atsec成功完成国航PCI DSS合规性评估
2014-08-28中国,北京 - atsec很荣幸地宣布:中国国际航空股份有限公司(中文简称“国航”,英文简称”Air China”)通过了atsec基于支付卡产业数据安全标准(PCI DSS:Payment Card Industry Data Security Standards)v 2.0版本的符合性评估。本次评估的验证工作圆满完成于2014年8月,是国航首次通过PCI DSS数据安全标准符合性评估。
本次针对国航支付平台的PCI DSS审核,atsec与国航在项目过程中始终保持着紧密的配合,所涉及的领域是非常广泛的,无论是从业务流程、还是到技术管控;无论是从信息管理部,还是到电子商务部、结算部、销售部等部门,都会对关键业务、IT系统、人员、操作流程、规章制度等多个方面进行合规性审查。特别是在技术审核中所发现的问题,atsec与国航多部门联合进行详细的讨论和分析,首先在测试环境上进行反复验证,在通过验证后,完成在线业务系统方面的整改和优化。最终完成标准所要求的网络、系统、应用、数据库、物理安全等层面300余项审核要求。在提交了所有关键性证据后,atsec作为PCI安全标准委员会授权认可的QSA安全审核机构向国航出具了合规报告(ROC:Report on Compliance)和合规证明(AOC:Attestation of Compliance)。为双方长期紧密的合作奠定了良好的基础。
atsec在支付产业,特别是航空和大型商户领域积累了丰富的经验和方法论,结合国航的实际状况,制定出适合国航的“外树品牌、内控数据”的认证思路。通过建立覆盖国航全支付业务流程的数据安全管控标准、实现具有“国际业务水平、中国国情电商、国航特色业务”的电子支付体系,最大限度地实现支付卡信息的保密性、完整性、可用性和有效性,提高国航支付卡安全的管理水平和风险识别能力,并保持持续有效的改进,形成业务及技术的管理闭环。
PCI DSS是检查单形式的安全基线标准,而国航已经早先实现了ISO/IEC 27001和等级保护标准的合规建设。双方在PCI合规建设中,充分引用和借鉴现有的国航认证标准和管理体系,通过已采取的控制措施和管理制度,实现认证的快速性和经济性。同时也能满足国家法令法规的有关要求。充分做到“制度统一,标准一致”。此次PCI安全认证是多管理体系融合的一次成功实践。
atsec中国总经理PCI实验室主任刘岩对于本项目的成功表示:“祝贺国航支付平台实现了PCI DSS合规,在此也对双方团队在整个项目实施整改以及安全评估测试过程中的努力表示衷心感谢。早在规划之初,国航和atsec一同针对PCI DSS合规战略紧密研讨,制定了短期和长期安全合规的统筹规划,即实现了重点系统和业务合规工作的高优先级完成,同时着眼于未来和全局,为长期信息安全建设奠定了坚实的基础。atsec期待着长期贡献于国航乃至广泛的支付安全领域,将PCI要求进一步实施和优化,融入到业务的常态工作中。”
多年以来atsec中国在亚太地区特别是中国积极推动支付安全标准PCI的实施和合规工作,得到了产业的高度认可。atsec也呼吁和期待着更多的支付产业同仁共同致力于支付安全的建设,不仅仅是银行、支付机构和涉及支付的商户做为支付安全的实施者,也包括专业安全厂商、测评机构等贡献者,期待着各个角色对于安全和质量要求的追求进一步规范和优化支付安全环境。
关于艾特赛克(atsec)信息安全
艾特赛克信息安全(atsec information security)是一家独立且基于标准的信息技术(IT:Information Technology)安全服务公司(www.atsec.com),它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec在德国慕尼黑成立于2000年,并且通过美国、德国、瑞典和中国的办公室开展了广泛的国际业务。atsec提供的服务包括正式的实验室测试和评估、独立的测试和评估以及信息安全咨询。
atsec提供PCI SSC体系下的服务,并且atsec是一家能够提供PCI DSS和PA-DSS标准的评估服务的QSA公司。atsec中国是目前唯一一家在中国以独立的实体获得了PCI SSC的QSA、ASV和PA QSA资质的中立的信息安全评估机构。atsec的渗透测试、应用安全、ASV(Approved Scanning Vendor)服务和信息安全咨询服务,作为评估服务工作的有力支撑。atsec是一家独立的公司,并且与其它产品供应商没有任何商业关系。
atsec提供美国国家标准与技术研究委员会(NIST:National Institute of Standards and Technology)和加拿大通讯安全协会(CSEC:Communications Security Establishment Canada)制定的密码模块验证体系下的密码模块和算法测试服务。atsec同时提供NIST个人身份验证体系(NPIVP)、密码算法测试(CAVP:Cryptographic Algorithm Validation Program)和安全内容自动化协议(SCAP:Security Content Automation Protocol Program)下的正式的测试,以及GSA FIPS 201 EP下的产品认可测试。
atsec愿意与任何公司合作,无论其规模大小,只要其重视IT安全。