atsec和产业专家在PCI社区会议上发表中国支付安全的主题讲演

2014-11-21

中国,北京 - 2014年11月18日和19日,支付卡产业(PCI:Payment Card Industry)社区会议(Community Meeting)在澳大利亚的悉尼举办。atsec于2014年度参加9月份在美国奥兰多举办的北美地区会议之后,继续跟进支付产业在亚太地区的动态,参与了本次亚太社区会议,设有展位并分享atsec技术方法论,与产业同仁进行技术和产业交流,并受邀在本次会议上分享中国支付安全主题讲演。本次讲演是来自中国的支付安全产业专家在国际舞台的一次精彩亮相,让世界进一步了解中国支付产业对于安全和风险管理的重视和积累。对于中国支付安全的进一步推动和发展,乃至全球的PCI产业发展做出了贡献。

PCI社区会议是全球范围唯一且最大规模的专注在支付安全领域的盛会,每年度在北美、欧洲和亚洲不同的国家或地区召开。

本次社区会议上,atsec受邀与来自中国的产业专家共同发表了题为“中国支付安全”的主题论文讲演,也是本次会议上探讨PCI实践的两个重要讲演话题之一。讲演开始之初,atsec中国总经理、资深顾问刘岩介绍了合作讲演者:快钱副总裁顾卿华(Gary Gu)和国航的PCI项目经理陈涛,并阐述了免责声明:本次的讲演所有内容来自于atsec方法论和PCI合规实施最佳实践分享,以及公开的中国支付安全相关的机构、标准和规范信息分享。讲演者不代表任何的中国官方机构,仅作为独立研究成果的分享。整个主体讲演分为背景、挑战、实践和价值总结几大部分:

背景
三位讲演者从广泛的中国支付安全背景深入到中国某典型大型航空公司的合规经验分享,结合实际项目的实施反映出中国支付安全的倍受关注,以及独立的安全合规的重要性和意义。

讲演者首先介绍了中国支付安全的产业背景,包括产业的飞速发展概况、新兴却有风险的支付创新、支付风险轮廓趋势、安全风险管理关注领域,并分享了两个实际的攻击案例,包括某航空售票领域的CNP风险。来自国航的专家向来自全球的产业专家介绍了国航的基本情况和实际项目执行。国航由每年度逐渐增长的在线支付售票的交易量,考虑到电子客票化销售转型,再由各种敏感支付数据的产生,到公司高层对于支付数据安全的关注、多渠道的电子化销售业务、中国产业和政府监管对于信息安全的重视,以及诸多合作伙伴对PCI认证的要求等多因素出发,国航于2013年11月率先与atsec开展项目合作致力于PCI合规认证,并分享了国航PCI合规实践中的方法和计划。

结合国航项目的实施,atsec介绍了作为中立的评估机构在信息安全产业的作用和位置。作为中立的全球化品牌,atsec多年以来一如既往地坚持专注于各种国际和中国国内信息安全标准和技术的研究、编写,以及相关评估和测试工作,包括但不限于PCI DSS、PA DSS、ISO/IEC 27001、Common Criteria、FIPS 140-2、O-TTPS等。atsec进入中国的初衷也是作为中国和世界信息安全产业交流的桥梁,协助更多的中国机构理解、应用和推进国际标准(如PCI、CC、FIPS),另一方面协助世界上的专家了解中国。在中国,atsec实验室也获得了CNAS和CMA的认可开展独立测评工作。中国支付产业越来越多的银行和大型商户已经或者正在致力于PCI合规,而早在5年前诸多的支付服务提供商则已经持续致力于PCI合规,快钱是率先且持续致力于PCI合规的机构之一。除了最早采用的PCI标准,快钱也获得了中国人民银行的非金融机构支付许可、ISO/IEC 27001、等级保护,以及中国银联的帐户信息安全。随后atsec较为深入的介绍了中国的支付和信息安全相关标准(包括用于等级保护的GB/T 17859和国际Common Criteria的等同标准GB/T 18336等),中国相关机构,包括中国人民银行、中国支付清算协会,同时介绍了国际卡组织在中国推进支付安全的情况(比如VISA中国QSP程序的推进),和中国银联2008年推出的银联卡收单机构账户信息安全管理标准。

挑战
讲演者深入浅出的从产业发展到具体机构执行PCI合规的复杂度,全面诠释了目前所面临的挑战,从而引出本次论文讲演希望分享的技术解决方案。

讲演者首先进行了中国支付行业所面临挑战的宏观层面介绍。就国航的实际情况,阐述了国航项目之初的诸多挑战:在与atsec最初进行国航电子支付业务梳理的过程中发现,国航拥有众多的支付渠道,且分布在众多的系统中,持卡人的数据分布非常广泛,国航的网络又遍及全球。因此对我们来讲认证工作变得非常的复杂,“化繁为简”的思路则尤为重要。

方法
论文讲演分别从被合规机构和合规评估的角度进行了经验和最佳实践的分享。

就国航的PCI合规项目而言,合作双方梳理思路,制定了合理的PCI合规计划。国航的电子支付集成平台是支付信息传递和存储的最核心环节,故而第一期针对集成平台进行合规的认证,然后逐步向外围系统拓展,最终完成国航所有涉及支付环节系统,提高国航在支付的整体安全性。在2014年8月我们完成了国航支付平台的认证工作,同时,国航计划会继续在2015年完成国航电子商务网站、呼叫中心系统的认证工作。

结合国航项目的实施,atsec深入介绍了执行PCI准备评估、文档管理体系和技术指导、正式PCI评估,以及风险评估、渗透测试和ASV扫描工作的项目流程,并再次强调了项目最初阶段准备评估工作包括持卡人数据环境范围的确定核差据分析的重要性。此外,除了国航提及的项目业务复杂、数据分散的压力,在大型机构内部各个部门共同推进项目也是项目的重中之重,而项目经理的执行力、推动力以及技术能力则显得尤为重要。

价值和总结
最后,讲演者对中国支付安全为议题的技术研究进行了总结,呼吁产业交流和合作,并强调了基于里程碑的PCI有效实施和风险管理的执行思路。

就国航项目的执行亮点,整合统一管理体系建设思路等方面进行了分享。介绍了国航长期致力于PCI数据安全工作的计划,并将最大化应用PCI标准致力于更加广泛的数据安全建设,参考PCI DSS更有效地整合并推进到数据生命周期管理。atsec总结了致力于信息安全合规建设的价值,安全认证无疑可以达到外部监管机构和合作机构的要求,但认证结果并不是唯一目的,安全认证可以进一步协助机构提高信息安全水平、提高内部管理和控制水平,且降低各类风险。

同时,atsec再次强调了整合国内和国际标准以及整合产业交流的重要性,并深入浅出的诠释了风险管理的安全建设思路。

产业反馈
本次成功的讲演得到了全球支付产业的高度评价,PCI安全标准委员会的国际总监Jeremy King在本次讲演结束表示:“谢谢几位非常非常精彩的讲演,我认为这些PCI最佳实践会更好的推动产业发展,PCI合规可以很好的节省机构的运营成本,这也将在本次会议第二天的话题中进一步展开。”

讲演结束后诸多的产业专家来到atsec展位和三位讲演者表示祝贺,并进行了深入的探讨和交流。其中,几名与会来宾也表示了对atsec执行信息安全评估工作的独立性的认可和钦佩,并期待着就中国和国际安全认证话题和atsec深入交流。

追溯到2014年2月28日,中国支付清算协会、VISA中国和atsec在中国北京举办了中国支付安全会议(参见会议资料),PCI安全标准委员会和VISA专家均参加并进行了精彩的主题讲演;本次PCI亚太社区会议是中国支付安全产业的又一次重大里程碑,进一步体现了atsec作为中国和国际信息安全产业桥梁的中立且专业地位和作用。

本次关于讲演的材料可以在如下位置下载获得:“中国支付安全”。

关于艾特赛克(atsec)信息安全
艾特赛克信息安全(atsec information security)是一家独立且基于标准的信息技术(IT:Information Technology)安全服务公司(www.atsec.com),它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec在德国慕尼黑成立于2000年,并且通过美国、德国、瑞典和中国的办公室开展了广泛的国际业务。atsec提供的服务包括正式的实验室测试和评估、独立的测试和评估以及信息安全咨询。

atsec提供PCI SSC体系下的服务,并且atsec是一家能够提供PCI DSS和PA-DSS标准的评估服务的QSA公司。atsec中国是目前唯一一家在中国以独立的实体获得了PCI SSC的QSA、ASV和PA QSA资质的中立的信息安全评估机构。atsec的渗透测试、应用安全、ASV(Approved Scanning Vendor)服务和信息安全咨询服务,作为评估服务工作的有力支撑。atsec是一家独立的公司,并且与其它产品供应商没有任何商业关系。

atsec提供美国国家标准与技术研究委员会(NIST:National Institute of Standards and Technology)和加拿大通讯安全协会(CSEC:Communications Security Establishment Canada)制定的密码模块验证体系下的密码模块和算法测试服务。atsec同时提供NIST个人身份验证体系(NPIVP)、密码算法测试(CAVP:Cryptographic Algorithm Validation Program)和安全内容自动化协议(SCAP:Security Content Automation Protocol Program)下的正式的测试,以及GSA FIPS 201 EP下的产品认可测试。

atsec愿意与任何公司合作,无论其规模大小,只要其重视IT安全。