atsec成为全球首批PCI DSS v4评估机构
2022-07-122022年7月12日,atsec已经完成支付卡产业安全标准委员会(PCI SSC:Payment Card Industry Security Standards Council)针对新版本标准的考核,成为全球首家可以基于新版本标准支付卡产业数据安全标准PCI DSS (Payment Card Industry Data Security Standard)v4.0执行评估的合格安全评估机构QSA(Qualified Security Assessor)。
截至目前,全球范围只有极少数的QSA公司完成了考核可以协助客户采用PCI DSS v4.0执行评估,而截至2022年7月12日atsec也是这极少数机构中唯一一个位于中国大陆地区的本土QSA。atsec相信未来会有更多的机构完成考核,整个产业也会更加平稳过渡到新版本标准的应用,以及合规和评估。
2022年3月31日PCI DSS正式发布v4.0版本后,为了顺利应对产业变化以及标准变更过渡周期内的数据安全问题,全球支付产业不同角色的机构都在积极研读和分析该标准版本更新对业务架构、网络应用等持续合规带来的影响。该版本标准应对了持续演进的风险和技术,同时也引入了更加创新性的方法应对新的威胁。
atsec作为PCI产业全球执行评估机构圆桌会议GEAR(Global Executive Assessor Roundtable)成员从PCI DSS v4.0编写之初参与了标准的研讨和反馈,也针对新版本的合规做了诸多的准备和方法论的积累。
PCI SSC承担标准制定与维护、PCI产业标准家族中各个标准的安全评估机构授权、评估人员培训与考试、评估质量监管以及产业社区会议的举办、维护支付卡产业参与机构PO等诸多职责。如下图所示的PCI SSC在2022年3月31日正式发布v4.0版本后,将有两年的过渡时间允许产业机构继续采用老版本(PCI DSS v3.2.1)开展合规,在2024年3月31日PCI DSS v3.2.1将正式退出使用。并根据PCI SSC要求所有被授权的PCI DSS QSA安全评估机构以及QSA公司内的QSA安全评估人员,需完成v4.0版本培训并通过考试后才可为被评估机构使用PCI DSS v4.0新版本标准开展评估工作。
                                                             图:PCI DSS v4.0实施时间(原图来自PCI SSC资料)
随着atsec等QSA机构获得了PCI DSS v4.0的评估资质,相信产业更多的机构将开始正式进入到针对新版本进行合规和评估的准备。
atsec期待着协助产业机构更加平稳和高效的执行标准的应用。同时,也请继续期待atsec即将发布的PCI DSS标准变更的详细介绍和研讨。