中国,北京 – 腾讯云于2017年8月10日通过了atsec基于支付卡产业数据安全标准(PCI DSS:Payment Card Industry Data Security Standards)v3.2版本的符合性评估,这也是腾讯云首次通过PCI DSS数据安全标准的符合性评估。与此同时,腾讯云与atsec进一步合作,成为国内首批向云用户开放PCI DSS咨询和认证服务的云服务商。这意味着腾讯金融云不仅自身已符合PCI DSS支付卡行业数据安全标准要求,且与atsec紧密合作协助云平台用户更好地使部署在云环境上的持卡人数据环境有效地满足PCI DSS的要求。双方的合作将进一步推进支付安全产业的发展,在各自擅长的领域对产业做出积极的贡献。
支付卡产业数据安全标准(PCI DSS)是由PCI安全标准委员会的创始成员Visa、MasterCard、American Express、Discover Financial Services、JCB五大国际卡组织制定,该标准是全球范围内唯一且权威,并且被产业高度认可的数据安全最佳实践。诸多支付卡收单机构、发卡机构、商户以及支付服务提供商已经实现了或者正在致力于支付卡产业数据安全标准的合规建设。而伴随着云技术的发展,越来越多的机构将支付应用系统部署在云环境中,这将面临部署在云环境中的支付应用系统如何满足支付卡数据在传输、存储或者处理过程中进行安全保护的要求与挑战。
在本次腾讯云PCI DSS评估过程中,atsec依据并采用PCI标准委员会最新发布的PCI DSS v3.2标准,对于腾讯金融云平台上提供的云计算、数据库、存储服务以及多项安全服务(包括但不限于:密钥管理服务KMS、多因子认证MFA、SAAS服务云支付等)进行了严格的审核工作。atsec本着严谨、专业和高效的工作态度严格地执行了正式的首年度合规评估。双方在项目执行过程中紧密配合,积极有效地推进了合规工作的顺利开展。最终,在腾讯云完成所有差距问题整改并得到验证和完整评估后,atsec评估团队出具了合规报告(ROC:Report on Compliance)和合规证明(AOC:Attestation of Compliance)。
为此,atsec与腾讯云展开进一步合作,双方联手为云平台用户提供基于PCI DSS的合规认证服务,以支撑腾讯云平台用户在全球范围提供安全可靠的支付服务。atsec是PCI标委会授权认可的PCI DSS评估机构,拥有丰富的技术和评估经验以及较高的国际声誉。在云平台用户合规认证的过程中,atsec将基于支付卡产业的PCI DSS云计算领域指南v2.0,针对云计算服务商与云用户在支付卡数据安全合规要求的安全责任划分、云平台和云应用的安全能力结合、以及更好地保护持卡人数据安全等关键方面提供专业、规范、全面的咨询和认证服务。atsec深信,该服务不仅可确保云平台用户在多个维度降低安全合规措施的实施复杂度,而且可以全面提升金融企业信息系统的安全水平。
详细信息可点击下方阅读原文,或参见atsec为腾讯云提供PCI DSS服务的页面:
https://market.cloud.tencent.com/products/2957
https://www.qcloud.com/product/pci-dss
关于艾特赛克(atsec)信息安全
艾特赛克信息安全(atsec information security)是一家独立且基于标准的信息技术(IT:Information Technology)安全服务公司(www.atsec.com),它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec在德国慕尼黑成立于2000年,并且通过美国、德国、瑞典和中国的办公室开展了广泛的国际业务。atsec提供的服务包括正式的实验室测试和评估、独立的测试和评估以及信息安全咨询。
atsec提供PCI SSC体系下的服务,并且atsec是一家能够提供PCI DSS、PA-DSS以及PIN security标准的评估服务的QSA公司。atsec中国是目前唯一一家在中国以独立的实体获得了PCI SSC的QSA、ASV、PA QSA以及PIN security Assessor资质的中立的信息安全评估机构。atsec的渗透测试、应用安全、ASV(Approved Scanning Vendor)服务和信息安全咨询服务,作为评估服务工作的有力支撑。atsec是一家独立的公司,并且与其它产品供应商没有任何商业关系。
atsec提供美国国家标准与技术研究委员会(NIST:National Institute of Standards and Technology)和加拿大通讯安全协会(CSEC:Communications Security Establishment Canada)制定的密码模块验证体系下的密码模块和算法测试服务。atsec同时提供NIST个人身份验证体系(NPIVP)、密码算法测试(CAVP:Cryptographic Algorithm Validation Program)和安全内容自动化协议(SCAP:Security Content Automation Protocol Program)下的正式的测试,以及GSA FIPS 201 EP下的产品认可测试。
atsec愿意与任何公司合作,无论其规模大小,只要其重视IT安全。