浅谈支付应用的安全最佳实践

核心提示： l 应用程序供应商向客户和经销商/集成商提供的指导信息，用以确保客户了解如何实施支付应用程序以符合 PCI DSS 的要求，浅谈支付应用的安全最佳实践(3)，并且明确告知客户，某些支付应用程序与环境设置可能会影响其对 PCI DSS 的合规性，对于已经通过PA-DSS的合规产品名单可在PCI的官

l 应用程序供应商向客户和经销商/集成商提供的指导信息，用以确保客户了解如何实施支付应用程序以符合 PCI DSS 的要求，并且明确告知客户，某些支付应用程序与环境设置可能会影响其对 PCI DSS 的合规性。

l 接受审查的支付应用程序版本选定的所有平台。

l 支付应用程序所含或所使用的用以访问和/或查看持卡人数据的工具(报告工具、记录工具等)。

PA DSS所涉及以下14个层面的安全要求：

1. 不要保留完整的磁条数据、卡验证值或代码 (CAV2、CID、CVC2、CVV2) 或 PIN 数据块

2. 保护存储的持卡人数据

3. 提供安全验证功能

4. 记录支付应用程序的活动

5. 开发安全的支付应用程序

6. 保护无线传输

7. 针对漏洞测试支付应用程序

8. 便于安全的网络实施

9. 绝不能在连接到互联网的服务器上存储持卡人数据

10. 便于软件进行安全的远程更新

11. 便于对支付应用程序进行安全的远程访问

12. 对经由公共网络传输的敏感信息进行加密

13. 对所有非控制台管理访问进行加密

14. 维护好向客户、经销商与集成商提供的指导性文件材料与培训计划

标准的符合性现状

该标准自发布以来，得到了全球金融机构的广泛认可和推广，已成为国际上保障支付应用程序安全的最佳实践标准。近日，visa发布了全球范围的通告，强制性要求全球不同地区采用符合支付行业数据安全标准(PA DSS)的安全支付应用程序。

Visa在发布的强制性命令中强调并提醒收单机构应警惕存储了敏感信息数据[包括完整的磁条数据、卡验证值或代码 (CAV2、CID、CVC2、CVV2) 或 PIN 数据块)]的支付应用软件，收单机构应确保商户和服务提供商不得使用存储了敏感信息的支付应用软件，并对已经识别出来的风险和问题采取纠正措施。收单机构应该支持商户和服务提供商使用符合PA DSS的支付应用程序，对于已经通过PA-DSS的合规产品名单可在PCI的官方网站获取：https://www.pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html。通过PCI标准委员会对合规产品的维护，各商户和服务提供商可以安全有效地选择正确的支付应用产品。