atsec中国增加全面的PCI SSF审核资质

2020-04-10

atsec中国获得支付卡产业安全标准委员会(PCI SSC:Payment Card Industry Security Standards Council)的资质授权,成为了PCI软件安全框架(SSF:Software Security Framework)体系软件安全生命周期(SLC:Secure Software Lifecycle)评估机构和安全软件(Secure Software)评估机构,从而可以开展针对软件生命周期的评估,以及厂商支付软件的验证。

PCI SSF是面向支付软件安全设计和开发的标准和体系。支付软件的安全性是支付交易流程的重要组成部分,是实现可靠、准确支付交易的关键。SSF支持更广泛的支付软件类型、技术和开发方法,采用新式的要求描述方式取代支付应用数据安全标准(PA-DSS:Payment Application Data Security Standard)。SSF采用专注于结果的要求,为开发人员提供了更多的灵活性,以便更好的将支付应用程序安全性,和灵活的开发实践以及频繁的更新周期相结合。SSF能够在不影响安全性的情况下,更加有效地为商户提供支付应用的定制和功能。同时,SSF提高了测试支付应用的一致性和透明度,从而提高了针对实施和管理支付解决方案使用的商户、服务提供商和收单机构的验证保证。

作为合格的安全软件生命周期(SLC)评估机构,atsec可以根据安全生命周期标准(Secure SLC Standard)进行安全SLC评估。Secure SLC标准旨在面向支付产业开发软件的软件供应商,验证其生命周期的实践。该标准为支付软件供应商提供了安全要求,以便在整个软件生命周期中整合安全性,从而使软件在设计上是安全的,并且能够抵御攻击。成功通过了atsec作为Secure SLC评估机构的验证,软件供应商将被公布于PCI SSC安全SLC合格供应商(Secure SLC Qualified Vendors)的列表中。安全SLC合格供应商被允许在精简评估机构参与或监督的情况下,执行和自我证明其自己的软件“增量”评估("Delta" assessment)。

作为合格的安全软件(Secure Software)评估机构,atsec可以根据安全软件标准(Secure Software Standard)进行安全软件评估。该标准规定了构建安全支付软件的安全要求,以保护与支付交易相关的存储、处理或传输的敏感数据的完整性和机密性。成功通过了atsec作为安全软件评估机构的评估后,经验证的支付软件将被公布于PCI SSC经验证支付软件(Validated Payment Software)列表中。原有的PA-DSS体系将于2022年10月底正式废除。

经过授权的SSF评估机构可以在PCI SSC官方网站上查询:
https://www.pcisecuritystandards.org/assessors_and_solutions/software_security_framework_assessors

目前(截至2020年4月10日),全球范围共有9家经过授权的合规评估机构,且atsec是唯一一家上述两个SSF体系授权且拥有中国本土评估人员的评估机构。

除了SSF评估资质,atsec中国作为PCI QSA、ASV、QPA、PA QSA、P2PE、3DS assessor和PFI,提供全面的服务,贡献于机构的PCI安全合规。

关于atsec PCI服务的更多信息,参见:
http://www.atsec.cn/it-security-services/pci/en/index.html