2023年3月,atsec成功完成了华为技术有限公司(以下简称“华为”)的支付卡产业软件安全框架PCI SSF(PCI SSF:Payment Card Industry Software Security Framework)安全软件(Secure Software)和安全生命周期(SLC:Secure Software Lifecycle)的评估,评估结果分别由支付卡产业安全标准委员会(PCI SSC:Payment Card Industry Security Standards Council)验证并发布。
PCI SSF是面向支付软件安全设计和开发的标准和体系。支付软件的安全性是支付交易流程的重要组成部分,是实现可靠、准确支付交易的关键。SSF支持更广泛的支付软件类型、技术和开发方法,采用新式的要求描述方式取代支付应用数据安全标准(PA-DSS:Payment Application Data Security Standard)。
PCI SSF框架包含两个独立的体系和标准:安全软件标准(Security Software Standard)和安全软件生命周期标准(Secure SLC Standard)。华为在最近的SSF评估中分别获得了以上两个验证结果。
针对华为应用Mobile Money-SW的评估和验证结果发布在PCI SSC如下官方网站:
https://listings.pcisecuritystandards.org/assessors_and_solutions/payment_software
Secure Software标准规定了构建安全支付软件的安全要求,以保护与支付交易相关的存储、处理或传输敏感数据的完整性和机密性。它适用于开发支持或促进支付交易的支付软件的供应商。
针对安全生命周期,评估和验证的结果发布在PCI SSC如下官方网站:
https://listings.pcisecuritystandards.org/assessors_and_solutions/software_lifecycle
Secure SLC标准为软件供应商在整个软件生命周期中集成安全性提供了安全要求,以及相应的评估流程和指导。它适用于开发支付软件或在支付环境中使用的任何软件或组件软件的合格供应商。
除了SSF 评估资质,作为PCI QSA、ASV、QPA、P2PE、3DS assessor和PFI,atsec中国还提供全方位的服务,支持于机构实现PCI安全合规。