隨著電子支付的應(yīng)用模式越來越廣泛和多樣，支付應(yīng)用軟件的安全保障問題日漸突出，成為整體支付安全的關(guān)鍵環(huán)節(jié)。Visa的研究表明，薄弱的支付應(yīng)用程序是數(shù)據(jù)泄露事件發(fā)生的主要原因，特別是小型商戶?！白锓竿ǔＣ闇誓切┯邪踩┒吹能浖姹荆盫isa公司全球數(shù)據(jù)安全負責(zé)人Eduardo Perez表示，“所有處理支付卡信息的企業(yè)都必須遵守數(shù)據(jù)安全保護最高標準，以確?？蛻糌攧?wù)信息的安全性和私密性。”支付應(yīng)用數(shù)據(jù)安全標準(PA DSS：Payment Application Data Security Standard)是國際上保障支付應(yīng)用程序安全的最佳實踐標準。

標準的產(chǎn)生和使用

對于大多數(shù)軟件供應(yīng)商而言，不涉及持卡人數(shù)據(jù)的存儲、處理和傳輸，傳統(tǒng)的支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS：Payment Card Industry Data Security Standard)不會直接適用于軟件供應(yīng)商，然而客戶會使用此類軟件進行持卡人數(shù)據(jù)的存儲、處理和傳輸，這就要求軟件供應(yīng)商也需要符合PCI DSS，支付應(yīng)用數(shù)據(jù)安全標準(PA DSS)的發(fā)布是PCI DSS的完美補充和延續(xù)，它確保支付應(yīng)用程序能夠更好地保護持卡人數(shù)據(jù)安全，并確保軟件解決方案實施了適當(dāng)?shù)陌踩刂啤A DSS的目標是為了幫助軟件供應(yīng)商和其他機構(gòu)開發(fā)安全的支付應(yīng)用系統(tǒng)，確保禁止存儲的數(shù)據(jù)(如磁條數(shù)據(jù)、驗證數(shù)據(jù)或密碼(PIN)等敏感數(shù)據(jù))不被保存，同時幫助商戶及服務(wù)提供商減少數(shù)據(jù)泄露事件，全面推進整個支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)的合規(guī)工作。

圖：保護持卡人數(shù)據(jù)的PCI安全標準系列及其關(guān)系示意 [1]

PA DSS的前身是PABP(Payment Application Best Practices)，最早由visa維護和管理。PA DSS最新的版本V1.2于2008年10月1日發(fā)布，由五大卡品牌[美國運通(American Express)、美國發(fā)現(xiàn)金融服務(wù)(Discover Financial Services)、JCB、萬事達(MasterCard Worldwide)和Visa]組成的支付卡行業(yè)數(shù)據(jù)安全標準委員會(PCI Security Standards Council)統(tǒng)一維護和管理。

該標準適用于從事支付應(yīng)用程序開發(fā)并將其銷售、發(fā)布或授權(quán)給第三方用于存儲、處理或者傳輸持卡人的授權(quán)或結(jié)算數(shù)據(jù)的軟件供應(yīng)商或其他方。需要注意的是，PA DSS不適用于僅為單一客戶開發(fā)并向其銷售的支付應(yīng)用程序，同時也不適用于由商戶與服務(wù)提供商開發(fā)的僅在內(nèi)部使用的不銷售給第三方的支付應(yīng)用程序，但這些應(yīng)用程序仍必須滿足 PCI DSS 的要求。

如果軟件供應(yīng)商僅將支付功能集成在單一的或少量的基準模塊中，同時保留其他模塊用于非支付功能，那么審核僅關(guān)注在基準模塊，這種方法可以限制符合 PA DSS 的模塊數(shù)量，降低合規(guī)成本。

標準的執(zhí)行

該標準的評審工作為年度評審，由支付應(yīng)用合格安全評估機構(gòu)(Payment Application Qualified Security Assessors)按照標準要求和評估流程嚴格執(zhí)行。PA QSA是指經(jīng)由支付卡行業(yè)數(shù)據(jù)安全標準委員會(PCI Security Standards Council)嚴格培訓(xùn)且授予實施 PA-DSS 審查資格的 QSA，PCI安全標準委員會在其官方網(wǎng)站上維護了QSA的列表：https://www.pcisecuritystandards.org/pdfs/pci_pa-dss_list.pdf。

atsec作為PCI安全標準委員會授權(quán)的PA QSA，在中國、美國和歐洲廣泛的領(lǐng)域內(nèi)開展PA DSS的咨詢和評估工作。

PA-DSS 的審查范圍具體包括：

l 所有支付應(yīng)用程序功能，包括但不限于：終端到終端支付功能(授權(quán)或結(jié)算);輸入和輸出;故障狀態(tài);接口和連接到其他文件、系統(tǒng)和/或支付應(yīng)用程序或應(yīng)用程序組件;所有卡人數(shù)據(jù)流向;加密機制和驗證機制。

l 應(yīng)用程序供應(yīng)商向客戶和經(jīng)銷商/集成商提供的指導(dǎo)信息，用以確?？蛻袅私馊绾螌嵤┲Ц稇?yīng)用程序以符合 PCI DSS 的要求，并且明確告知客戶，某些支付應(yīng)用程序與環(huán)境設(shè)置可能會影響其對 PCI DSS 的合規(guī)性。

l 接受審查的支付應(yīng)用程序版本選定的所有平臺。

l 支付應(yīng)用程序所含或所使用的用以訪問和/或查看持卡人數(shù)據(jù)的工具(報告工具、記錄工具等)。

PA DSS所涉及以下14個層面的安全要求：

1. 不要保留完整的磁條數(shù)據(jù)、卡驗證值或代碼 (CAV2、CID、CVC2、CVV2) 或 PIN 數(shù)據(jù)塊

2. 保護存儲的持卡人數(shù)據(jù)

3. 提供安全驗證功能

4. 記錄支付應(yīng)用程序的活動

5. 開發(fā)安全的支付應(yīng)用程序

6. 保護無線傳輸

7. 針對漏洞測試支付應(yīng)用程序

8. 便于安全的網(wǎng)絡(luò)實施

9. 絕不能在連接到互聯(lián)網(wǎng)的服務(wù)器上存儲持卡人數(shù)據(jù)

10. 便于軟件進行安全的遠程更新

11. 便于對支付應(yīng)用程序進行安全的遠程訪問

12. 對經(jīng)由公共網(wǎng)絡(luò)傳輸?shù)拿舾行畔⑦M行加密

13. 對所有非控制臺管理訪問進行加密

14. 維護好向客戶、經(jīng)銷商與集成商提供的指導(dǎo)性文件材料與培訓(xùn)計劃

標準的符合性現(xiàn)狀

該標準自發(fā)布以來，得到了全球金融機構(gòu)的廣泛認可和推廣，已成為國際上保障支付應(yīng)用程序安全的最佳實踐標準。近日，visa發(fā)布了全球范圍的通告，強制性要求全球不同地區(qū)采用符合支付行業(yè)數(shù)據(jù)安全標準(PA DSS)的安全支付應(yīng)用程序。

Visa在發(fā)布的強制性命令中強調(diào)并提醒收單機構(gòu)應(yīng)警惕存儲了敏感信息數(shù)據(jù)[包括完整的磁條數(shù)據(jù)、卡驗證值或代碼 (CAV2、CID、CVC2、CVV2) 或 PIN 數(shù)據(jù)塊)]的支付應(yīng)用軟件，收單機構(gòu)應(yīng)確保商戶和服務(wù)提供商不得使用存儲了敏感信息的支付應(yīng)用軟件，并對已經(jīng)識別出來的風(fēng)險和問題采取糾正措施。收單機構(gòu)應(yīng)該支持商戶和服務(wù)提供商使用符合PA DSS的支付應(yīng)用程序，對于已經(jīng)通過PA-DSS的合規(guī)產(chǎn)品名單可在PCI的官方網(wǎng)站獲取：https://www.pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html。通過PCI標準委員會對合規(guī)產(chǎn)品的維護，各商戶和服務(wù)提供商可以安全有效地選擇正確的支付應(yīng)用產(chǎn)品。

根據(jù)Visa的這一強制性規(guī)定，截至到2010年7月1日之前，Visa在亞太地區(qū)(AP)、中東歐、中東和非洲(CEMEA)以及拉美和加勒比地區(qū)(LAC)的收單銀行必須確保其新簽約的商戶開始采用符合PA DSS的應(yīng)用程序;此外，截至到2012年7月1日，所有使用Visa網(wǎng)絡(luò)的現(xiàn)有商戶或服務(wù)提供商則必須全面采用符合PA DSS的應(yīng)用程序。

此前，在與美國和加拿大地區(qū)的金融機構(gòu)的溝通中，Visa要求收單銀行必須確保在2010年7月1日之前使所有新簽約及現(xiàn)有的商戶和服務(wù)提供商采用符合PA DSS的應(yīng)用程序。

配合以上強制性規(guī)定，Visa維護了違規(guī)的存儲了敏感信息的支付應(yīng)用產(chǎn)品列表，并具有適當(dāng)?shù)耐ǜ鏅C制。在某些情況下，廠商可以針對發(fā)現(xiàn)的違規(guī)問題采取糾正措施，產(chǎn)品版本號和更新也被記錄和維護。這個列表由visa定期更新，有任何更改將會發(fā)布最新通告。該列表不公開發(fā)布(包括網(wǎng)站或者公共位置)，盡管如此，Visa的客戶可以通過AIS(Account Information Security)和/或CISP(Cardholder Information Security Program)驗證體系的聯(lián)系人獲得該違規(guī)列表;另一方面，收單機構(gòu)也可以與他的商戶和服務(wù)提供商分享該列表。有關(guān)這些產(chǎn)品的詳細信息(例如補丁和更新)需要直接聯(lián)系各自的廠商獲得。

結(jié)合中國的現(xiàn)狀提出建議

如今，PA DSS在中國所受的關(guān)注度還比較小，伴隨著中國與國際的經(jīng)濟往來越來越緊密，信用卡支付和電子商務(wù)的交易量越來越大，出現(xiàn)的安全隱患也與日俱增，對于支付安全的需求也必然越來越高。

目前，中國尚未制定相關(guān)行業(yè)標準，各國家主管部門雖然已經(jīng)意識到制定中國自己的支付行業(yè)標準是刻不容緩的，但是標準的統(tǒng)一尤其是相關(guān)安全標準的統(tǒng)一，是一個漫長和曲折的過程。有了行業(yè)標準之后，為了將標準充分應(yīng)用和切實落實，還需要相關(guān)國家主管部門出臺一套完整的合規(guī)評估體系，包括相關(guān)的制度、流程以及合規(guī)評估機構(gòu)的規(guī)范和統(tǒng)一。

atsec作為中立的第三方機構(gòu)，經(jīng)過多年來在信息安全領(lǐng)域的實踐經(jīng)驗，結(jié)合目前國內(nèi)的支付安全現(xiàn)狀就未來支付行業(yè)的發(fā)展提出以下建議：

可由國家相關(guān)政府職能部門和主管部門共同建立支付行業(yè)標準委員會。

PA DSS標準已經(jīng)得到世界范圍廣泛的專業(yè)認可，可通過該標準中對于審核對象的要求和最佳實踐結(jié)合中國國情制定適合于我國的支付行業(yè)標準。

在合規(guī)評估體系的建設(shè)工作中，可借鑒國際上對于標準評估認證的管理辦法。比如，由政府職能部門聯(lián)合中國銀聯(lián)、銀行、卡商以及中立的第三方評估機構(gòu)共同合作開展合規(guī)評估規(guī)范工作。采用維護評估實驗室的方式，加強審核方管理辦法，制定嚴謹?shù)脑u估體系，嚴格依據(jù)標準進行規(guī)范化審核。

授權(quán)專業(yè)的支付信息安全評估實驗室，實驗室應(yīng)該為第三方中立的咨詢和評估機構(gòu)，而非大型產(chǎn)品代理商或者廠商。被授權(quán)的評估實驗室應(yīng)具備多年信息安全工作經(jīng)驗。

支付標準委員會只負責(zé)維護評估實驗室和掃描機構(gòu)的授權(quán)資質(zhì)，并對執(zhí)行的審核結(jié)果進行核查和監(jiān)管。

為了確保被授權(quán)機構(gòu)的中立，便于維護，被授權(quán)的實驗室可定期向授權(quán)機構(gòu)繳納年金。對于被授權(quán)機構(gòu)所執(zhí)行的審核項目，應(yīng)由被審核機構(gòu)向授權(quán)機構(gòu)提交實驗室評定。授權(quán)機構(gòu)定期整理，取消不符合要求的實驗室資質(zhì)。

atsec目前是經(jīng)過PCI安全標準委員會(SSC：Security Standards Council)授權(quán)認可的合格的安全評估機構(gòu)(PCI QSA和PA QSA)和授權(quán)的掃描服務(wù)機構(gòu)(ASV)，atsec愿意憑借多年來在信息安全領(lǐng)域的經(jīng)驗和國際領(lǐng)先的標準技術(shù)幫助中國支付行業(yè)共同制定適合于我國國情的支付行業(yè)標準和合規(guī)體系。

希望在以中國相關(guān)主管部門為核心骨干成立的標準委員會工作中，加快推動我國統(tǒng)一的支付標準的制定，共同站在國家全局的高度，力促其早日問世!也希望能夠得到相關(guān)立法的支持，以盡可能的減小支付過程的安全風(fēng)險，保護持卡人權(quán)益。