支付安全

PCI PIN Security 服务

咨询我们的专家。我们很高兴为您提供支持。

atsec提供的服务:

atsec中国是支付卡产业(PCI:Payment Card Industry)安全标准委员会(SSC:Security Standards Council) 授权的合格PIN安全评估(QPA:Qualified PIN Assessor)机构。作为PCI认可的安全评估机构QPA,atsec中国面向全球市场提供PIN安全现场评估服务。atsec自2016年便获得了之前由VISA维护的PIN安全评估机构(VSA:Visa-approved Security Assessor)。

PCI PIN安全要求标准(PCI PIN Security Requirements standard)包括在ATM以及有人看守和无人看守销售点(POS:point-of-sale)终端处理在线或者离线支付卡交易时,针对个人识别数字(PIN:personal identification number)安全管理、处理和传输的完整的要求。

除了评估服务,atsec拥有完整的方法论并提供完整的咨询服务,从而支持机构实现PCI PIN安全标准的合规。我们的咨询顾问在标准7个控制目标(Control Objective)以及标准附录(Normative Annex)A和B领域拥有丰富经验,可以帮助机构进行策略和流程的制定,且针对标准的合规性执行评估。标准要求包括:

  • 控制目标1(Control Objective 1):采用确保安全的设备和方法处理本标准所管控的交易PIN(PINs used in transactions governed by these requirements are processed using equipment and methodologies that ensure they are kept secure.)
  • 控制目标2(Control Objective 2):用于PIN加密/解密的密钥以及相关的密钥管理的创建流程,应确保不可能预测任何密钥或者确定特定的密钥比其他密钥更大的可能性(Cryptographic keys used for PIN encryption/decryption and related key management are created using processes that ensure that it is not possible to predict any key or determine that certain keys are more probable than other keys.)
  • 控制目标3(Control Objective 3):密钥应在安全的方式下运送和传输(Keys are conveyed or transmitted in a secure manner.)
  • 控制目标4(Control Objective 4):HSM的密钥载入和PIN输入设备应在安全的方式下处理(Key-loading to HSMs and PIN entry devices is handled in a secure manner.)
  • 控制目标5(Control Objective 5):密钥的使用应禁止或能够检测未授权的使用(Keys are used in a manner that prevents or detects their unauthorized usage.)
  • 控制目标6(Control Objective 6):密钥采用安全的方式进行管理(Keys are administered in a secure manner.)
  • 控制目标7(Control Objective 7):用于处理PIN的设备和密钥应在安全的方式下管理(Equipment used to process PINs and keys is managed in a secure manner.)
  • 标准附录A(Normative Annex A) – 采用非对称技术进行对称密钥分发(Symmetric Key Distribution using Asymmetric Techniques)
    • A1 – 采用非对称技术操作进行远程密钥分发:PIN安全要求(Remote Key Distribution Using Asymmetric Techniques Operations: PIN Security Requirements)
    • A2 – 证书和注册授权操作:PIN安全标准(Certification and Registration Authority Operations: PIN Security Requirements)
  • 标准附录B(Normative Annex B) – 密钥注入设施(Key-Injection Facilities)

为什么我们的服务对您很重要:

当机构管理、处理和/或传输PIN数据时,PCI PIN安全合规可能会被卡品牌、监管结构以及合作机构所强制要求。

比如VISA要求所有处理VISA PIN数据的服务提供商(包括代表VISA客户进行PIN处理、转换、接受,和/或密钥管理服务)应完全符合VISA PIN安全体系安全要求和VISA规定的验证截至日期,这些机构包括但不限于:获取PIN的第三方VisaNet处理者(VNP)、作为服务提供商获取PIN的客户VNP、获取PIN第三方服务者(TPS)、加密和支持组织(ESO)。成功提交VAOC给VISA证明其合规状态的VISA PIN安全体系参与者将会被列在VISA服务提供商网站的全球服务提供商注册系统中。

根据VISA规定,没有完成合规评估的罚则规定如下:

  • 最初的违背以及未合规的每个月,至多最初违背之后的四个月:每个月10,000美元罚金
  • 违背四个月之后,以及其后的每个月:每个月25,000美元罚金

atsec在PCI PIN安全相关领域具有丰富的经验和知识积累,可以协助机构提高整体信息安全水平。

还有其他问题吗?

找不到您想要的东西?让我们进一步交流吧!