PA-DSS標準要求
針對支付套用的PA-DSS要求包括:
1.不存儲全磁條、卡授權密碼或者價值(CAV2, CID, CVC2, CVV2)或者PIN block數據
2.保護存儲的持卡人數據
3.提供安全的密碼特徵
4.套用活動
5.開發安全的套用
6.保護無線傳輸
7.測試套用以發現脆弱性
8.完成安全網路的實施
9.持卡人數據不允許存儲在連線網際網路的伺服器上
10.完成安全的遠程軟體升級
11.完成對套用的安全遠程訪問
12.通過公共網路加密敏感交易
13.加密所有non-console管理式訪問
14.維護指導文檔並且對客戶、分銷商和集成商進行培訓
什麼是PA DSS
支付套用數據安全標準PA DSS(Payment Application DataSecurity Standard)是面向支付軟體供應商所設計的安全要求,這個標準的目的是為了讓客戶更好的滿足支付卡產業數據安全標準(PCI DSS:Payment Card Industry Data SecurityStandard)的要求,PA DSS適用於第三方支付套用,這些支付套用可能會涉及到授權、清算結算過程中對持卡人數據的存儲、傳輸和處理。
執行PA DSS的目的
PA-DSS的目的是幫助供應支付套用給其他機構的軟體提供商開發安全的沒有存儲被禁止的數據的套用,例如完整磁條副本、其他敏感認證數據或者PIN數據,並且確保他們的支付套用符合PCI DSS。PA-DSS的要求適用於被銷售、分銷或者授權給第三方的支付套用。
PA DSS FAQ
我需要符合標準嗎
PCI安全標準委員會(PCI SSC:Security Standards council)發布了流程指導描述了流程並且進一步解釋了你是否需要合規。然而,符合PCI標準委員會標準的要求最終由卡品牌強制執行,不是PCI標準委員會自身。例如,VISA 要求新擴展的商戶從2008年10月起只能使用符合PA-DSS的軟體,其他機構則從2010年7月開始執行該要求。
如果您是支付套用產品的最終用戶,或者集成商/經銷商則PA-DSS對您不適用。
如果您是支付套用產品的廠商,該支付套用產品作為授權和結算的一部分,存儲、處理或者傳輸持卡人數據,並且銷售、分銷或者授權給第三方;那么您的產品需要合規。
PA-DSS適用於支付應用程式一般由軟體廠商銷售並且安裝方便(“off the shelf”)而沒有太多客戶定製化。
PA-DSS適用於以模組形式提供的支付應用程式,一般包括 “基線”模組和其他具體針對不同類型的客戶或者功能的模組,或者根據客戶的要求定製化。 PA-DSS可能僅僅適用基線模組,如果該模組僅僅執行支付功能(一旦被PA-QSA確認)。如果其他模組也執行支付功能,PA-DSS同樣適用於這些模組。注意:將支付功能隔離在一個單獨的或者小規模的基線模組中是被軟體廠商所認可的“最佳實踐”,保留非支付功能於其他的模組中。該最佳實踐(儘管非要求)能夠減小模組的合規數量。
PA-DSS不適用於僅僅為一個客戶開發並銷售的支付應用程式,因為該應用程式將作為正常的PCI DSS合規審核的一部分。注意:這樣的應用程式(可能被歸類為“預定”應用程式),僅銷售給一個客戶(通常是一個大型商戶或者服務提供商)並且其設計和開發依據客戶所提供的規格。
PA-DSS不適用於由商戶和服務提供商自我開發且僅僅用於內部的支付應用程式,因為這樣的內部開發和使用的支付應用程式將作為商戶或者服務提供商正常的PCI DSS合規的一部分。
仍需驗證
我所提供的支付應用程式既是一款軟體也是一項服務。我仍然需要驗證嗎?
它取決於:
當您使用了您自己的內部研發支付應用程式,並且僅僅提供了虛擬終端給你的客戶(例如,瀏覽器中的線上小程式),該支付應用程式的評估包括在您常規的QSA 評估中。
儘管如此,如果您的客戶安裝了您所提供的軟體在他們的系統中,或者您授權或銷售SaaS解決方案給其他的供應商,則PA-DSS是適用的。
我如何找到合格的PA安全評估機構
PCI安全標準委員會(PCI Security Standards Council)在他們的網站上維護了PA-QSA列表,由SSC認可執行評估。atsec,作為PA-QSA,出現在列表中,且在中國具有獨立法人實體,提供中國本土的PA QSA評估,並成功高質量完成了諸多支付套用的評估工作。
評估中會做什麼
評估遵循PA DSS安全審計流程,提供了一個類別清單既測試流程。一般情況下,支付套用合格安全評估機構(PA-QSA)將首先要求查看您的支付應用程式、環境和流程的文檔。審核完畢這些之後,評估將被執行以驗證您的文檔的正確性,同時包括敏感數據是否以符合標準的形式處理和存儲。最終,PA-QSA將或者提供您一份驗證報告(ROV:Report of Validation)聲明您滿足標準的要求,或者提供您一份在ROV能夠發布之前需要解決的問題的清單。
欲了解更多的信息請瀏覽PCI標準委員會的安全審計流程。