浅谈支付应用的安全最佳实践

核心提示： 根据Visa的这一强制性规定，截至到2010年7月1日之前，浅谈支付应用的安全最佳实践(4)，Visa在亚太地区(AP)、中东欧、中东和非洲(CEMEA)以及拉美和加勒比地区(LAC)的收单银行必须确保其新签约的商户开始采用符合PA DSS的应用程序;此外，截至到2012年7月1日，为了将标准充

根据Visa的这一强制性规定，截至到2010年7月1日之前，Visa在亚太地区(AP)、中东欧、中东和非洲(CEMEA)以及拉美和加勒比地区(LAC)的收单银行必须确保其新签约的商户开始采用符合PA DSS的应用程序;此外，截至到2012年7月1日，所有使用Visa网络的现有商户或服务提供商则必须全面采用符合PA DSS的应用程序。

此前，在与美国和加拿大地区的金融机构的沟通中，Visa要求收单银行必须确保在2010年7月1日之前使所有新签约及现有的商户和服务提供商采用符合PA DSS的应用程序。

配合以上强制性规定，Visa维护了违规的存储了敏感信息的支付应用产品列表，并具有适当的通告机制。在某些情况下，厂商可以针对发现的违规问题采取纠正措施，产品版本号和更新也被记录和维护。这个列表由visa定期更新，有任何更改将会发布最新通告。该列表不公开发布(包括网站或者公共位置)，尽管如此，Visa的客户可以通过AIS(Account Information Security)和/或CISP(Cardholder Information Security Program)验证体系的联系人获得该违规列表;另一方面，收单机构也可以与他的商户和服务提供商分享该列表。有关这些产品的详细信息(例如补丁和更新)需要直接联系各自的厂商获得。

结合中国的现状提出建议

如今，PA DSS在中国所受的关注度还比较小，伴随着中国与国际的经济往来越来越紧密，信用卡支付和电子商务的交易量越来越大，出现的安全隐患也与日俱增，对于支付安全的需求也必然越来越高。

目前，中国尚未制定相关行业标准，各国家主管部门虽然已经意识到制定中国自己的支付行业标准是刻不容缓的，但是标准的统一尤其是相关安全标准的统一，是一个漫长和曲折的过程。有了行业标准之后，为了将标准充分应用和切实落实，还需要相关国家主管部门出台一套完整的合规评估体系，包括相关的制度、流程以及合规评估机构的规范和统一。