返回
浅谈支付应用的安全最佳实践——PA DSS

浅谈支付应用的安全最佳实践——PA DSS

ID:8546013

大小:52.00 KB

页数:7页

时间:2018-04-01

浅谈支付应用的安全最佳实践——PA DSS_第1页
浅谈支付应用的安全最佳实践——PA DSS_第2页
浅谈支付应用的安全最佳实践——PA DSS_第3页
浅谈支付应用的安全最佳实践——PA DSS_第4页
浅谈支付应用的安全最佳实践——PA DSS_第5页
资源描述:

《浅谈支付应用的安全最佳实践——PA DSS》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、浅谈支付应用的安全最佳实践——PADSS随着电子支付的应用模式越来越广泛和多样,支付应用软件的安全保障问题日渐突出,成为整体支付安全的关键环节。Visa的研究表明,薄弱的支付应用程序是数据泄露事件发生的主要原因,特别是小型商户。“罪犯通常瞄准那些有安全漏洞的软件版本,”Visa公司全球数据安全负责人EduardoPerez表示,“所有处理支付卡信息的企业都必须遵守数据安全保护最高标准,以确保客户财务信息的安全性和私密性。”支付应用数据安全标准(PADSS:PaymentApplicationDataSecurityStan

2、dard)是国际上保障支付应用程序安全的最佳实践标准。标准的产生和使用对于大多数软件供应商而言,不涉及持卡人数据的存储、处理和传输,传统的支付卡行业数据安全标准(PCIDSS:PaymentCardIndustryDataSecurityStandard)不会直接适用于软件供应商,然而客户会使用此类软件进行持卡人数据的存储、处理和传输,这就要求软件供应商也需要符合PCIDSS,支付应用数据安全标准(PADSS)的发布是PCIDSS的完美补充和延续,它确保支付应用程序能够更好地保护持卡人数据安全,并确保软件解决方案实施了适当

3、的安全控制。PADSS的目标是为了帮助软件供应商和其他机构开发安全的支付应用系统,确保禁止存储的数据(如磁条数据、验证数据或密码(PIN)等敏感数据)不被保存,同时帮助商户及服务提供商减少数据泄露事件,全面推进整个支付卡行业数据安全标准(PCIDSS)的合规工作。PADSS的前身是PABP(PaymentApplicationBestPractices),最早由visa维护和管理。PADSS最新的版本V1.2于2008年10月1日发布,由五大卡品牌[美国运通(AmericanExpress)、美国发现金融服务(Discov

4、erFinancialServices)、JCB、万事达(MasterCardWorldwide)和Visa]组成的支付卡行业数据安全标准委员会(PCISecurityStandardsCouncil)统一维护和管理。该标准适用于从事支付应用程序开发并将其销售、发布或授权给第三方用于存储、处理或者传输持卡人的授权或结算数据的软件供应商或其他方。需要注意的是,PADSS不适用于仅为单一客户开发并向其销售的支付应用程序,同时也不适用于由商户与服务提供商开发的仅在内部使用的不销售给第三方的支付应用程序,但这些应用程序仍必须满足P

5、CIDSS的要求。如果软件供应商仅将支付功能集成在单一的或少量的基准模块中,同时保留其他模块用于非支付功能,那么审核仅关注在基准模块,这种方法可以限制符合PADSS的模块数量,降低合规成本。标准的执行该标准的评审工作为年度评审,由支付应用合格安全评估机构(PaymentApplicationQualifiedSecurityAssessors)按照标准要求和评估流程严格执行。PAQSA是指经由支付卡行业数据安全标准委员会(PCISecurityStandardsCouncil)严格培训且授予实施PA-DSS审查资格的QSA

6、,PCI安全标准委员会在其官方网站上维护了QSA的列表:https://www.pcisecuritystandards.org/pdfs/pci_pa-dss_list.pdf。atsec作为PCI安全标准委员会授权的PAQSA,在中国、美国和欧洲广泛的领域内开展PADSS的咨询和评估工作。PA-DSS的审查范围具体包括:所有支付应用程序功能,包括但不限于:终端到终端支付功能(授权或结算);输入和输出;故障状态;接口和连接到其他文件、系统和/或支付应用程序或应用程序组件;所有卡人数据流向;加密机制和验证机制。 应用程序供

7、应商向客户和经销商/集成商提供的指导信息,用以确保客户了解如何实施支付应用程序以符合PCIDSS的要求,并且明确告知客户,某些支付应用程序与环境设置可能会影响其对PCIDSS的合规性。接受审查的支付应用程序版本选定的所有平台。支付应用程序所含或所使用的用以访问和/或查看持卡人数据的工具(报告工具、记录工具等)。PADSS所涉及以下14个层面的安全要求:1.不要保留完整的磁条数据、卡验证值或代码(CAV2、CID、CVC2、CVV2)或PIN数据块2.保护存储的持卡人数据3.提供安全验证功能4.记录支付应用程序的活动5.开发

8、安全的支付应用程序6.保护无线传输7.针对漏洞测试支付应用程序8.便于安全的网络实施9.绝不能在连接到互联网的服务器上存储持卡人数据10.便于软件进行安全的远程更新11.便于对支付应用程序进行安全的远程访问12.对经由公共网络传输的敏感信息进行加密13.对所有非控制台管理访问进行加密14.维护好向客户、

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。