支付卡行业安全标准委员会发布支付应用程序数据安全标准
委员会管理的标准通过支付应用程序全球计划提高支付持卡人的数据安全。
管理支付卡行业(PCI)数据安全标准 (DSS)、支付卡行业 PIN 码输入设备 (PED) 安全要求和支付应用程序数据安全标准 (PA-DSS)的全球性、开放式行业标准机构 PCI 安全标准委员会于4 月 15 日在电子交易协会年会和博览会上宣布了支付应用程序数据安全标准 (PA-DSS) 的 1.1 版本。发布 PA-DSS 后,委员会将于今年秋天公布一项计划,包括维护有效的支付应用程序清单。用户可通过此清单辨别出获 PCI SSC 验证的支付应用程序,并满足新的标准。
越来越多的罪犯通过支付应用程序的脆弱性盗取支付卡数据,某些软件可神不知鬼不觉地在用户系统中存储机密的支付卡数据。
零售解决方案提供商协会的执行董事 J. Joseph Finizio 说:“许多商人和零售商在支付处理应用程序上依靠第三方软件供应商。有了委员会管理全球认证的有效支付应用程序清单后,各种规模的商家便可轻松地选择已被各大主要支付品牌接受的有效的支付应用程序,从而持续保证持卡人数据的安全。”
现在由委员会管理的 PA-DSS 此前由 Visa 公司管理,其名称为支付应用程序最优方法 (PABP)。PA-DSS 的目标是帮助软件提供商及他人开发不会存储如完整磁条、其它机密验证数据或者 PIN 数据等的安全支付应用程序,并保证其支付应用程序符合 PCI DSS 的要求。PA-DSS 的要求适用于销售、发布或者授权给第三方的支付应用程序。PA-DSS 的要求不适用于商家或者服务提供商开发的、非销售给第三方的企业内部的支付应用程序,但这些程序仍必须满足 PCI DSS 的要求。
此外,委员会会在接下来的几个月内对想成为合格支付应用程序安全顾问 (PA-QSAs) 的公司进行资格审查。成为PA-QSA 的公司将在由委员会维护和出版的清单中予以公开,此后便可根据 PA-DSS 安全审查程序展开 PA-DSS 评估工作。以前根据 Visa PABP 被认证为 PA-QSA 的所有公司须登记并重新认证为委员会 PA-QSA。符合 Visa PABP 标准的支付应用程序将转至 PCI SSC 认证清单。PCI 安全标准委员会总经理 Bob Russo 说:“PA-DSS 的发布和明确的 PA-QSA 程序是委员会的另一个关键性里程碑。关于经认证的支付应用程序和安全顾问的信息来源是唯一的,这给商家和服务提供商带来了商业价值,使其在支付应用程序的安全性方面可做出明智的选择。”