浅谈支付应用的安全最佳实践

核心提示： atsec作为中立的第三方机构，经过多年来在信息安全领域的实践经验，浅谈支付应用的安全最佳实践(5)，结合目前国内的支付安全现状就未来支付行业的发展提出以下建议：可由国家相关政府职能部门和主管部门共同建立支付行业标准委员会，PA DSS标准已经得到世界范围广泛的专业认可，力促其早日问世!也希望能

atsec作为中立的第三方机构，经过多年来在信息安全领域的实践经验，结合目前国内的支付安全现状就未来支付行业的发展提出以下建议：

可由国家相关政府职能部门和主管部门共同建立支付行业标准委员会。

PA DSS标准已经得到世界范围广泛的专业认可，可通过该标准中对于审核对象的要求和最佳实践结合中国国情制定适合于我国的支付行业标准。

在合规评估体系的建设工作中，可借鉴国际上对于标准评估认证的管理办法。比如，由政府职能部门联合中国银联、银行、卡商以及中立的第三方评估机构共同合作开展合规评估规范工作。采用维护评估实验室的方式，加强审核方管理办法，制定严谨的评估体系，严格依据标准进行规范化审核。

授权专业的支付信息安全评估实验室，实验室应该为第三方中立的咨询和评估机构，而非大型产品代理商或者厂商。被授权的评估实验室应具备多年信息安全工作经验。

支付标准委员会只负责维护评估实验室和扫描机构的授权资质，并对执行的审核结果进行核查和监管。

为了确保被授权机构的中立，便于维护，被授权的实验室可定期向授权机构缴纳年金。对于被授权机构所执行的审核项目，应由被审核机构向授权机构提交实验室评定。授权机构定期整理，取消不符合要求的实验室资质。

atsec目前是经过PCI安全标准委员会(SSC：Security Standards Council)授权认可的合格的安全评估机构(PCI QSA和PA QSA)和授权的扫描服务机构(ASV)，atsec愿意凭借多年来在信息安全领域的经验和国际领先的标准技术帮助中国支付行业共同制定适合于我国国情的支付行业标准和合规体系。

希望在以中国相关主管部门为核心骨干成立的标准委员会工作中，加快推动我国统一的支付标准的制定，共同站在国家全局的高度，力促其早日问世!也希望能够得到相关立法的支持，以尽可能的减小支付过程的安全风险，保护持卡人权益。