中国,北京 – 2021年7月,atsec中国获得支付卡产业安全标准委员会(PCI SSC:Payment Card Industry Security Standards Council)资质授权,成为了卡生产安全评估公司(CPSA:Card Production Security Assessor),从而可以验证机构是否遵守PCI 卡生产和供应的逻辑安全和物理安全要求(两个独立的安全标准)。目前 atsec 在 中东和非洲(CEMEA)、加拿大(Canada)、欧洲(Europe)、拉丁美洲和加勒比海地区(LAC)、美国(USA)和亚太(Asia Pacific)市场提供 PCI 卡生产逻辑安全和物理安全标准的评估服务。
支付卡及其组件的开发、制造、运输和个人化对支付系统、发卡机构和参与发卡的供应商的安全结构有很大影响。数据安全是PCI 卡生产逻辑安全和物理安全标准的主要关注点。
PCI 卡生产和供应的逻辑安全要求(“PCI 卡生产逻辑安全标准”)专注于卡生产和供应在如下相关环节的逻辑安全控制,例如:
1.EMV数据准备2.预个人化3.卡片凹凸压制4.IC和磁条个人化5.PIN生成6.PIN邮寄7.卡载体8.分发
PCI 卡生产和供应的物理安全要求(“PCI 卡生产物理安全标准”)定义了涉及卡生产和供应的机构全面的信息来源,其中可能包括制造商、个人化提供商、预个人化提供商、芯片嵌入商、数据准备和履行(fulfillment)的机构。该标准规定了机构在以下过程之前、之中和之后必须遵循的物理安全要求和程序:
1.卡片制造2.芯片嵌入3.个人化4.存储5.包装6.邮寄7.运输或交付8.履行
除了上述卡片生产活动外,PCI 卡生产逻辑安全和物理安全标准还描述了以下机构的逻辑和物理安全要求:
1.执行基于云或安全元件(SE:Secure element) 的供应服务2.管理空中传输(OTA:over-the-air)个人化、生命周期管理和个人化数据准备3.管理相关密钥
atsec的CPSA评估员可以与您一起确认评估范围,进行现场评估,完成PCI卡生产评估的合规报告(ROC:Report on Compliance)和合规证明(AOC:Attestation of Compliance),将报告提交给适用的支付卡品牌或合作机构,并在合适的情况下进一步执行合规验证。
除了评估服务,atsec 还提供全方位的咨询服务,以支持您的组织符合 PCI 卡生产逻辑和/或物理安全标准。 atsec 顾问在每个需求的领域有着丰富的经验(如,数据安全、网络安全、系统安全加固和管理、用户管理、密钥管理、PIN 分发、个人安全管理、场所安全保护、生产程序安全控制、安全审计、 安全包装和交付),并可以帮助您制定适当的措施以实现标准的合规。
CPSA评估机构和人员的名单可以在PCI SSC官网进行查询,atsec的资质如下图:
除了 CPSA 评估机构,作为被PCI SSC授权的 PCI QSA、ASV、QPA、PA QSA、P2PE、3DS、SSF评估机构和 PFI取证调研机构,atsec提供全面的服务以支持机构实现全面的 PCI 合规性。
有关atsec PCI更多的服务信息,请访问:http://www.atsec.cn/it-security-services/pci/en/index.html