中国,北京– atsec信息安全近日宣布,atsec与东信(Eastcom)合作完成了准备评估之后,继续共同致力于支付卡行业(PCI: Payment Card Industry)的支付应用数据安全标准(PA DSS: Payment Application Data Security Standard)的合规建设和评估。
atsec信息安全PCI DSS QSA以及PA QSA刘岩表示:“据数据缺陷调查显示在所有被窃取的数据中,84%的数据是持卡人数据。主要的支付应用的脆弱性包括:不合规的保存了完整磁条信息或PIN Block,使用了默认帐号,厂商或集成商不安全的远程访问,防病毒软件和加密的兼容性,SQL注入等。我们很高兴能够有机会开始协助中国优秀的厂商达到PA DSS的要求,进一步完善针对持卡人数据的保障。”
东信金融技术总监关沛泉表示:“在中国尤其是沿海一带城市,有关ATM的骗案越来越严重,银行高度关注此发展趋势,已经和各设备厂家讨论如何改善ATM环境的使用安全。很明显,PA DSS是一个非常好的国际标准,帮助我们建立一个更安全的使用环境。东信很高兴能和atsec公司长期合作,atsec在这个领域上有丰富的技术和经验,令我们受益匪浅。”
PA-DSS确保了支付应用的功能兼容于PCI DSS标准的合规。如果应用软件执行授权和/或结算(比如POS、购物车系统、ATM等),PA-DSS则适用于这些第三方的支付应用软件。根据卡组织VISA面向全球的要求,2010年7月1日起商户新上线的支付应用软件必须使用PA-DSS合规的应用或者PCI DSS合规;而到2012年7月1日,收单机构必须确保所有商户和相关机构使用PA-DSS合规的支付应用。
关于艾特赛克(atsec)信息安全
atsec是一家独立且基于标准的IT(信息技术)安全咨询和评估服务公司,它拥有丰富的技术知识和国际经验,为客户提供具有商业导向的信息安全解决方案。 2000年1月,atsec首先成立于德国慕尼黑。随着在国际范围业务的迅速发展,atsec先后在美国、瑞典、中国壮大。
atsec提供代码的安全性审查,ISO/IEC 27001 ISMS咨询,以及渗透测试和扫描服务。
atsec还提供IT安全正式认证的评估和测试服务,包括美国,德国和瑞典通用评估准则(Common Criteria)体系的评估,美国NIST(National Institute of Standards and Technology)和加拿大CSEC(Communications Security Establishment Canada)体系的密码模块和密码算法评测,支付卡产业(PCI: Payment Card Industry)数据安全标准的符合性评估。
atsec的客户包括全球首屈一指的公司如IBM、Oracle、Apple、Microsoft、Hewlett-Packard、银联数据、快钱、华为、Cray、宝马、SGI、Vodafone、RWE和 Wincor-Nixdorf等。
关于东信
东方通信是中国普天控股的一家在上海A、B股市场挂牌的上市公司。主要从事金融自助服务产品、移动通信产品及相关解决方案的研发、生产、销售和服务。注册资金125,600万元,在国内信息百强企业中位居第26位。
东方通信于1996年开始涉足金融产业,与德利多富公司签订了技术转让合同,并作为德利多富公司在中国的唯一现金类产品战略合作伙伴,与其展开了密切的合作。通过十多年的努力,东方通信成功实现由技术引进模式向自主知识产权模式的转型,目前已成长为国内一流的金融电子化整体综合解决方案提供商,形成ATM自动柜员机、自动循环机、EFT-POS、多媒体查询终端等完整产品线。凭借着优质的产品和服务,已先后入围中国工商银行、中国农业银行、中国邮政储蓄银行、招商银行、光大银行、交通银行、深圳发展银行、华夏银行、各地农村金融合作机构及城市商业银行等国内主要金融机构。年生产能力可达七千台ATM整机,截止2009年底,累计销售金融自助产品已近三万台,是国内最有实力的ATM生产厂商之一。
关于PA DSS标准
PA-DSS是为支付应用软件厂商所设计的全面的安全要求的集合,从而使其满足客户持卡人数据环境PCI DSS合规要求。该全面的标准是为了帮助机构降低由于有缺陷的支付应用而带来的潜在的安全问题,这些可能会影响敏感认证数据的安全性。
PA-DSS的目的是帮助软件厂商和相关机构开发安全支付应用,从而不存储禁止的数据,比如完整磁条信息、CVV2或PIN数据,并且确保支付应用支持PCI DSS的合规。销售、分发或授权给第三方的支付应用需要达到PA-DSS的要求。
该标准可以在PCI标准委员会(SSC:Security Standard Council)的官方网站上获得: