中国,北京 – atsec中国很荣幸地宣布在2021年2月完成了福建联迪商用设备有限公司(以下简称“联迪商用”)AxKMS CA(Certification Authority)证书授权/RA(Registration Authority)注册授权组件,以及AxKMS KIF(Key Injection Facility)密钥注入组件的点对点加密P2PE(Point-to-Point Encryption) v3.0标准的安全评估,并获得了支付卡产业安全标准委员会(PCI SSC:Payment Card Industry Security Standard Council)的官方验证。另外,也同时完成了的AxKMS CA/RA系统环境和AxKMS KIF系统环境的PCI PIN V3.0的安全评估。
其中,P2PE的评估结果发布在PCI SSC官方网站的P2PE组件列表上:
https://www.pcisecuritystandards.org/assessors_and_solutions/point_to_point_encryption_components
P2PE标准的目标是推进PCI认可的P2PE解决方案的开发、认证和部署。P2PE解决方案中,由加密环境中的加密设备(如POI,Point of interaction)对获取到的明文卡号数据和敏感数据做加密,直到被传送到解密环境后才由解密设备(如加密机)来解密。从而可以有效的在两点之间去除明文卡号数据和敏感数据。
P2PE解决方案中,有三种角色的服务供应商:P2PE方案提供商、P2PE组件提供商,和P2PE 应用提供商。联迪商用作为组件提供商的角色为P2PE解决方案提供CA/RA组件和/或KIF组件的服务。
本次P2PE合规和PIN合规涉及到的范围是由联迪商用开发的AxKMS CA/RA系统和AxKMS KIF系统,涉及了PIN保护相关的各类密钥的安全生命周期的管理,设备的安全管理,设施的物理安全管理,授权人员安全管理,文档策略体系的建设等各个方面。在联迪商用和atsec双方的共同合作下,联迪商用的开发、运维、安全等团队相互配合,充分展现了出色技术实力和严谨高效的工作风格,最终顺利的完成整改,从而获得合规报告。
P2PE标准和PIN标准被公认为PCI产业内复杂度较高需要很强测评能力背景的技术标准,其中涵盖和关联了诸多PCI以及信息安全产业标准,包括但不限于PCI DSS、PCI PA DSS、PIN Security,以及PTS和FIPS 140等。
atsec中国作为PCI QSA、ASV、QPA、PA QSA、P2PE、3DS Assessor、SSF Assessor和PFI,提供全面的服务,贡献于机构的安全合规。