《浅谈支付应用的安全最佳实践——PA DSS》.docVIP

浅谈支付应用的安全最佳实践——PA DSS 随着电子支付的应用模式越来越广泛和多样，支付应用软件的安全保障问题日渐突出，成为整体支付安全的关键环节。Visa的研究表明，薄弱的支付应用程序是数据泄露事件发生的主要原因，特别是小型商户。“罪犯通常瞄准那些有安全漏洞的软件版本，”Visa公司全球数据安全负责人Eduardo Perez表示，“所有处理支付卡信息的企业都必须遵守数据安全保护最高标准，以确保客户财务信息的安全性和私密性。”支付应用数据安全标准（PA DSS：Payment Application Data Security Standard）是国际上保障支付应用程序安全的最佳实践标准。 标准的产生和使用 对于大多数软件供应商而言，不涉及持卡人数据的存储、处理和传输，传统的支付卡行业数据安全标准（PCI DSS：Payment Card Industry Data Security Standard）不会直接适用于软件供应商，然而客户会使用此类软件进行持卡人数据的存储、处理和传输，这就要求软件供应商也需要符合PCI DSS，支付应用数据安全标准（PA DSS）的发布是PCI DSS的完美补充和延续，它确保支付应用程序能够更好地保护持卡人数据安全，并确保软件解决方案实施了适当的安全控制。PA DSS的目标是为了帮助软件供应商和其他机构开发安全的支付应用系统，确保禁止存储的数据（如磁条数据、验证数据或密码（PIN）等敏感数据）不被保存，同时帮助商户及服务提供商减少数据泄露事件，全面推进整个支付卡行业数据安全标准（PCI DSS）的合规工作。 PA DSS的前身是PABP（Payment Application Best Practices），最早由visa维护和管理。PA DSS最新的版本V1.2于2008年10月1日发布，由五大卡品牌[美国运通（American Express）、美国发现金融服务（Discover Financial Services）、JCB、万事达（MasterCard Worldwide）和Visa]组成的支付卡行业数据安全标准委员会（PCI Security Standards Council）统一维护和管理。 该标准适用于从事支付应用程序开发并将其销售、发布或授权给第三方用于存储、处理或者传输持卡人的授权或结算数据的软件供应商或其他方。需要注意的是，PA DSS不适用于仅为单一客户开发并向其销售的支付应用程序，同时也不适用于由商户与服务提供商开发的仅在内部使用的不销售给第三方的支付应用程序，但这些应用程序仍必须满足 PCI DSS 的要求。 如果软件供应商仅将支付功能集成在单一的或少量的基准模块中，同时保留其他模块用于非支付功能，那么审核仅关注在基准模块，这种方法可以限制符合 PA DSS 的模块数量，降低合规成本。 标准的执行 该标准的评审工作为年度评审，由支付应用合格安全评估机构（Payment Application Qualified Security Assessors）按照标准要求和评估流程严格执行。PA QSA是指经由支付卡行业数据安全标准委员会（PCI Security Standards Council）严格培训且授予实施 PA-DSS 审查资格的 QSA，PCI安全标准委员会在其官方网站上维护了QSA的列表：/pdfs/pci_pa-dss_list.pdf。 atsec作为PCI安全标准委员会授权的PA QSA，在中国、美国和欧洲广泛的领域内开展PA DSS的咨询和评估工作。 PA-DSS 的审查范围具体包括： 所有支付应用程序功能，包括但不限于：终端到终端支付功能（授权或结算）；输入和输出；故障状态；接口和连接到其他文件、系统和/或支付应用程序或应用程序组件；所有卡人数据流向；加密机制和验证机制。应用程序供应商向客户和经销商/集成商提供的指导信息，用以确保客户了解如何实施支付应用程序以符合 PCI DSS 的要求，并且明确告知客户，某些支付应用程序与环境设置可能会影响其对 PCI DSS 的合规性。 接受审查的支付应用程序版本选定的所有平台。 支付应用程序所含或所使用的用以访问和/或查看持卡人数据的工具（报告工具、记录工具等）。 PA DSS所涉及以下14个层面的安全要求： 1. 不要保留完整的磁条数据、卡验证值或代码 (CAV2、CID、CVC2、CVV2) 或 PIN 数据块 2. 保护存储的持卡人数据 3. 提供安全验证功能 4. 记录支付应用程序的活动 5. 开发安全的支付应用程序 6. 保护无线传输 7. 针对漏洞测试支付应用程序 8. 便于安全的网络实施 9. 绝不能在连接到互联网的服务器上存储持卡人数据 10. 便于软件进行安全的远程更新 11. 便于对支付应