atsec中国完成安徽悦航SPayPOS产品基于PCI SSF的安全软件认证
2023-01-30中国,北京 - atsec很荣幸地宣布在2022年12月完成了安徽悦航信息技术有限公司(英文“Anhui Yuehang Information Technology Co., LTD”)(以下简称“安徽悦航”)SPayPOS产品,基于支付卡行业(PCI:Payment Card Industry)的软件安全框架(SSF:Software Security Framework)中安全软件(Secure Software)标准要求的评估,并获得了支付卡产业安全标准委员会(PCI SSC:Payment Card Industry Security Standard Council)的验证和结果的公布。
成功的评估结果发布在PCI SSC官方网站上:
https://listings.pcisecuritystandards.org/assessors_and_solutions/payment_software
PCI SSF是面向支付软件安全设计和开发的标准和体系。支付软件的安全性是支付交易流程的重要组成部分,是实现可靠、准确支付交易的关键。SSF采用专注于结果的要求,为开发人员提供了更多的灵活性,以便更好的将支付应用程序安全性,和灵活的开发实践以及频繁的更新周期相结合。SSF能够在不影响安全性的情况下,更加有效地为商户提供支付应用的定制和功能。同时,SSF提高了测试支付应用的一致性和透明度,从而提高了针对实施和管理支付解决方案使用的商户、服务提供商和收单机构的验证保证。
经双方团队的高效配合,本次SPayPOS产品完成了Secure Software的从控制目标1至控制目标12以及模块A的所有标准点的比对、整改和验证。
对于本次PCI SSF认证的成功合作,安徽悦航总经理石杰表示:“在云支付平台、移动支付领域,无论是从最终消费者还是收单机构、银行以及卡组织的视角去看,支付以及金融交易的安全性是保障整个业务得以成功运营的基础。安徽悦航SpayPOS支付平台的安全架构从底层架构设计,到顶层的运营流程,都严格按照金融级安全标准PCI SSF的标准实施。PCI SSF是金融支付领域的安全强制规范,我们很高兴我们的SpayPOS云支付平台能最终通过atsec合规评估以及PCI标准委员会的验证,我们希望该标准的合规将进一步确保我们客户支付业务的全流程安全。”
atsec中国的技术总监张力对于本次成功合作评论到:“2022年10月28日,PA-DSS已正式退出历史舞台。作为PA-DSS的替代标准,PCI Secure Software标准针对支付软件定义了一套更严格、更高的标准要求,最终目的是为了保护支付交易与数据的机密性与完整性。我们在此向安徽悦航表示祝贺,也希望通过PCI SSF的合规促进支付软件供应商能更多地参与到国际性的业务合作,并且提高自身的软件设计、开发与交付技术水平。在此过程中,atsec也将持续与产业标准化组织、厂商等积极沟通和交流,致力于新的模块或者标准发展的相关工作,为支付产业进一步做出我们的贡献。”
多年以来,atsec在国内率先拥有诸多中国本土授权的PCI评估师QSA,atsec中国全体团队成员以及强大的海外专家团队面向中国、以及亚太和全球的客户提供高质量、高效、且以业务为导向的PCI完整服务,而由于atsec中国团队的专注性以及服务中国客户的期望,我们非常重视且贡献于中国的支付安全产业。
关于艾特赛克(atsec)信息安全
atsec information security是一家独立且基于标准的信息技术(IT:Information Technology)安全咨询、评估和测评服务公司,它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec于2000年成立于德国,目前通过欧洲、美国和亚洲的分支机构,广泛的面向世界范围商业和政府的诸多领域。我们的同事是不同技术领域的专家,包括操作系统、数据库、网络设备、嵌入式系统等等。
我们的实验室根据不同的标准开展商业产品和系统的评估和测试,包括Common Criteria、FIPS 140-3、O-TTPS、PCI、ISO/IEC 27001和NESAS,从而确保用户的安全性。我们针对不同规模的客户成功完成了诸多的脆弱性评估、密码测试、安全审计,以及独立的评估,涉及电信、金融和能源等不同行业。
支付卡产业(PCI: Payment Card Industry),atsec提供不同安全评估体系和标准领域的完整服务。atsec经过PCI安全标准委员会(SSC: Security Standards Council)授权认可的安全评估资质包括PCI数据安全标准(PCI DSS: PCI Data Security Standard)合格的安全性评估机构(QSA: Qualified Security Assessor)、授权的扫描服务商(ASV: Approved Scanning Vendor)、PCI点对点加密(P2PE:POINT-TO-POINT ENCRYPTION)评估机构、PCI 3DS评估机构、合格PIN评估机构(QPA:Qualified PIN Assessor)、PCI软件安全框架(SSF:Software Security Framework)软件安全(Secure Software)和安全软件生命周期(SLC:Secure Software Lifecycle)评估机构、卡生产安全评估机构(CPSA:Card Production Security Assessor)(面向物理和逻辑安全要求两个独立的标准),以及取证调研机构(PFI:PCI Forensic Investigators)。此外,atsec提供PCI合规相关支持服务,包括但不限于体系文档和整改咨询、渗透测试、风险评估等。
atsec是产业的领导者和贡献者,我们是年度国际密码会议(ICMC)的成立者。atsec积极贡献于不同的标准化组织,包括Common Criteria、ISO、GSMA、PCI GEAR,以及欧盟安全法令工作组等。
关于安徽悦航信息
安徽悦航信息技术有限公司(简称“悦航信息”)成立于2017年,是国内专业的创新金融支付场景技术服务商,也是领先的商户数字化经营运营商。旗下拥有聚合支付“悦航夸付”云平台、商业支付“悦航Spaypos”支付受理、“惠商通”商户营销平台3大产品体系;覆盖医院、商场、教育、酒店、餐饮、零售及文旅综合体等场景。“悦航夸付”云平台率先实现了支付方式、支付场景、商户类型、结算方式、调用模式的五大超级聚合,并以支付为核心,为商户提供包括会员、收银、聚合发券、小程序、消费分期、广告营销、电子发票等在内的全套数字化增值服务,成功为众多银行商户提供一站式数字化经营综合解决方案服务。详见官网(www.spaypos.cn)