浅谈支付应用的安全最佳实践
2009-09-09 00:00:00 来源:WEB开发网PA DSS的前身是PABP(Payment Application Best Practices),最早由visa维护和管理。PA DSS最新的版本V1.2于2008年10月1日发布,由五大卡品牌[美国运通(American Express)、美国发现金融服务(Discover Financial Services)、JCB、万事达(MasterCard Worldwide)和Visa]组成的支付卡行业数据安全标准委员会(PCI Security Standards Council)统一维护和管理。
该标准适用于从事支付应用程序开发并将其销售、发布或授权给第三方用于存储、处理或者传输持卡人的授权或结算数据的软件供应商或其他方。需要注意的是,PA DSS不适用于仅为单一客户开发并向其销售的支付应用程序,同时也不适用于由商户与服务提供商开发的仅在内部使用的不销售给第三方的支付应用程序,但这些应用程序仍必须满足 PCI DSS 的要求。
如果软件供应商仅将支付功能集成在单一的或少量的基准模块中,同时保留其他模块用于非支付功能,那么审核仅关注在基准模块,这种方法可以限制符合 PA DSS 的模块数量,降低合规成本。
标准的执行
该标准的评审工作为年度评审,由支付应用合格安全评估机构(Payment Application Qualified Security Assessors)按照标准要求和评估流程严格执行。PA QSA是指经由支付卡行业数据安全标准委员会(PCI Security Standards Council)严格培训且授予实施 PA-DSS 审查资格的 QSA,PCI安全标准委员会在其官方网站上维护了QSA的列表:https://www.pcisecuritystandards.org/pdfs/pci_pa-dss_list.pdf。
atsec作为PCI安全标准委员会授权的PA QSA,在中国、美国和欧洲广泛的领域内开展PA DSS的咨询和评估工作。
PA-DSS 的审查范围具体包括:
l 所有支付应用程序功能,包括但不限于:终端到终端支付功能(授权或结算);输入和输出;故障状态;接口和连接到其他文件、系统和/或支付应用程序或应用程序组件;所有卡人数据流向;加密机制和验证机制。
中查找“浅谈支付应用的安全最佳实践”更多相关内容
中查找“浅谈支付应用的安全最佳实践”更多相关内容更多精彩
赞助商链接
