中国,北京 – 2017年11月,atsec中国正式获得PCI安全委员会PCI点对点加密(Point-to-Point Encryption (P2PE)™)的评估资质,且同时获得了面向P2PE解决方案和P2PE组件执行评估的P2PE QSA(Qualified Security Assessor)合格评估资质和面向P2PE应用执行评估的P2PE PA QSA(Payment Application Qualified Security Assessor)支付应用评估资质。
目前正在采用的P2PE标准版本为2015年7月发布的2.0版本,且产业正在基于该版本进行征求意见和修订,atsec已经积极参与到该工作中。P2PE标准被公认为PCI产业内复杂度较高需要很强测评能力背景的技术标准,其中涵盖和关联了诸多PCI以及信息安全产业标准,包括但不限于PCI DSS、PCI PA DSS、PIN Security,以及PTS和FIPS 140等。atsec成功获得了P2PE的资质,可以更加全面的为产业各个机构提供该产业内的专家服务,同时也更加积极的跟进产业动态,为PCI产业相关标准、技术的研制和推进做出贡献。
产业各个机构(包括商户、收单机构等)有效地采用经过测评和验证的P2PE解决方案,可以有效的精简持卡人数据环境,并使得持卡人数据等信息按照PCI等产业标准要求得到正确的保护。对P2PE产品厂商、组件提供商以及解决方案提供商提出了更高级别的技术要求,且产业针对上述方案非常谨慎的发布通过的验证结果。在标准初步发布之后的相当一段时间内并没有通过测评和验证的产品,也是表示了PCI产业对于该测评和验证的严谨和重视,原因是该解决方案可能会被产业诸多的商户和收单机构直接采用,并作为数据保护的核心技术环节。目前(截至2017年11月5日),只有81个P2PE应用、44个P2PE解决方案,以及6个P2PE CA/RA、7个解密管理服务、5个加密管理服务、18个密钥注入设施(KIF)以组件形式通过了测评和验证。
已经通过P2PE验证的解决方案可以在如下链接查询:
https://www.pcisecuritystandards.org/assessors_and_solutions/point_to_point_encryption_solutions。
已经通过P2PE验证的组件可以在如下链接查询:
https://www.pcisecuritystandards.org/assessors_and_solutions/point_to_point_encryption_components。
已经通过P2PE验证的应用可以在如下链接查询:
https://www.pcisecuritystandards.org/assessors_and_solutions/point_to_point_encryption_applications。
P2PE标准分别包括六个大的领域,分别为:
领域一:加密设备和应用管理领域二:应用安全领域三:P2PE解决方案管理领域四:被管理商户的解决方案:商户加密和解密环境分离领域五:解密环境领域六:P2PE密钥操作和设备管理。
其中第六个领域又特别提出了三个附录,分别是:
领域六标准性附录A:采用非对称技术分发对称密钥领域六标准性附录B:密钥注入设施领域六标准性附录C:针对认可算法的最小和等同密钥大小和长度
目前正在采用的P2PE标准版本为2015年7月发布的2.0版本,且产业正在基于该版本进行征求意见和修订,atsec已经积极参与到该工作中。P2PE标准被公认为PCI产业内复杂度较高需要很强测评能力背景的技术标准,其中涵盖和关联了诸多PCI以及信息安全产业标准,包括但不限于PCI DSS、PCI PA DSS、PIN Security,以及PTS和FIPS 140等。atsec成功获得了P2PE的资质,可以更加全面的为产业各个机构提供该产业内的专家服务,同时也更加积极的跟进产业动态,为PCI产业相关标准和技术的研制和推进做出贡献。
关于艾特赛克(atsec)信息安全
艾特赛克信息安全(atsec information security)是一家独立且基于标准的信息技术(IT:Information Technology)安全服务公司(www.atsec.com),它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec在德国慕尼黑成立于2000年,并且通过美国、德国、瑞典和中国的办公室开展了广泛的国际业务。atsec提供的服务包括正式的实验室测试和评估、独立的测试和评估以及信息安全咨询。
atsec提供PCI SSC体系下的服务,并且atsec是一家能够提供PCI DSS、PA-DSS以及PIN security标准的评估服务的QSA公司。atsec中国是目前唯一一家在中国以独立的实体获得了PCI SSC的QSA、ASV、PA QSA以及PIN security Assessor资质的中立的信息安全评估机构。atsec的渗透测试、应用安全、ASV(Approved Scanning Vendor)服务和信息安全咨询服务,作为评估服务工作的有力支撑。atsec是一家独立的公司,并且与其它产品供应商没有任何商业关系。
atsec提供美国国家标准与技术研究委员会(NIST:National Institute of Standards and Technology)和加拿大通讯安全协会(CSEC:Communications Security Establishment Canada)制定的密码模块验证体系下的密码模块和算法测试服务。atsec同时提供NIST个人身份验证体系(NPIVP)、密码算法测试(CAVP:Cryptographic Algorithm Validation Program)和安全内容自动化协议(SCAP:Security Content Automation Protocol Program)下的正式的测试,以及GSA FIPS 201 EP下的产品认可测试。
atsec愿意与任何公司合作,无论其规模大小,只要其重视IT安全。