支付安全

PCI 3DS服务

咨询我们的专家。我们很高兴为您提供支持。

atsec提供的服务:

atsec中国是支付卡产业(PCI:Payment Card Industry)安全标准委员会(SSC:Security Standards Council)授权的3DS评估机构。目前atsec中国的PCI 3DS评估服务市场包括加拿大、欧洲、美国和亚太(包括中国)。

作为合格的3DS评估机构,atsec中国面向3DS数据环境(3DE:3DS data environment)提供基于3DS核心安全标准(PCI 3DS Core Security Standard)的现场安全评估。该标准提供了完整的逻辑和物理安全要求,以及执行PCI 3DS评估的评估流程。

atsec中国的3DS评估师和您紧密配合,首先会确定3DE范围,然后评估PCI 3DS要求,最终完成PCI 3DS ROC和AOC,并提交给相关的卡品牌、合作机构或者监管机构,在必要时进一步执行重新验证。

除了评估服务,atsec提供完整的咨询服务支持机构实现PCI 3DS标准的合规。我们的咨询顾问拥有标准两个部分14个要求丰富专业的经验,协助机构实现标准的合规。

PCI 3DS核心安全标准分为两个部分。第一部分是用于保护3DE的技术和操作安全控制的基线要求。如果机构的3DE环境已经完整实现了PCI DSS的合规评估,可以采用PCI DSS评估结果支持PCI 3DS第一部分要求的验证。

  • 维护所有人员的安全策略(Maintain security policies for all personnel)
  • 安全网络连接(Secure network connectivity)
  • 开发和维护安全系统(Develop and maintain secure systems)
  • 脆弱性管理(Vulnerability management)
  • 管理访问(Manage access)
  • 物理安全(Physical security)
  • 事件响应准备(Incident response preparedness)

要求的第二部分是3DS安全要求,用于保护3DS数据和流程。无论机构是否已经PCI DSS合规,如果机构执行3DS功能,则第二部分的要求必须作为评估的环节被执行。

  • 验证范围(Validate scope)
  • 安全管控(Security governance)
  • 保护3DS系统和应用(Protect 3DS systems and applications)
  • 针对3DS系统的安全逻辑访问(Secure logical access to 3DS systems)
  • 保护3DS数据(Protect 3DS data)
  • 密码和密钥管理(Cryptography and key management)
  • 3DS系统的物理防护(Physically secure 3DS systems)

为什么我们的服务对您很重要:

PCI 3DS核心安全要求用于保护3DS功能执行或者3DS数据存储所在的3DS环境。需要保护的特定功能包括:3DS服务器(3DS server)、3DS目录服务器(3DS Directory Server)和3DS访问控制服务器(3DS Access Control Server)。

EMV 3-D安全协议和核心功能规范(EMV 3-D Secure Protocol and Core Functions Specification)定义了如何实施3-D安全协议,该标准由EMVCo进行管理和维护。PCI 3DS核心安全标准(PCI 3DS Core Security Standard)支持3DS的实施,该标准由PCI安全标准委员会负责管理和维护。

3DS,也即“EMV Three Domain Secure”、“EMV 3-D安全”,或EMV 3DS,是由EMVCo所开发的安全协议,用于支持消费者进行卡不呈现类型(CNP:card-not-present)的电子商务交易时的卡信息认证,从而阻止潜在的未授权的交易,帮助商户抵御欺诈风险或行为。3DS定义中的三个维度(3D)包括发卡机构(Issuer Domain)、商户或者收单机构(Merchant or Acquirer Domain)、以及交互域(Interoperability Domain),通过上述各方的信息认证为持卡人提供更加安全可靠的支付方式。

与旧版本的3DS协议(3DS version 1)相比,最新的3DS 2.0支持移动终端和传统浏览器的安全认证和身份识别,从而可以更加方便持卡人在移动终端(如智能手机、平板电脑)或者传统PC上完成操作。3DS 2.0规范所支持的持卡人身份识别方式更加全面,包括但不限于在线PIN、离线PIN、挑战响应(Challenge-response)、共享密钥、静态密码、生物识别、一次性密码等。

如果机构实现了3DS新版本的功能,PCI 3DS标准合规可能由卡品牌、监管机构或者合作机构所强制要求。atsec在PCI 3DS标准相关的诸多安全领域拥有丰富的经验和专业技能,可以协助机构提高3DS环境的整体安全水平。

还有其他问题吗?

找不到您想要的东西?让我们进一步交流吧!