atsec开展支付卡行业安全评估

　　北京2007-03-07(中国商业电讯)－－ 近日，atsec信息安全宣布增加支付卡行业（PCI：Payment Card Industry）合格安全性评估作为最新的IT安全服务业务。

　　作为经过授权的合格安全性评估商（QSA：Qualified Security Assessor），atsec现在可以在美国和中国基于PCI体系，执行正式评估工作。

　　合格安全性评估商（QSA）的授权体系由PCI安全标准委员会（SSC：Security Standards Council）管理，PCI SSC负责通过PCI安全标准的广泛应用推动来增强支付账号数据的安全性。该机构由美国运通（American Express）、美国发现金融服务公司（Discover Financial Services）、JCB、全球万事达卡（MasterCard）及Visa国际共同建立。

　　根据Visa组织2006年12月的报告，已有36%的一级商户和15%的二级商户已经符合PCI标准，而大多数两个级别的商户正在积极地致力于该标准符合性的工作。

　　atsec增加此项服务旨在增强针对金融领域客户的信息安全服务。atsec为其提供应用评估、密码模块和算法测评、

　　此外atsec提供广泛的IT安全服务，包括共同准则（CC）评估、ISO 27001咨询、FIPS 140-2测评、HIPAA符合性支持和渗透测试等。

　　业务发展经理Fiona Pattinson表示：“atsec拥有丰富的审计、评估、和测评经验，正如我们在其他产业领域的贡献，我们为支付卡产品的客户提供同样诚信、独立的服务。现在我们衷心希望与已有的以及新的客户保持合作，帮助他们实现并验证PCI安全标准的符合性。”

　　支付卡行业数据安全标准（PCI DSS）描述了6个逻辑相关组“控制目标”的12项安全需求。 标准涉及的安全需求应用于所有的“系统组件”。系统组件被定义为任何被包含或者连接到持卡人数据环境的网络组件、服务器、或者应用。持卡人数据环境是处理持卡人数据或者敏感认证数据的网络的组成部分。适当的网络分割使存储、处理或传输持卡人数据的系统与其他系统独立出来，从而可以简化持卡人数据范围。网络组件包括但不限于防火墙、交换机、路由器、无线访问点、网络装置、以及其他网络装置。服务类型包括但不限于如下：网页、数据库、认证、邮件、代理、网络时间协议（NTP）、和域名服务器（DNS）。应用包括所有购买的和客户定制的应用，包括内部和外部（互联网）的应用。