隨著電子支付的應(yīng)用模式越來越廣泛和多樣，支付應(yīng)用軟件的安全保障問題日漸突出，成為整體支付安全的關(guān)鍵環(huán)節(jié)。Visa的研究表明，薄弱的支付應(yīng)用程序是數(shù)據(jù)泄露事件發(fā)生的主要原因，特別是小型商戶?！白锓竿ǔＣ闇?zhǔn)那些有安全漏洞的軟件版本，”Visa公司全球數(shù)據(jù)安全負(fù)責(zé)人Eduardo Perez表示，“所有處理支付卡信息的企業(yè)都必須遵守?cái)?shù)據(jù)安全保護(hù)最高標(biāo)準(zhǔn)，以確?？蛻糌?cái)務(wù)信息的安全性和私密性?！敝Ц稇?yīng)用數(shù)據(jù)安全標(biāo)準(zhǔn)(PA DSS：Payment Application Data Security Standard)是國際上保障支付應(yīng)用程序安全的最佳實(shí)踐標(biāo)準(zhǔn)。

標(biāo)準(zhǔn)的產(chǎn)生和使用

對(duì)于大多數(shù)軟件供應(yīng)商而言，不涉及持卡人數(shù)據(jù)的存儲(chǔ)、處理和傳輸，傳統(tǒng)的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS：Payment Card Industry Data Security Standard)不會(huì)直接適用于軟件供應(yīng)商，然而客戶會(huì)使用此類軟件進(jìn)行持卡人數(shù)據(jù)的存儲(chǔ)、處理和傳輸，這就要求軟件供應(yīng)商也需要符合PCI DSS，支付應(yīng)用數(shù)據(jù)安全標(biāo)準(zhǔn)(PA DSS)的發(fā)布是PCI DSS的完美補(bǔ)充和延續(xù)，它確保支付應(yīng)用程序能夠更好地保護(hù)持卡人數(shù)據(jù)安全，并確保軟件解決方案實(shí)施了適當(dāng)?shù)陌踩刂啤A DSS的目標(biāo)是為了幫助軟件供應(yīng)商和其他機(jī)構(gòu)開發(fā)安全的支付應(yīng)用系統(tǒng)，確保禁止存儲(chǔ)的數(shù)據(jù)(如磁條數(shù)據(jù)、驗(yàn)證數(shù)據(jù)或密碼(PIN)等敏感數(shù)據(jù))不被保存，同時(shí)幫助商戶及服務(wù)提供商減少數(shù)據(jù)泄露事件，全面推進(jìn)整個(gè)支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)的合規(guī)工作。

圖：保護(hù)持卡人數(shù)據(jù)的PCI安全標(biāo)準(zhǔn)系列及其關(guān)系示意 [1]

PA DSS的前身是PABP(Payment Application Best Practices)，最早由visa維護(hù)和管理。PA DSS最新的版本V1.2于2008年10月1日發(fā)布，由五大卡品牌[美國運(yùn)通(American Express)、美國發(fā)現(xiàn)金融服務(wù)(Discover Financial Services)、JCB、萬事達(dá)(MasterCard Worldwide)和Visa]組成的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)委員會(huì)(PCI Security Standards Council)統(tǒng)一維護(hù)和管理。

該標(biāo)準(zhǔn)適用于從事支付應(yīng)用程序開發(fā)并將其銷售、發(fā)布或授權(quán)給第三方用于存儲(chǔ)、處理或者傳輸持卡人的授權(quán)或結(jié)算數(shù)據(jù)的軟件供應(yīng)商或其他方。需要注意的是，PA DSS不適用于僅為單一客戶開發(fā)并向其銷售的支付應(yīng)用程序，同時(shí)也不適用于由商戶與服務(wù)提供商開發(fā)的僅在內(nèi)部使用的不銷售給第三方的支付應(yīng)用程序，但這些應(yīng)用程序仍必須滿足 PCI DSS 的要求。

如果軟件供應(yīng)商僅將支付功能集成在單一的或少量的基準(zhǔn)模塊中，同時(shí)保留其他模塊用于非支付功能，那么審核僅關(guān)注在基準(zhǔn)模塊，這種方法可以限制符合 PA DSS 的模塊數(shù)量，降低合規(guī)成本。

標(biāo)準(zhǔn)的執(zhí)行

該標(biāo)準(zhǔn)的評(píng)審工作為年度評(píng)審，由支付應(yīng)用合格安全評(píng)估機(jī)構(gòu)(Payment Application Qualified Security Assessors)按照標(biāo)準(zhǔn)要求和評(píng)估流程嚴(yán)格執(zhí)行。PA QSA是指經(jīng)由支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)委員會(huì)(PCI Security Standards Council)嚴(yán)格培訓(xùn)且授予實(shí)施 PA-DSS 審查資格的 QSA，PCI安全標(biāo)準(zhǔn)委員會(huì)在其官方網(wǎng)站上維護(hù)了QSA的列表：https://www.pcisecuritystandards.org/pdfs/pci_pa-dss_list.pdf。

atsec作為PCI安全標(biāo)準(zhǔn)委員會(huì)授權(quán)的PA QSA，在中國、美國和歐洲廣泛的領(lǐng)域內(nèi)開展PA DSS的咨詢和評(píng)估工作。

PA-DSS 的審查范圍具體包括：

l 所有支付應(yīng)用程序功能，包括但不限于：終端到終端支付功能(授權(quán)或結(jié)算);輸入和輸出;故障狀態(tài);接口和連接到其他文件、系統(tǒng)和/或支付應(yīng)用程序或應(yīng)用程序組件;所有卡人數(shù)據(jù)流向;加密機(jī)制和驗(yàn)證機(jī)制。

l 應(yīng)用程序供應(yīng)商向客戶和經(jīng)銷商/集成商提供的指導(dǎo)信息，用以確?？蛻袅私馊绾螌?shí)施支付應(yīng)用程序以符合 PCI DSS 的要求，并且明確告知客戶，某些支付應(yīng)用程序與環(huán)境設(shè)置可能會(huì)影響其對(duì) PCI DSS 的合規(guī)性。

l 接受審查的支付應(yīng)用程序版本選定的所有平臺(tái)。

l 支付應(yīng)用程序所含或所使用的用以訪問和/或查看持卡人數(shù)據(jù)的工具(報(bào)告工具、記錄工具等)。

PA DSS所涉及以下14個(gè)層面的安全要求：

1. 不要保留完整的磁條數(shù)據(jù)、卡驗(yàn)證值或代碼 (CAV2、CID、CVC2、CVV2) 或 PIN 數(shù)據(jù)塊

2. 保護(hù)存儲(chǔ)的持卡人數(shù)據(jù)

3. 提供安全驗(yàn)證功能

4. 記錄支付應(yīng)用程序的活動(dòng)

5. 開發(fā)安全的支付應(yīng)用程序

6. 保護(hù)無線傳輸

7. 針對(duì)漏洞測試支付應(yīng)用程序

8. 便于安全的網(wǎng)絡(luò)實(shí)施

9. 絕不能在連接到互聯(lián)網(wǎng)的服務(wù)器上存儲(chǔ)持卡人數(shù)據(jù)

10. 便于軟件進(jìn)行安全的遠(yuǎn)程更新

11. 便于對(duì)支付應(yīng)用程序進(jìn)行安全的遠(yuǎn)程訪問

12. 對(duì)經(jīng)由公共網(wǎng)絡(luò)傳輸?shù)拿舾行畔⑦M(jìn)行加密

13. 對(duì)所有非控制臺(tái)管理訪問進(jìn)行加密

14. 維護(hù)好向客戶、經(jīng)銷商與集成商提供的指導(dǎo)性文件材料與培訓(xùn)計(jì)劃

標(biāo)準(zhǔn)的符合性現(xiàn)狀

該標(biāo)準(zhǔn)自發(fā)布以來，得到了全球金融機(jī)構(gòu)的廣泛認(rèn)可和推廣，已成為國際上保障支付應(yīng)用程序安全的最佳實(shí)踐標(biāo)準(zhǔn)。近日，visa發(fā)布了全球范圍的通告，強(qiáng)制性要求全球不同地區(qū)采用符合支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PA DSS)的安全支付應(yīng)用程序。

Visa在發(fā)布的強(qiáng)制性命令中強(qiáng)調(diào)并提醒收單機(jī)構(gòu)應(yīng)警惕存儲(chǔ)了敏感信息數(shù)據(jù)[包括完整的磁條數(shù)據(jù)、卡驗(yàn)證值或代碼 (CAV2、CID、CVC2、CVV2) 或 PIN 數(shù)據(jù)塊)]的支付應(yīng)用軟件，收單機(jī)構(gòu)應(yīng)確保商戶和服務(wù)提供商不得使用存儲(chǔ)了敏感信息的支付應(yīng)用軟件，并對(duì)已經(jīng)識(shí)別出來的風(fēng)險(xiǎn)和問題采取糾正措施。收單機(jī)構(gòu)應(yīng)該支持商戶和服務(wù)提供商使用符合PA DSS的支付應(yīng)用程序，對(duì)于已經(jīng)通過PA-DSS的合規(guī)產(chǎn)品名單可在PCI的官方網(wǎng)站獲?。篽ttps://www.pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html。通過PCI標(biāo)準(zhǔn)委員會(huì)對(duì)合規(guī)產(chǎn)品的維護(hù)，各商戶和服務(wù)提供商可以安全有效地選擇正確的支付應(yīng)用產(chǎn)品。

根據(jù)Visa的這一強(qiáng)制性規(guī)定，截至到2010年7月1日之前，Visa在亞太地區(qū)(AP)、中東歐、中東和非洲(CEMEA)以及拉美和加勒比地區(qū)(LAC)的收單銀行必須確保其新簽約的商戶開始采用符合PA DSS的應(yīng)用程序;此外，截至到2012年7月1日，所有使用Visa網(wǎng)絡(luò)的現(xiàn)有商戶或服務(wù)提供商則必須全面采用符合PA DSS的應(yīng)用程序。

此前，在與美國和加拿大地區(qū)的金融機(jī)構(gòu)的溝通中，Visa要求收單銀行必須確保在2010年7月1日之前使所有新簽約及現(xiàn)有的商戶和服務(wù)提供商采用符合PA DSS的應(yīng)用程序。

配合以上強(qiáng)制性規(guī)定，Visa維護(hù)了違規(guī)的存儲(chǔ)了敏感信息的支付應(yīng)用產(chǎn)品列表，并具有適當(dāng)?shù)耐ǜ鏅C(jī)制。在某些情況下，廠商可以針對(duì)發(fā)現(xiàn)的違規(guī)問題采取糾正措施，產(chǎn)品版本號(hào)和更新也被記錄和維護(hù)。這個(gè)列表由visa定期更新，有任何更改將會(huì)發(fā)布最新通告。該列表不公開發(fā)布(包括網(wǎng)站或者公共位置)，盡管如此，Visa的客戶可以通過AIS(Account Information Security)和/或CISP(Cardholder Information Security Program)驗(yàn)證體系的聯(lián)系人獲得該違規(guī)列表;另一方面，收單機(jī)構(gòu)也可以與他的商戶和服務(wù)提供商分享該列表。有關(guān)這些產(chǎn)品的詳細(xì)信息(例如補(bǔ)丁和更新)需要直接聯(lián)系各自的廠商獲得。

結(jié)合中國的現(xiàn)狀提出建議

如今，PA DSS在中國所受的關(guān)注度還比較小，伴隨著中國與國際的經(jīng)濟(jì)往來越來越緊密，信用卡支付和電子商務(wù)的交易量越來越大，出現(xiàn)的安全隱患也與日俱增，對(duì)于支付安全的需求也必然越來越高。

目前，中國尚未制定相關(guān)行業(yè)標(biāo)準(zhǔn)，各國家主管部門雖然已經(jīng)意識(shí)到制定中國自己的支付行業(yè)標(biāo)準(zhǔn)是刻不容緩的，但是標(biāo)準(zhǔn)的統(tǒng)一尤其是相關(guān)安全標(biāo)準(zhǔn)的統(tǒng)一，是一個(gè)漫長和曲折的過程。有了行業(yè)標(biāo)準(zhǔn)之后，為了將標(biāo)準(zhǔn)充分應(yīng)用和切實(shí)落實(shí)，還需要相關(guān)國家主管部門出臺(tái)一套完整的合規(guī)評(píng)估體系，包括相關(guān)的制度、流程以及合規(guī)評(píng)估機(jī)構(gòu)的規(guī)范和統(tǒng)一。

atsec作為中立的第三方機(jī)構(gòu)，經(jīng)過多年來在信息安全領(lǐng)域的實(shí)踐經(jīng)驗(yàn)，結(jié)合目前國內(nèi)的支付安全現(xiàn)狀就未來支付行業(yè)的發(fā)展提出以下建議：

可由國家相關(guān)政府職能部門和主管部門共同建立支付行業(yè)標(biāo)準(zhǔn)委員會(huì)。

PA DSS標(biāo)準(zhǔn)已經(jīng)得到世界范圍廣泛的專業(yè)認(rèn)可，可通過該標(biāo)準(zhǔn)中對(duì)于審核對(duì)象的要求和最佳實(shí)踐結(jié)合中國國情制定適合于我國的支付行業(yè)標(biāo)準(zhǔn)。

在合規(guī)評(píng)估體系的建設(shè)工作中，可借鑒國際上對(duì)于標(biāo)準(zhǔn)評(píng)估認(rèn)證的管理辦法。比如，由政府職能部門聯(lián)合中國銀聯(lián)、銀行、卡商以及中立的第三方評(píng)估機(jī)構(gòu)共同合作開展合規(guī)評(píng)估規(guī)范工作。采用維護(hù)評(píng)估實(shí)驗(yàn)室的方式，加強(qiáng)審核方管理辦法，制定嚴(yán)謹(jǐn)?shù)脑u(píng)估體系，嚴(yán)格依據(jù)標(biāo)準(zhǔn)進(jìn)行規(guī)范化審核。

授權(quán)專業(yè)的支付信息安全評(píng)估實(shí)驗(yàn)室，實(shí)驗(yàn)室應(yīng)該為第三方中立的咨詢和評(píng)估機(jī)構(gòu)，而非大型產(chǎn)品代理商或者廠商。被授權(quán)的評(píng)估實(shí)驗(yàn)室應(yīng)具備多年信息安全工作經(jīng)驗(yàn)。

支付標(biāo)準(zhǔn)委員會(huì)只負(fù)責(zé)維護(hù)評(píng)估實(shí)驗(yàn)室和掃描機(jī)構(gòu)的授權(quán)資質(zhì)，并對(duì)執(zhí)行的審核結(jié)果進(jìn)行核查和監(jiān)管。

為了確保被授權(quán)機(jī)構(gòu)的中立，便于維護(hù)，被授權(quán)的實(shí)驗(yàn)室可定期向授權(quán)機(jī)構(gòu)繳納年金。對(duì)于被授權(quán)機(jī)構(gòu)所執(zhí)行的審核項(xiàng)目，應(yīng)由被審核機(jī)構(gòu)向授權(quán)機(jī)構(gòu)提交實(shí)驗(yàn)室評(píng)定。授權(quán)機(jī)構(gòu)定期整理，取消不符合要求的實(shí)驗(yàn)室資質(zhì)。

atsec目前是經(jīng)過PCI安全標(biāo)準(zhǔn)委員會(huì)(SSC：Security Standards Council)授權(quán)認(rèn)可的合格的安全評(píng)估機(jī)構(gòu)(PCI QSA和PA QSA)和授權(quán)的掃描服務(wù)機(jī)構(gòu)(ASV)，atsec愿意憑借多年來在信息安全領(lǐng)域的經(jīng)驗(yàn)和國際領(lǐng)先的標(biāo)準(zhǔn)技術(shù)幫助中國支付行業(yè)共同制定適合于我國國情的支付行業(yè)標(biāo)準(zhǔn)和合規(guī)體系。

希望在以中國相關(guān)主管部門為核心骨干成立的標(biāo)準(zhǔn)委員會(huì)工作中，加快推動(dòng)我國統(tǒng)一的支付標(biāo)準(zhǔn)的制定，共同站在國家全局的高度，力促其早日問世!也希望能夠得到相關(guān)立法的支持，以盡可能的減小支付過程的安全風(fēng)險(xiǎn)，保護(hù)持卡人權(quán)益。