atsec中国成为祖父级PCI 3DS评估机构

2018-2-18

中国,北京 - atsec中国正式获得PCI安全标准委员会(PCI SSC:Payment Card Industry Security Standards Council)资质授权,成为祖父级(grand fathered),也即全球首批PCI 3-D Secure(PCI 3DS)评估机构。

2017年10月,PCI SSC发布了PCI 3DS Core Security Standard标准,全称为Security Requirements and Assessment Procedures for EMV® 3-D Secure Core Components: ACS, DS, and 3DS Server,该标准的安全要求旨在保护执行特定3DS功能或者存储3DS数据的3DS环境,支持3DS的实施。PCI 3DS Core Security Standard由PCI SSC管理和维护,同时EMVCo负责管理和维护EMV 3-D安全协议和核心功能规范(EMV 3-D Secure Protocol and Core Functions Specification),定义了如何实施3D安全协议。

3DS,也即“three domain secure”,或3-D安全,是由EMVCo所开发的安全协议,用于支持消费者进行卡不呈现类型的电子商务交易时的卡信息认证,从而阻止潜在的未授权的交易,帮助商户抵御欺诈风险或行为。3DS定义中的三个维度(3D)包括发卡机构(Issuer Domain)、商户或者收单机构(Merchant or Acquirer Domain)、以及交互域(Interoperability Domain),通过上述各方的信息认证为持卡人提供更加安全可靠的支付方式。最新的3DS 2.0支持移动终端和传统浏览器的安全认证和身份识别,从而可以更加方便持卡人在移动终端(如智能手机、平板电脑)或者传统PC上完成操作。3DS 2.0规范所支持的持卡人身份识别方式更加全面,包括但不限于在线PIN、离线PIN、挑战响应(Challenge-response)、共享密钥、静态密码、生物识别、一次性密码等。

类似于PCI数据安全标准(PCI DSS: PCI Data Security Standard)合规评估是面向持卡人数据环境(CDE:Cardholder Data Environment)开展安全评估,而PCI 3DS的评估对象则面向于3DE,也就是3DS环境(3DS Environment)。3DE环境中可能会执行访问控制服务器(ACS:Access Control Server)、目录服务器(DS:Directory Server)或者3DS服务器(3DSS:3DS Server)功能,且评估范围包括环境内以及连接到环境所需要的系统组件,包括但不限于防火墙、虚拟服务器、网络设备、应用等。3DS评估师需要验证范围的正确性,范围不仅仅涉及所采用的技术,也包括过程和流程,以及人员管理和技能等方方面面。

PCI 3DS标准包括两个部分,分别是基线安全要求和3DS安全要求。如果被评估机构的3DE已经通过了PCI DSS的合规评估,则可以免除3DS标准的基线安全要求(也即第一部分)的评估工作,而直接专注于3DS安全要求(也即标准第二部分)的评估。

全球支付产业从2017年初开始关注并积极研讨3DS 2.0的相关标准,为标准能够正式且全面的部署实施做好了充足的细节准备。atsec作为产业内拥有超过十年经验的PCI QSA公司,评估结果得到了产业的高度认可,atsec也积极参与3DS标准中信息安全相关的技术研讨工作。atsec秉承高质量的审核风格为诸多机构的信息安全建设和业务的持续发展奠定了基础。此外作为合格的P2PE和P2PE PA评估机构,综合技术能力领域包括但不限于PIN Security标准、FIPS 140-2等安全测评标准和方向,atsec呈现了高水平的安全评估和测试能力。经过PCI SSC严格审核和批准,最终于2018年2月批准atsec中国作为祖父级3DS安全评估机构的资格,也是全球范围内首批仅有的五家3DS安全评估机构(截至2018年2月14日)之一。同时,随着全球领域各个金融机构对3DS评估需求的持续增加,atsec也欢迎更多的评估机构加入到高质量的审核评估工作之中,共同交流研讨标准和技术的发展。

atsec中国的官方授权资格参见如下:

atsec愿意与产业内包括各个金融机构、服务提供商、商户,以及其他重视高质量检测结果的评估机构共同努力,且专注于信息安全检测和评估事业的长期发展,为支付产业的健康稳定发展和用户的交易安全尽微薄之力。

关于艾特赛克(atsec)信息安全
艾特赛克信息安全(atsec information security)是一家独立且基于标准的信息技术(IT:Information Technology)安全服务公司(www.atsec.com),它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec在德国慕尼黑成立于2000年,并且通过美国、德国、瑞典和中国的办公室开展了广泛的国际业务。atsec提供的服务包括正式的实验室测试和评估、独立的测试和评估以及信息安全咨询。

atsec提供PCI SSC体系下的服务,并且atsec是一家能够提供PCI DSS、PA-DSS以及PIN security标准的评估服务的QSA公司。atsec中国是目前唯一一家在中国以独立的实体获得了PCI SSC的QSA、ASV、PA QSA以及PIN security Assessor资质的中立的信息安全评估机构。atsec的渗透测试、应用安全、ASV(Approved Scanning Vendor)服务和信息安全咨询服务,作为评估服务工作的有力支撑。atsec是一家独立的公司,并且与其它产品供应商没有任何商业关系。

atsec提供美国国家标准与技术研究委员会(NIST:National Institute of Standards and Technology)和加拿大通讯安全协会(CSEC:Communications Security Establishment Canada)制定的密码模块验证体系下的密码模块和算法测试服务。atsec同时提供NIST个人身份验证体系(NPIVP)、密码算法测试(CAVP:Cryptographic Algorithm Validation Program)和安全内容自动化协议(SCAP:Security Content Automation Protocol Program)下的正式的测试,以及GSA FIPS 201 EP下的产品认可测试。

atsec愿意与任何公司合作,无论其规模大小,只要其重视IT安全。