平安集团顺利通过atsec的PCI DSS合规评估

2018-10-17

中国,北京 - 2018年9月,中国平安保险(集团)股份有限公司通过了atsec基于支付卡产业数据安全标准(PCI DSS:Payment Card Industry Data Security Standards)v 3.2.1版本的符合性评估,这也是中国平安保险(集团)股份有限公司首次通过PCI DSS数据安全标准符合性评估。

PCI DSS标准由国际卡组织维护和推动,旨在严格控制支付卡数据存储、传输或处理以保障支付卡用户交易安全,但是伴随互联网金融行业以及大数据的飞速发展,企业对数据安全保护越发重视。PCI DSS标准发布并实施十余年以来,经过产业的最佳实践和不同行业对信息安全建设的理解,越来越多的机构尽管并不直接在业务中涉及支付卡数据,但却自发的采用PCI DSS标准在企业内部进行合规性建设。本次PCI DSS合规认证项目即是平安集团为了加强自身信息安全水平,增强企业内部和外部信息安全架构等全方面的信心而积极申请和取得的成绩。

PCI DSS 合规建设过程由atsec与平安集团共同配合完成,包括脆弱性分析、渗透测试、现场访谈、文档审核,以及实际配置和实现检查等方式,审查范围包括硬件、软件、工作流程、员工、用户等诸多内容,总共六大类十二个要求数百项审查项目。atsec依据并采用在2018年5月由PCI标准委员会最新发布的PCI DSS v3.2.1标准,对于平安集团的网络架构安全、持卡人数据的管理、公共网络的传输、安全认证、数据加密和日志审计等方面进行了严格的审查。atsec始终保持着严谨、专业和高效的工作态度并依据资金管理部提交的整改证据,严格执行了正式的首年度合规评估。双方在项目过程中紧密配合,共同积极推进了合规工作的顺利进行。最终,在完成所有差距问题整改并得到验证和完整评估后,atsec评估团队出具了合规报告(ROC:Report on Compliance)和合规证明(AOC:Attestation of Compliance)。

对于本次PCI合规的成功合作,平安集团表示:“感谢艾特赛克(atsec)专家团队对平安资金系统安全能力的全面评估及高度认可,平安一贯高度重视数据安全,拥有行业领先的资金系统及经验丰富的专家团队,运用前沿金融科技维护客户、业务、交易数据安全。此次获得PCI认证,既是对我们过去多年积累的肯定,也为未来迈向科技、数据、AI驱动的资金系统打下坚实基础”。

atsec资深顾问和PCI实验室副主任高向东评论到:“首先向平安集团表示祝贺,资金管理项目团队在合规中呈现出了优异的项目管理和技术能力。PCI DSS不仅仅是支付产业对各类持卡人数据和敏感认证数据保护的安全标准,也是国际范围内对数据安全进行保护的最佳实践。同时,我们也希望更多的金融机构参照PCI DSS进行数据安全的保护,以及借鉴产业最佳实践推动信息安全管理的不断提升”。

多年以来,atsec在国内率先拥有诸多中国本土授权的PCI评估师QSA,atsec中国全体团队成员以及强大的海外专家团队面向中国、以及亚太和全球的客户提供高质量、高效、且以业务为导向的PCI完整服务,而由于atsec中国团队的专注性以及服务中国客户的期望,我们非常重视且贡献于中国的支付安全产业。

关于艾特赛克(atsec)信息安全
艾特赛克信息安全(atsec information security)是一家独立且基于标准的信息技术(IT:Information Technology)安全服务公司(www.atsec.com),它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec在德国慕尼黑成立于2000年,并且通过美国、德国、瑞典和中国的办公室开展了广泛的国际业务。atsec提供的服务包括正式的实验室测试和评估、独立的测试和评估以及信息安全咨询。

atsec提供PCI SSC体系下的服务,并且atsec是一家能够提供PCI DSS和PA-DSS标准的评估服务的QSA公司。atsec中国是目前唯一一家在中国以独立的实体获得了PCI SSC的QSA、ASV和PA QSA资质的中立的信息安全评估机构。atsec的渗透测试、应用安全、ASV(Approved Scanning Vendor)服务和信息安全咨询服务,作为评估服务工作的有力支撑。atsec是一家独立的公司,并且与其它产品供应商没有任何商业关系。

atsec提供美国国家标准与技术研究委员会(NIST:National Institute of Standards and Technology)和加拿大通讯安全协会(CSEC:Communications Security Establishment Canada)制定的密码模块验证体系下的密码模块和算法测试服务。atsec同时提供NIST个人身份验证体系(NPIVP)、密码算法测试(CAVP:Cryptographic Algorithm Validation Program)和安全内容自动化协议(SCAP:Security Content Automation Protocol Program)下的正式的测试,以及GSA FIPS 201 EP下的产品认可测试。

atsec愿意与任何公司合作,无论其规模大小,只要其重视IT安全。