中国,北京-atsec信息安全近日宣布,atsec中国完成了安利支付应用5GPOSPA (5-th Generation Point of Sale Payment Application)V1.0.0基于支付卡行业(PCI: Payment Card Industry)的支付应用数据安全标准(PA DSS: Payment Application Data Security Standard)的合规评估。
安利5GPOS系统是一个前端销售管理系统,其重要的功能之一是支付交易与销售订单管理。5GPOSPA是整个5GPOS系统内专有的、完整的支付应用套件,它提供了授权与结算的相关功能、以及持卡人数据的存储与查询。
成功的评估结果发布在PCI 安全标准委员会(SSC:Security Standard Council)官方网站上:
https://www.pcisecuritystandards.org/approved_companies_providers/ validated_payment_applications.php?agree=true
atsec资深顾问张力表示:“随着电子支付的应用模式越来越广泛和多样,支付应用软件的安全保障问题日渐突出,成为整体支付安全的关键环节。PA DSS标准能够帮助软件供应商开发安全的支付应用系统,确保禁止存储的数据(如磁条数据、验证数据或密码(PIN)等敏感数据)不被保存,同时帮助商户及服务提供商减少数据泄露事件,全面推进整个支付卡行业数据安全标准(PCI DSS)的合规工作。我们很高兴能够有机会开始协助国际优秀的厂商达到PA DSS的要求,进一步完善针对持卡人数据的保障。”
安利信息安全经理Holly He表示:“很高兴通过和atsec的紧密合作,使安利新一代店铺销售系统的支付应用5GPOSPA实现了PCI PA DSS合规。这意味着软件自身的安全质量和持卡人数据安全保护方面达到了国际先进水平,而且在安全编码规范、开发流程和人员安全意识提升方面也收获颇丰,使得项目的意义超出了单个系统的安全合规,对于客户利益的安全保障和产品在全球的推广将带来积极影响。”
PA-DSS确保了支付应用的功能兼容于PCI DSS标准的合规。如果应用软件执行授权和/或结算(比如POS、购物车系统、ATM等),PA DSS则适用于这些第三方的支付应用软件。根据卡组织VISA面向全球的要求,2010年7月1日起商户新上线的支付应用软件必须使用PA DSS合规的应用或者PCI DSS合规;而到2012年7月1日,收单机构必须确保所有商户和相关机构使用PA DSS合规的支付应用。
关于艾特赛克(atsec)信息安全
艾特赛克信息安全(atsec information security)是一家独立且基于标准的信息技术(IT:Information Technology)安全服务公司(www.atsec.com),它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec在德国慕尼黑成立于2000年,并且通过美国、德国、瑞典和中国的办公室开展了广泛的国际业务。atsec提供的服务包括正式的实验室测试和评估、独立的测试和评估以及信息安全咨询。
atsec中国提供PCI SSC体系下的服务,且是能够提供PCI DSS和PA DSS标准的评估服务的QSA公司。atsec的渗透测试、应用安全、ASV(Approved Scanning Vendor)服务和信息安全咨询服务,作为评估服务工作的有力支撑。atsec是一家独立的公司,并且与其它产品供应商没有任何商业关系。
atsec提供美国国家标准与技术研究委员会(NIST:National Institute of Standards and Technology)和加拿大通讯安全协会(CSEC:Communications Security Establishment Canada)制定的密码模块验证体系下的密码模块和算法测试服务。atsec同时提供NIST个人身份验证体系(NPIVP)、密码算法测试(CAVP:Cryptographic Algorithm Validation Program)和安全内容自动化协议(SCAP:Security Content Automation Protocol Program)下的正式的测试,以及GSA FIPS 201 EP下的产品认可测试。
atsec的客户包括全球首屈一指的公司如工商银行、苹果、IBM、惠普、Honeywell、Quantum Corporation、Red Hat、Watchdata、华为和中兴通讯等,并一直维持密切合作关系。