PCI PA QSA:常见问题

我需要符合标准吗?
PCI标准委员会(PCI SSC)发布了PCI PA DSS标准及其相关文档, 描述了流程并且进一步解释了你是否需要合规。然而,符合PCI标准委员会标准的要求最终由卡品牌强制执行,不是PCI标准委员会自身。例如, 早在2008年起,VISA便已经要求商户在部署新的系统上线时必须使用符合PA-DSS的软件,其他原有已经部署系统的机构则从2010年7月开始执行该要求,实现了全面的支付应用PA-DSS合规。

如果您是支付应用产品的最终用户,或者集成商/经销商则PA-DSS对您不适用。

如果您是支付应用产品的厂商,该支付应用产品作为授权和结算的一部分,存储、处理或者传输持卡人数据,并且销售、分销或者授权给第三方;那么您的产品需要合规。

  • PA-DSS适用于支付应用程序一般由软件厂商销售并且安装方便(“off the shelf”)而没有太多客户定制化。
  • PA-DSS适用于以模块形式提供的支付应用程序,一般包括“基线”模块和其他具体针对不同类型的客户或者功能的模块,或者根据客户的要求定制化。 PA-DSS可能仅仅适用基线模块,如果该模块仅仅执行支付功能(一旦被PA-QSA确认)。如果其他模块也执行支付功能,PA-DSS同样适用于这些模块。注意:将支付功能隔离在一个单独的或者小规模的基线模块中是被软件厂商所认可的“最佳实践”,保留非支付功能于其他的模块中。该最佳实践(尽管非要求)能够减小模块的合规数量。
  • PA-DSS不适用于仅仅为一个客户开发并销售的支付应用程序,因为该应用程序将作为正常的PCI DSS合规审核的一部分。注意:这样的应用程序(可能被归类为“预定”应用程序),仅销售给一个客户(通常是一个大型商户或者服务提供商)并且其设计和开发依据客户所提供的规格。
  • PA-DSS不适用于由商户和服务提供商自我开发且仅仅用于内部的支付应用程序,因为这样的内部开发和使用的支付应用程序将作为商户或者服务提供商正常的PCI DSS合规的一部分。

[置顶]

我所提供的支付应用程序既是一款软件也是一项服务。我仍然需要验证吗?
它取决于诸多的因素,您可以进一步联系atsec获得进一步的确认。 比如,当您使用了您自己的内部研发支付应用程序,并且仅仅提供了虚拟终端给您的客户(例如,浏览器中的在线小程序),该支付应用程序的评估包括在您常规的QSA 评估中。

尽管如此,如果您的客户安装了您所提供的软件在他们的系统中,或者您授权或销售SaaS解决方案给其他的供应商,则PA-DSS是适用的。

[置顶]

我如何找到合格的PA安全评估机构?
PCI安全标准委员会(PCI Security Standards Council)在他们的网站上维护了PA-QSA列表,由SSC认可执行评估。atsec,作为PA-QSA,出现在列表中。

[置顶]

atsec所服务的市场?
atsec在全球范围提供咨询服务。目前ASV扫描服务面向全球广泛的业务市场,PCI QSA评估专注于亚太地区(包括中国)、加拿大、美国和欧洲,PA QSA评估专注于亚太地区(包括中国),PFI取证调研服务专注于中国,P2PE评估专注于亚太地区(包括中国)、3DS安全评估面向亚太(包括中国)、加拿大、美国和欧洲,PIN安全评估面向全球。PCI服务得到全球范围监管机构和支付卡产业相关机构的高度认可。atsec设有德国、美国、瑞典和中国核心分支机构,提供全球化的信息安全服务。如果您的需求面向其他市场领域,请和我们联系。

[置顶]

什么是评估的范围?
评估范围一般包括整个支付应用程序。如果应用程序遵循一个客户端/服务器架构,那么客户端和服务器一般包括在范围之内。如果应用程序依赖它的的操作环境(例如,操作系统)来满足一定的PA-DSS的要求,那么这些方面也许同样包括在评估的范围内。

评估范围不仅包括支付应用程序本身,而且包括需要为支付应用程序提供的各种文档,包括软件开发生命周期使用的文档、PA-DSS为支付应用程序使用者编写的实施指南等等。

[置顶]

评估中会做什么?
评估遵循PA DSS安全审计流程,提供了一个类别清单既测试流程。一般情况下,支付应用合格安全评估机构(PA-QSA)将首先要求查看您的支付应用程序、环境和流程的文档。审核完毕这些之后,评估将被执行以验证您的文档的正确性,同时包括敏感数据是否以符合标准的形式处理和存储。最终,PA-QSA将或者提供您一份验证报告(ROV:Report of Validation)声明您满足标准的要求,或者提供您一份在ROV能够发布之前需要解决的问题的清单。

欲了解更多的信息请浏览PCI标准委员会的PA DSS标准及其相关文档

[置顶]

评估所需要的时间?
时间的长短根据每个支付应用程序而有所不同,因为投入的工作量有广泛的差异,取决于应用程序的复杂度和需要执行测试的平台的数量。

编写ROV也需要花费额外的时间。

如果应用程序不符合PA-DSS,您将需要处理任何发现的问题。这可能意味着更新一些文档,或者全部的开发周期。这将花费不同的时间。

[置顶]

评估所需要的成本?
根据您的初步信息和现状atsec将提供给您一份时间和成本的预算。如果你希望得到一份预算,请完成信息收集表格(RFI:Request for Information) 表格。

获得应用程序的认可所涉及的费用由三个部分组成:

  1. 使您的应用程序符合PA-DSS所花费的成本,可能包括编写文档的成本、重新涉及您的应用程序以及在能够获得PA-QSA授权的证明符合性的ROV之前执行的任何变更。
  2. PA-DSS评估的成本。这些费用由PA-QSA和厂商之间直接协商。该费用因支付应用程序的复杂度和符合PA-DSS的情况的不同而有所不同。
  3. PCI SSC的验证费用。厂商将支付PCI SSC官方验证费用,使其将成功通过评估和验证的支付应用维护到PCI SSC官方经过验证的支付应用列表中。

我如何知道我是否有可能通过?
厂商在达成合规方便有独立的意愿和支持的,可能会请求atsec执行准备评估。这是对你的应用程序的一个简单的评估,亦称差距分析,由atsec PA-QSA执行。

实际上我们鼓励厂商最初先来执行准备评估,这将有助于对PA-DSS评估的工作量和计划进行更精确的估算。

[置顶]

我需要提供哪些文档?
PA-QSA将与您讨论哪些具体的文档和信息需要被提供。总的来说需要以下文档和信息:

  • 支付应用程序操作者的手机或者说明
  • 执行模拟支付交易必要的软硬件配件
  • 描述用于数据输入和输出的所有功能的文档,能够被第三方应用开发者使用。尤其是,与管制、授权、结算和退款流量(如果应用于应用程序的话)相关的功能需要被描述。(一个手册是满足这些要求的文档样例。)
  • 有关安装和配置应用程序的文档,或者是提供了有关应用程序的信息的文档。
  • 这样的文档样例包括:
    • PA-DSS实施指南
    • 软件安装指南或者说明(用于提供给客户)
    • 厂商的版本号方案
    • 呈现给客户的变更控制文档,阐明了如何变更的
    • 其他文档—如图解和流向图—都将对支付应用城西审核起到帮助(必要的时候,PA-QSA可能要求额外的资料。)

[置顶]

如果我的应用程序没有符合PCI PA-DSS会怎样?
国际支付产业相关机构,特别是卡品牌(如VISA)要求所有的最终用户、集成商和分销商指定并只能使用经过PA-DSS验证的支付应用程序。如果您的支付应用程序没有经过验证那么它将不能被使用。商户和服务提供商被强制执行PA-DSS的检查,作为他们自我评估或者第三方QSA评估的一部分。

[置顶]

atsec在帮助我符合PCI方面可以做些什么?
atsec可以作为独立的服务提供商在符合PCI数据安全标准方面给予服务和帮助。我们通常也能针对任何有关您的支付操作信息安全问题做出解答。我们是由PCI SSC授权和认可的PA-QSA、QSA和ASV,执行合规评估和季度弱点扫描等一站式的PCI相关服务。

除了我们直接的PCI服务,我们经常为我们的客户提供渗透测试、源代码审核以及其他相关的服务。

我们在提供可靠且被信赖的信息安全测试、管理和技术咨询领域拥有很好的声誉。

[置顶]

我没有找到我的问题的答案,我还可以查阅什么地方?
 更多关于PCI SSC和PCI PA DSS的信息请访问PCI SSC官方网站或者email至 info_cn@atsec.com