Cloud & Telecom Security

近日，在线支付行业的权威机构PCI委员会发布了相关应用的数据安全标准 – PA-DSS。之前，该委员会发布的PCI-DSS数据安全标准偏重于系统和基础设施层面。这次发布的新数据安全标准主要是为了解决支付应用的安全问题。

据报道，这次发布的PA-DSS主要定义了在线支付相关的第三方接口的数据安全标准，对内部开发用于自用的应用则不是这次安全标准的目标范围。

该标准的前身是Visa公司的Payment Application Best Practices (PABP)，该最佳实践已经获得了不少公司的认可采用，包括American Express, MasterCard Worldwide, Discover and JCB International等。PCI委员会希望通过这次采标让更多的企业接受这个数据安全标准。预计相关的审计、扫描工具将会出现新的商机。

据报道，在2010年7月1日前，所有相关成员公司的第三方销售和支付应用将会被要求符合上述标准。

PCI的全称是Payment Card Industry, 是信用卡相关的一项符合性标准。目前我尚不清楚到底有多少个国家实施了这个标准，北美是要求的。这个标准在硬盘里休息了很长时间，今天在飞机上终于有时间将它打开读了起来。我手里的版本是2006年9月份的。

笼统看，PCI 数据安全标准（DSS）共有6组12大要求，覆盖了从建设、到运营和策略的很多方面。相对于BS7799/ISO7799/ISO27001和CoBiT等，它的要求显得很朴实直接、具有很高的操作性。下面就是那6组12大要求，中英文对照： Read more…