atsec刘岩在移动支付论坛发表了题为“谁为数据泄露买单”的讲演

2013-04-25


在本次主题演讲上,atsec首先为大家分享了支付产业以及安全产业的最新动态。在支付产业蓬勃发展的过程中,越来越多的商户群体都已经陆续开展了相关安全建设和安全合规(例如:支付卡行业数据安全标准PCI DSS:Payment Card Industry Data Security Standard)。而针对目前出现各种泄露的安全问题来看,需要我们共同去努力。其次,数据泄露的发生(源于黑客事件、木马病毒蠕虫,社会工程学的攻击,又或者来自机构内部员工的恶意操作等等)轻则会给我们带来一些罚金,品牌声誉的影响,重则会导致整个公司的运营中断,这些方面无论轻重大小都会给我们带来不同程度的影响。

针对数据泄露,我们应该如何最快最有效的进行解决也是现在面临的一个重要问题。首先是要做第一时间的应急响应,我们需要在机构内定制一套长期的应急响应流程,并且明确每个应急过程中相关责任人的角色和职责。应急响应应该要求7?24小时,每年要进行应急演练。事件一旦发生的时候,需要通知相关的监管机构,比如人民银行、公安、合作机构等等,按照PCI要求要通知跟其合作的卡品牌,比如VISA。而取证工作应由有PFI(PCI取证调研:PCI Forensic Investigation)资质的实验室进行,涉及到网络设备、服务器、数据库、应用等几个层面范围的划分调研及取证。同样,为了避免或者最大程度防止数据泄露的发生,我们需要建设一个安全防范体系,这个建设会分成很多层级,包括身份认证,包括PCI的体系等。对于安全建设,atsec相信任何标准、任何的最佳实践和技术实现都不是独立为赢的,所以我们希望建立能够以支付安全标准(如PCI标准)为核心最佳实践,整合诸多的不同层面的标准要求和最佳实践要求,在信息安全体系、密码、安全开发上,在支付应用环节,能够整合出来一套信息安全建设方法论。atsec作为支付产业链上被PCI安全标准委员会授权的第三方安全审核机构,将持续致力于支付行业的安全合规建设。


本届移动支付产业论坛的最后,atsec刘岩被邀请参与行业主题对话,就“如何平衡移动支付安全与便捷”发表观点,提倡在支付企业建设有效的安全体系架构以及通过PCI等安全标准认证的同时,也要从个人的方面提高安全认识和意识。atsec的官方网站具有很多有价值的文章和信息,可以进行下载和参阅:http://www.atsec.cn/cn/publications-white-papers.html

关于艾特赛克(atsec)信息安全
艾特赛克信息安全(atsec information security)是一家独立且基于标准的信息技术(IT:Information Technology)安全服务公司(www.atsec.com),它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec在德国慕尼黑成立于2000年,并且通过美国、德国、瑞典和中国的办公室开展了广泛的国际业务。atsec提供的服务包括正式的实验室测试和评估、独立的测试和评估以及信息安全咨询。

atsec提供PCI SSC体系下的服务,并且atsec是一家能够提供PCI DSS和PA-DSS标准的评估服务的QSA公司。atsec中国是目前唯一一家在中国以独立的实体获得了PCI SSC的QSA、ASV和PA QSA资质的中立的信息安全评估机构。atsec的渗透测试、应用安全、ASV(Approved Scanning Vendor)服务和信息安全咨询服务,作为评估服务工作的有力支撑。atsec是一家独立的公司,并且与其它产品供应商没有任何商业关系。

atsec提供美国国家标准与技术研究委员会(NIST:National Institute of Standards and Technology)和加拿大通讯安全协会(CSEC:Communications Security Establishment Canada)制定的密码模块验证体系下的密码模块和算法测试服务。atsec同时提供NIST个人身份验证体系(NPIVP)、密码算法测试(CAVP:Cryptographic Algorithm Validation Program)和安全内容自动化协议(SCAP:Security Content Automation Protocol Program)下的正式的测试,以及GSA FIPS 201 EP下的产品认可测试。

atsec愿意与任何公司合作,无论其规模大小,只要其重视IT安全。