PCI DSS的根本要求,希望可以和大家一起探讨如何在移动支付领域,哪些数据是我们需要被保护的,哪些是我们认为的敏感数据,PCI提到一个是持卡人数据,大家都有信用卡,信用卡上的卡号,持卡人的姓名,有效期以及服务码,作为持卡人数据,理论上在支付公司和商户里面用于交易的考虑和客户的维系可以保存的数据,保存和传输的时候,必须经过保护,比如强的加密机制的保护,还有一类敏感的认证数据,是在任何情况下,在授权之后绝对不能保存的,比如完整的磁条信息,各个卡组织有不同的称呼,这类信息不能保存的,即使加密的也不可以,我们设想在移动支付的领域,需要引入更多的保护内容,比如SIM信息,是非常容易被攻击者和伪造的。
信用卡上的磁条格式,比如网络报文、数据库、明文文件,日志文件中。在PCI标准里面,所谓开放公众的定义,包括我们熟知的互联网,包括无线网络,包括GSM,这都在标准明确的提到,移动支付也可以认为支付安全PCI标准范围之内的考虑。这是PCI标准所列出6大类12个要求。这是整个支付网络的简单示意,整体各个机构的安全可以达到整体安全合规,才能达到整体支付卡安全,所以持卡人面向发卡机构还是收单机构还是商户在PCI里面都要达到一定的合规,另外从收单机构和商户之间发展的趋势会有一些第三方的支付或服务提供商也是需要作为合规重要的角色。刚才很多专家探讨了支付宝,中国的快钱,易宝支付的模式。
再介绍一下对于渗透测试工具的考虑,是按照PCI标准,每年需要执行一次,或者是有重大的系统改造需要执行,包括我接触的制卡的卡商,他们也是由于VISA和万事达的要求需要执行渗透测试的工作,这和安全合规和安全扫描都是相辅相成的,必不可少的环节,这是atsec对于渗透测试全球维护的方法论,PCI要求模拟一个外部的黑客行为,针对外部网络执行渗透测试,同时要求在内部执行渗透,涉及的技术,除了传统意义的网络,也包括通讯,移动方面的网络技术,也包括物理层面测试和渗透工程学的测试工作。
支付应用的数据标准,这标准是面向于软件开发公司对于需要为支付服务提供商或商户提供这样一个软件平台的厂商,需要合规的标准,这不适用机构自身开发的自我软件,主要用于商业出售的软件产品,PCI标委会也是在官方网站上列出来所有通过评估工作的列表,在各个服务提供商还是商户使用的时候可以参考这个列表,来自VISA的最新要求,今年7月1日,所有新上线的系统,如果购买其他第三方的软件产品,需要达到PA-DSS合规的产品才能被使用,在2012年7月份,所有的业务系统只要用到第三方的软件产品,必须要达到PA-DSS合规。
大家有兴趣可以参阅atsec网站和PCI官方网站的信息。谢谢大家!