atsec成功完成中国工商银行PCI DSS合规评估

2013-08-07

中国,北京 - atsec很荣幸地宣布:中国工商银行股份有限公司(中文简称“工商银行”,英文简称"ICBC")成功通过了atsec基于支付卡产业数据安全标准(PCI DSS:Payment Card Industry Data Security Standards)v2.0版本的符合性评估。本次评估的验证工作圆满完成于2013年8月2日,是工商银行首次通过PCI DSS数据安全标准符合性评估。

本次工商银行合规的范围涉及到了工商银行的诸多的被审核站点,包括:总行、工银亚洲、工银澳门、工银印尼、信用卡中心(国际)、软件开发中心、数据中心(上海)、数据中心(北京)等等。涉卡环境范围跨度较广并且涉卡系统组件数量庞大,这成为了合规和审核过程中的主要难点;该合规建设和评估工作也是迄今为止中国大陆最为复杂的大型PCI合规项目。在合规工作实施过程中,项目双方根据PCI DSS标准对工商银行涉及持卡人和敏感认证数据的信息处理系统及其相关操作系统和网络设备的安全性、技术规范和制度文件、生产机房环境安全保护等各个方面进行了全面梳理检查,并进行了调整优化。

项目初始阶段,atsec为工商银行针对PCI DSS标准执行了准备评估,确定了本次的评估范围,基于评估结果展开了多方的讨论,针对不同层面的问题,atsec提供了诸多的解决方案,双方根据工商银行涉卡环境的物理层面、逻辑层面、文档层面等多方面的现状进行了详细的分析,从诸多的解决方案中选择了最有效、最快捷的方案进行实施,为合规和正式评估工作打下了坚实、有利的基础。atsec在整个项目中充分的为工商银行分享了信息安全方面的经验知识,特别是PCI DSS领域atsec全球多年积累的方法论,为工商银行的信息安全水平作出了较大的贡献。

经过认真严格的整改,2013年初合规工作进入正式评估审核阶段,由于项目的复杂度,双方共同制定了缜密的审核计划。atsec审核团队本着保护持卡人的数据安全,对网络安全、生产环境访问控制、应用软件编码规范、安全测试和监控等层面基于标准要求进行了严谨的评估,与工商银行PCI项目组紧密配合,综合而有效地运用并验证了传输加密、身份认证、安全扫描、物理双因素、入侵检测系统等多种技术措施,并最终实现了首年度的合规评估。

对于此次顺利通过PCI合规建设,工商银行总行信息科技部相关负责人表示:“PCI DSS标准认证不仅仅使我行信用卡业务达到了国际支付产业的要求,同时也确实有效地提高了我行的信息安全水平,我行参与该合规的各个单位都进行了信息安全的梳理和检查,为业务的长期稳定发展奠定了基础。atsec团队所展示的专业、严谨和职业诚信给我们留下了深刻的印象,对于其在整个过程中的支持和贡献我们表示感谢。”

atsec中国总经理及PCI实验室主任刘岩表示:“atsec团队非常感谢工商银行对于本次合规评估的重视和配合,也高度认可和赞许工商银行信息安全的技术实施和整改过程中所体现的专业性和协调能力,这也为本项目高质量高效的完成奠定了坚实的基础。PCI DSS标准关注于从整体的信息安全角度保障数据安全,期待着双方长期的致力于该领域的合规建设工作,从而为支付业务的稳定和发展保驾护航。”

工商银行经过支付卡产业安全标准委员会授权的第三方机构atsec审核认可,实现了PCI DSS的完全合规,并就结果出具了合规报告(ROC:Report on Compliance)和合规证明(AOC:Attestation of Compliance)。本次PCI DSS认证,不仅有利于提升工商银行在国际信用卡市场上的品牌形象,也有助于与各外卡组织和跨国大型商户达成更为深入的合作关系。这标志着工商银行对持卡人数据的保护级别在国际范围内已经达到业界的领先水平,同时也为双方长期紧密的合作奠定了良好的基础。

多年以来,atsec在国内率先拥有诸多中国本土授权的评估师QSA,atsec中国全体团队成员以及强大的海外专家团队面向中国、以及亚太和全球的客户提供最高质量、高效、且以业务为导向的PCI完整服务,而由于atsec中国团队的专注性以及服务中国客户的期望,我们更重视且贡献于中国的支付安全产业。

关于艾特赛克(atsec)信息安全
艾特赛克信息安全(atsec information security)是一家独立且基于标准的信息技术(IT:Information Technology)安全服务公司(www.atsec.com),它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec在德国慕尼黑成立于2000年,并且通过美国、德国、瑞典和中国的办公室开展了广泛的国际业务。atsec提供的服务包括正式的实验室测试和评估、独立的测试和评估以及信息安全咨询。

atsec提供PCI SSC体系下的服务,并且atsec是一家能够提供PCI DSS和PA-DSS标准的评估服务的QSA公司。atsec中国是目前唯一一家在中国以独立的实体获得了PCI SSC的QSA、ASV和PA QSA资质的中立的信息安全评估机构。atsec的渗透测试、应用安全、ASV(Approved Scanning Vendor)服务和信息安全咨询服务,作为评估服务工作的有力支撑。atsec是一家独立的公司,并且与其它产品供应商没有任何商业关系。

atsec提供美国国家标准与技术研究委员会(NIST:National Institute of Standards and Technology)和加拿大通讯安全协会(CSEC:Communications Security Establishment Canada)制定的密码模块验证体系下的密码模块和算法测试服务。atsec同时提供NIST个人身份验证体系(NPIVP)、密码算法测试(CAVP:Cryptographic Algorithm Validation Program)和安全内容自动化协议(SCAP:Security Content Automation Protocol Program)下的正式的测试,以及GSA FIPS 201 EP下的产品认可测试。

atsec愿意与任何公司合作,无论其规模大小,只要其重视IT安全。

关于中国工商银行股份有限公司(ICBC)
中国工商银行股份有限公司(“工商银行”)前身为中国工商银行,成立于1984年1月1日,2005年10月28日整体改制为股份有限公司。2006年10月27日,工商银行成功在上交所和香港联交所同日挂牌上市。

通过持续努力和稳健发展,工商银行已经迈入世界领先大银行行列,成为全球市值最大、客户存款第一和盈利最多的上市银行,拥有优质的客户基础、多元的业务结构、强劲的创新能力和市场竞争力。工商银行业务跨越亚、非、欧、美、澳五大洲,境外网络扩展至39个国家和地区,通过17,125个境内机构、383个境外机构和1,771个代理行以及网上银行、电话银行和自助银行等分销渠道,向438万公司客户和3.93亿个人客户提供广泛的金融产品和服务,基本形成了以商业银行为主体,综合化、国际化的经营格局,在商业银行业务领域保持国内市场领先地位。工商银行始终坚持“以客户为中心、服务创造价值”的经营宗旨,持续提升金融服务水平,品牌内涵不断丰富,“您身边的银行,可信赖的银行”的品牌形象深入人心,成为中国消费者首选的银行品牌和全球最具价值的金融品牌。

工商银行坚持履行经济责任与社会责任的有机统一,在支持经济社会发展、保护环境和资源、支持社会公益活动等方面树立了负责任的大行典范,荣获“最具社会责任金融机构奖”、“中国最受尊敬企业”等奖项。