会存储如完整磁条、其它机密验证数据或者 PIN 数据等的安全支付应用程序,并保证其支付应用程序符合 PCI DSS 的要求。PA-DSS 的要求适用于销售、发布或者授权给第三方的支付应用程序。PA-DSS 的要求不适用于商家或者服务提供商开发的、非销售给第三方的企业内部的支付应用程序,但这些程序仍必须满足 PCI DSS 的要求。
此外,委员会会在接下来的几个月内对想成为合格支付应用程序安全顾问 (PA-QSAs) 的公司进行资格审查。成为PA-QSA 的公司将在由委员会维护和出版的清单中予以公开,此后便可根据 PA-DSS 安全审查程序展开 PA-DSS 评估工作。以前根据 Visa PABP 被认证为 PA-QSA 的所有公司须登记并重新认证为委员会 PA-QSA。符合 Visa PABP 标准的支付应用程序将转至 PCI SSC 认证清单。PCI 安全标准委员会总经理 Bob Russo 说:“PA-DSS 的发布和明确的 PA-QSA 程序是委员会的另一个关键性里程碑。关于经认证的支付应用程序和安全顾问的信息来源是唯一的,这给商家和服务提供商带来了商业价值,使其在支付应用程序的安全性方面可做出明智的选择。”
(wangbo)