华为云支付解决方案成功通过atsec支付应用数据安全标准评估和PCI标准委员会的验证
2015-05-13中国,北京-华为今日宣布,其支付应用系统云支付解决方案CPS(Cloud Payment Solution)成功通过了艾特赛克(atsec)中国PCI实验室基于支付卡行业(PCI:Payment Card Industry)的支付应用数据安全标准(PA DSS:Payment Application Data Security Standard)v3.0版本的合规评估,并且通过了支付卡产业安全标准委员会(PCI SSC:Payment Card Industry Security Standards Council)的验证。
华为云支付CPS系统是一款面向电信运营商、机构(如商户)和持卡人的移动转帐和支付服务相关的中央支付系统。CPS提供卡不呈现的清算,从而完成机构和银行的支付交易。CPS旨在建立新兴的支付模式,替代传统的支付方式,如现金、支票和银行信用卡,从而为持卡人和机构提供便利的基于移动技术(如USSD、STK、移动App应用等多种渠道)的移动转帐和付款。华为云支付CPS系统目前已经在全球多个国家主流运营商成功商用,如肯尼亚,巴基斯坦,罗马尼亚等,安全性方面获得客户一致认可。
PA DSS是全球范围广泛且高度认可的应用安全标准,早在多年以前便已经成为各个支付卡品牌(比如VISA和万事达等)面向银行、支付服务提供商、商户涉及支付授权和结算的支付系统部署的强制要求。PA DSS目的是帮助开发支付应用给其他机构的软件提供商开发安全的没有存储被禁止的数据的应用,例如完整磁条副本、其他敏感认证数据或者PIN数据,并且确保他们的支付应用符合PCI DSS。PA DSS的要求适用于被销售、分销或者授权给第三方的支付应用。
成功的评估验证结果发布在PCI安全标准委员会(SSC:Security Standard Council)官方网站上,链接如下:https://www.pcisecuritystandards.org/approved_companies_providers
/validated_payment_applications.php?agree=true。
atsec基于PA DSS标准的要求针对CPS支付系统执行了评估和测试,双方共同完成了针对本产品的PA DSS实施指南(IG:Implementation Guide),并且搭建了PCI审核模拟的持卡人数据环境,基于该环境执行了PA DSS 14个大要求和诸多子项目,以及环境审核要求的审核和测试。PCI SSC对于atsec所提交结果进行了严谨细致的质量审核,出于对产业要求的不断增强和严格,质量审核过程经历了诸多的澄清和研讨,最终给予了atsec所提交的审核资料(包括IG)和验证报告100分满分的质量审核结果。
对于本次PA合规的成功合作,华为云支付产品总监申海表示:“在云支付、移动支付领域,无论是从最终消费者还是运营商视角去看,支付以及金融交易的安全性是保障整个业务得以成功运营的基础。华为云支付的安全架构从底层架构设计,到顶层的运营流程,都严格按照金融级安全标准PCI PA DSS标准实施。PA DSS是金融支付领域的安全强制规范,我们很高兴我们CPS能最终获得PCI标准委员会的认可和合规,我们希望该标准的合规将进一步确保我们客户支付业务的全流程安全。”
atsec中国总经理及PCI实验室主任刘岩对于本次成功合作评论到:“祝贺华为成功完成本次CPS系统的PA DSS合规评估和验证,也对于项目团队的大力配合表示感谢。根据各个国际卡组织,如VISA和万事达等体系的规定,早在多年以前就已经将PA DSS作为涉及支付环境使用和采购产品的强制标准,并在国际广泛的金融行业得到高度认可,该标准有助于从产品设计架构、安全开发、编码和测试,以及生命周期流程等角度提高支付应用的安全性。”
关于艾特赛克(atsec)信息安全
艾特赛克信息安全(atsec information security)是一家独立且基于标准的信息技术(IT:Information Technology)安全服务公司(www.atsec.com),它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec在德国慕尼黑成立于2000年,并且通过美国、德国、瑞典和中国的办公室开展了广泛的国际业务。atsec提供的服务包括正式的实验室测试和评估、独立的测试和评估以及信息安全咨询。
atsec提供PCI SSC体系下的服务,并且atsec是一家能够提供PCI DSS和PA-DSS标准的评估服务的QSA公司。atsec中国是目前唯一一家在中国以独立的实体获得了PCI SSC的QSA、ASV和PA QSA资质的中立的信息安全评估机构。atsec的渗透测试、应用安全、ASV(Approved Scanning Vendor)服务和信息安全咨询服务,作为评估服务工作的有力支撑。atsec是一家独立的公司,并且与其它产品供应商没有任何商业关系。
atsec提供美国国家标准与技术研究委员会(NIST:National Institute of Standards and Technology)和加拿大通讯安全协会(CSEC:Communications Security Establishment Canada)制定的密码模块验证体系下的密码模块和算法测试服务。atsec同时提供NIST个人身份验证体系(NPIVP)、密码算法测试(CAVP:Cryptographic Algorithm Validation Program)和安全内容自动化协议(SCAP:Security Content Automation Protocol Program)下的正式的测试,以及GSA FIPS 201 EP下的产品认可测试。
atsec愿意与任何公司合作,无论其规模大小,只要其重视IT安全。
华为公司简介
华为是全球领先的信息与通信(ICT)解决方案供应商。作为负责任的稳健经营者、创新的信息社会使能者、合作共赢的产业贡献者,华为致力于构建更美好的全联接世界。华为坚持围绕客户需求的持续创新,与合作伙伴开放合作,在电信网络、企业网络、终端和云计算等领域构筑了端到端的解决方案优势。通过全球专注敬业的17万名华为人,致力于为运营商客户、企业客户和消费者创造最大的价值,提供有竞争力的ICT解决方案、产品和服务。目前,华为的业务遍及全球170多个国家和地区,服务全世界1/3以上的人口。华为公司成立于1987年,是一家由员工持有全部股份的民营企业。欲了解更多详情,请参阅华为官网:www.huawei.com。