点对点加密解决方案已发布初始版本
2011-09-30来自atsec的消息,PCI安全标准委员会(Security Standards Council)已于2011年9月15日发布了点对点加密(以下简称“P2PE”)方案中要求体系的初始版本“Payment Card Industry (PCI) Point-to-Point Encryption -- Solution Requirements: Encryption, Decryption, and Key Management within Secure Cryptographic Devices (Hardware/Hardware) Version 1.0”。P2PE要求的主要目的是为设备厂商、评估机构和商户提供安全解决方案,通过P2PE方案的建立和实施以支持PCI DSS的合规工作,并且能够有效地缩小商户执行合规建设的范围。
从目的来看,P2PE要求体系的推出并非用于代替PCI-DSS数据安全标准的要求,PCI标委会也并不要求商户必须强制使用P2PE技术。从目前看来,P2PE要求体系只是可供商户选择的解决方案。然而,从信息安全建设的角度考虑,atsec非常鼓励商户在自身的安全建设中采用该解决方案更好以更有效的PCI-DSS的合规建设工作。在PCI-DSS合规建设的范围内,如果商户按P2PE的要求进行实施,将极大地缩小商户持卡人数据环境的范围,从而减少潜在的安全威胁,并显著降低在合规方面的投入。
从内容来看,P2PE要求体系围绕着提升系统和设备的安全性,实施监控和响应流程,开发并维护安全的应用,保护机密数据以及使用安全的密钥管理方法论等众多领域展开。其具体的内容包括如下方面:
- 启用、实施以及评估基于硬件的P2PE解决方案中所涉及的角色及职责;
- 基于硬件的P2PE解决方案所覆盖的6个关键领域包括:加密设备、安全环境、应用安全、传输、加密以及密钥管理;
- 建立并启用P2PE解决方案的步骤;
- 典型的实施实例;
- P2PE验证要求与其它标准间的关系,包括与PTS Point of Interaction (POI), PCI PIN, PA-DSS 和 PCI DSS之间的关系;
在该组验证要求体系发布后,PCI安全标准委员会将会继续推进P2PE方案的完善工作。据估计,相关的测试流程将于2011年底前发布,对该要求体系的验证方法以及评估人员的培训计划将于2012年初进行公布。
关于艾特赛克(atsec)信息安全
艾特赛克信息安全(atsec information security)是一家独立且基于标准的信息技术(IT:Information Technology)安全服务公司(www.atsec.com),它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec在德国慕尼黑成立于2000年,并且通过美国、德国、瑞典和中国的办公室开展了广泛的国际业务。atsec提供的服务包括正式的实验室测试和评估、独立的测试和评估以及信息安全咨询。
atsec提供PCI SSC体系下的服务,并且atsec是一家能够提供PCI DSS和PA-DSS标准的评估服务的QSA公司。atsec的渗透测试、应用安全、ASV(Approved Scanning Vendor)服务和信息安全咨询服务,作为评估服务工作的有力支撑。atsec是一家独立的公司,并且与其它产品供应商没有任何商业关系。
atsec提供美国国家标准与技术研究委员会(NIST:National Institute of Standards and Technology)和加拿大通讯安全协会(CSEC:Communications Security Establishment Canada)制定的密码模块验证体系下的密码模块和算法测试服务。atsec同时提供NIST个人身份验证体系(NPIVP)、密码算法测试(CAVP:Cryptographic Algorithm Validation Program)和安全内容自动化协议(SCAP:Security Content Automation Protocol Program)下的正式的测试,以及GSA FIPS 201 EP下的产品认可测试。
atsec的客户包括全球首屈一指的公司如苹果、IBM、Hewlett and Packard、Honeywell、Quantum Corporation、Red Hat、Watchdata、华为和中兴通讯等,并一直维持密切合作关系。