隨著各種銀行卡或者信用卡持卡人及其交易量的不斷增多，持卡人賬戶(hù)的存儲(chǔ)和交易相關(guān)的信息安全問(wèn)題備受關(guān)注。而面對(duì)即將商用的巨大市場(chǎng)和產(chǎn)業(yè)發(fā)展的關(guān)鍵時(shí)期，2009年7月24日在北京召開(kāi)了“2009中國(guó)移動(dòng)支付產(chǎn)業(yè)高峰論壇”。通過(guò)本屆產(chǎn)業(yè)論壇，支付產(chǎn)業(yè)鏈各界同仁進(jìn)行了初步的協(xié)商與研討，為今后的合作打下了良好的基礎(chǔ)。但與此同時(shí)，持卡人的帳戶(hù)安全問(wèn)題、頻頻發(fā)生的支付安全事件也不得不讓我們敲響警鐘。

本文將通過(guò)介紹目前最為專(zhuān)業(yè)的支付卡安全標(biāo)準(zhǔn)(PCI DSS：Payment Card Industry Data Security Standard)及其相應(yīng)體系規(guī)范的維護(hù)方式。結(jié)合國(guó)內(nèi)現(xiàn)狀提出筆者的一些建議。希望通過(guò)本文的討論，使得支付卡產(chǎn)業(yè)鏈的各個(gè)角色在未來(lái)更加重視信息安全工作，從而更為有效、全面、標(biāo)準(zhǔn)化地保護(hù)持卡人的機(jī)密信息。結(jié)合中國(guó)的現(xiàn)實(shí)國(guó)情，制定出符合中國(guó)支付安全領(lǐng)域的行業(yè)規(guī)范和標(biāo)準(zhǔn)。

PCI安全標(biāo)委會(huì)機(jī)構(gòu)設(shè)置

PCI SSC是由美國(guó)運(yùn)通(American Express)、美國(guó)發(fā)現(xiàn)金融服務(wù)(Discover Financial Services)、JCB、萬(wàn)事達(dá)(MasterCard Worldwide)和Visa國(guó)際組織五家支付品牌在06年秋共同籌辦設(shè)立的統(tǒng)一且專(zhuān)業(yè)的信息安全標(biāo)準(zhǔn)委員會(huì)。此外整個(gè)產(chǎn)業(yè)鏈中的商戶(hù)、支付設(shè)備和服務(wù)廠商、處理機(jī)構(gòu)和金融機(jī)構(gòu)都可以成為PCI安全標(biāo)準(zhǔn)委員會(huì)的參與組織，因?yàn)橹Ц栋踩珕?wèn)題不僅僅是支付品牌的責(zé)任，保護(hù)持卡人利益對(duì)于任何參與角色都是至關(guān)重要的。

PCI安全標(biāo)準(zhǔn)委員會(huì)(PCI SSC)的最高級(jí)別執(zhí)行委員會(huì)(Executive Committee)是由上述五家支付卡品牌中負(fù)責(zé)風(fēng)險(xiǎn)管理或相關(guān)服務(wù)技術(shù)的副總裁組成。執(zhí)行委員會(huì)下設(shè)管理委員會(huì)(Management Committee)，也由五家支付卡品牌的相關(guān)負(fù)責(zé)人組成，負(fù)責(zé)該安全標(biāo)委會(huì)的重大決策。委員會(huì)設(shè)有總經(jīng)理(General Manager)，并設(shè)立專(zhuān)門(mén)的DSS工作組、PED工作組、QSA體系管理、ASV體系管理、PA體系管理等部門(mén)，分別負(fù)責(zé)各自領(lǐng)域的標(biāo)準(zhǔn)開(kāi)發(fā)和體系維護(hù)等技術(shù)工作，此外還設(shè)有市場(chǎng)工作組和立法委員會(huì)。

標(biāo)準(zhǔn)的歷史和發(fā)展

目前，支付卡產(chǎn)業(yè)安全標(biāo)準(zhǔn)委員會(huì)(PCI SSC：Payment Card Industry Security Standards Council)承擔(dān)了VISA等信用卡品牌組織早先的信息安全工作，統(tǒng)一地推廣和采用PCI安全標(biāo)準(zhǔn)，從而推動(dòng)和提高全球范圍的支付賬戶(hù)安全。

PCI安全標(biāo)準(zhǔn)包括廣泛的工作內(nèi)容范圍，而過(guò)去這些工作是由各個(gè)支付品牌自行開(kāi)展或者由非正式的支付品牌聯(lián)盟管理維護(hù)的。為了更好的適應(yīng)全球技術(shù)的發(fā)展和使用，PCI安全標(biāo)準(zhǔn)推出的重要意義在于它是面向所有支付卡產(chǎn)業(yè)鏈參與者的統(tǒng)一且正式的標(biāo)準(zhǔn)體系，它涉及到支付卡產(chǎn)業(yè)鏈中所有的參與者，比如商戶(hù)、金融機(jī)構(gòu)、處理機(jī)構(gòu)、服務(wù)提供商等。

PCI數(shù)據(jù)安全標(biāo)準(zhǔn)(DSS：Data Security Standard)提供了保障敏感信息安全性的產(chǎn)業(yè)工具和方法的通用集合。標(biāo)準(zhǔn)的原型來(lái)自于VISA的客戶(hù)信息安全(AIS：Account Information Security)/ 持卡人信息安全(CISP：Cardholder Information Security)體系和MasterCard的站點(diǎn)數(shù)據(jù)保護(hù)(SDP：Site Data Protection)體系，該安全標(biāo)準(zhǔn)提供了可靠性較高的、適合操作的數(shù)據(jù)安全流程框架結(jié)構(gòu)，包括安全事件的阻止、檢測(cè)和反應(yīng)。目前所采用的標(biāo)準(zhǔn)1.2版本是由PCI安全標(biāo)準(zhǔn)委員會(huì)編制修訂發(fā)布的。最新版本的標(biāo)準(zhǔn)更具有可實(shí)施性，因?yàn)橹贫ㄟ^(guò)程得到了合作伙伴和客戶(hù)的積極反饋。

PCI DSS包括技術(shù)基礎(chǔ)描述、需求，以及測(cè)評(píng)方法。標(biāo)準(zhǔn)提出了持卡人數(shù)據(jù)的安全存儲(chǔ)、處理和傳輸?shù)脑敱M的技術(shù)需求。標(biāo)準(zhǔn)同時(shí)提出了面向測(cè)評(píng)的通用的審計(jì)流程和掃描流程，以及通用的安全自評(píng)估問(wèn)卷。PCI DSS描述了6個(gè)邏輯相關(guān)組“控制目標(biāo)”的12項(xiàng)安全需求，他們分別是建設(shè)和維護(hù)安全網(wǎng)絡(luò)(build and maintain a secure network)、保護(hù)持卡人數(shù)據(jù)(protect cardholder data)、確保脆弱性管理體系的維護(hù)(ensure the maintenance of vulnerability management programs)、實(shí)施強(qiáng)訪問(wèn)控制(implement strong access control measures)、經(jīng)常性地監(jiān)控和測(cè)試網(wǎng)絡(luò)(regularly monitor and test networks)、確保信息安全策略的維護(hù)(ensure the maintenance of information security policies)。標(biāo)準(zhǔn)涉及的安全需求應(yīng)用于所有的“系統(tǒng)組件”。系統(tǒng)組件是指任何被包含或者連接到持卡人數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)組件、服務(wù)器、或者應(yīng)用系統(tǒng)。持卡人數(shù)據(jù)環(huán)境是處理持卡人數(shù)據(jù)或者敏感認(rèn)證數(shù)據(jù)的網(wǎng)絡(luò)組成部分。適當(dāng)?shù)木W(wǎng)絡(luò)分割使存儲(chǔ)、處理或傳輸持卡人數(shù)據(jù)的系統(tǒng)與其他系統(tǒng)獨(dú)立出來(lái)，從而可以簡(jiǎn)化持卡人數(shù)據(jù)范圍。網(wǎng)絡(luò)組件包括但不限于防火墻、交換機(jī)、路由器、無(wú)線訪問(wèn)點(diǎn)、網(wǎng)絡(luò)設(shè)備、以及其他持卡人數(shù)據(jù)環(huán)境范圍內(nèi)的設(shè)備。服務(wù)器類(lèi)型包括但不限于如下：網(wǎng)頁(yè)、數(shù)據(jù)庫(kù)、認(rèn)證、郵件、代理、網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)、和域名服務(wù)器(DNS)。應(yīng)用包括所有購(gòu)買(mǎi)的和客戶(hù)定制的應(yīng)用，包括內(nèi)部和外部(互聯(lián)網(wǎng))的應(yīng)用。

PCI標(biāo)準(zhǔn)委員會(huì)根據(jù)各個(gè)參與方的反饋和實(shí)施情況負(fù)責(zé)標(biāo)準(zhǔn)的更新修訂，但一般來(lái)講更新的頻率不會(huì)多于一年一次。如果必要，最新標(biāo)準(zhǔn)符合性完成的生效期限將被規(guī)定，從而確保實(shí)施符合性建設(shè)能夠平穩(wěn)過(guò)渡且及時(shí)達(dá)到最新要求。

標(biāo)準(zhǔn)的參與機(jī)構(gòu)以及標(biāo)準(zhǔn)的實(shí)施

支付卡產(chǎn)業(yè)的各個(gè)參與機(jī)構(gòu)均應(yīng)該考慮實(shí)施符合性工作，即使是中小型的商戶(hù)也應(yīng)該考慮標(biāo)準(zhǔn)的符合性建設(shè)，特別是所有的商戶(hù)(merchants)和服務(wù)提供商(Service providers)需要符合該標(biāo)準(zhǔn)的要求。各支付品牌(如VISA)各自維護(hù)其符合性驗(yàn)證體系，如何向支付品牌證明符合性，不同的支付品牌有各自明確的準(zhǔn)則和要求。

如果機(jī)構(gòu)完成了很多其他業(yè)務(wù)領(lǐng)域或者法規(guī)的符合性要求，比如SOX、GLB、FFIEC等，他們與PCI DSS的關(guān)系是相輔相成、互相促進(jìn)的。PCI DSS更加專(zhuān)業(yè)地關(guān)注于保護(hù)存儲(chǔ)的支付帳戶(hù)信息，并最大限度的減少未授權(quán)的入侵或者帳戶(hù)安全事件發(fā)生的風(fēng)險(xiǎn)。機(jī)構(gòu)應(yīng)該致力于PCI DSS的符合性，從而降低由于潛在的支付賬戶(hù)危害所帶來(lái)的品牌、聲譽(yù)以及財(cái)政的風(fēng)險(xiǎn)。

除了完成PCI DSS的符合性，各機(jī)構(gòu)應(yīng)根據(jù)支付品牌的審核驗(yàn)證策略和流程，通過(guò)第三方中立且經(jīng)授權(quán)的合格評(píng)估機(jī)構(gòu)(QSA：Qualified Security Assessor)和安全掃描供應(yīng)商(ASV：Approved Scanning Vendor)進(jìn)行符合性驗(yàn)證，審核和驗(yàn)證應(yīng)該根據(jù)不同的支付品牌的特定策略和流程來(lái)進(jìn)行?；谀壳暗捏w系，PCI SSC不涉及出現(xiàn)賬戶(hù)安全事件后的取證調(diào)查，以及相關(guān)授權(quán)認(rèn)可工作，各支付品牌將繼續(xù)使用已有的過(guò)程和流程。

PCI安全標(biāo)準(zhǔn)委員會(huì)在其官方網(wǎng)站上維護(hù)QSA的列表，該列表中的QSA是經(jīng)過(guò)SSC(以及相應(yīng)的支付品牌)授權(quán)認(rèn)可開(kāi)展評(píng)估工作。而另一方面，PCI SSC并不負(fù)責(zé)維護(hù)獲得符合性認(rèn)證的商戶(hù)或者服務(wù)提供商，因?yàn)楦髦Ц镀放谱孕薪邮躋SA和ASV所完成符合性評(píng)估和審核。PCI標(biāo)準(zhǔn)委員會(huì)嚴(yán)格地維護(hù)和管理第三方中立的評(píng)估機(jī)構(gòu)QSA和ASV。PCI SSC負(fù)責(zé)認(rèn)可和授權(quán)世界范圍內(nèi)的QSA和ASV機(jī)構(gòu)，及其重新驗(yàn)證流程;培訓(xùn)和考核相應(yīng)的審核人員并執(zhí)行每年一次的人員重新資格評(píng)定，培訓(xùn)和考核工作針對(duì)PCI DSS的相關(guān)需求以及針對(duì)特定復(fù)雜需求和操作環(huán)境修補(bǔ)控制的評(píng)估。目前各支付品牌已經(jīng)不再自行維護(hù)和管理QSA和ASV，統(tǒng)一由PCI SSC負(fù)責(zé)。

一般來(lái)講，處理大量交易或者已經(jīng)被發(fā)現(xiàn)缺陷的支付卡產(chǎn)業(yè)參與角色都需要獨(dú)立的第三方評(píng)估，因?yàn)樗麄兇嬖谳^高的風(fēng)險(xiǎn)。不同的支付品牌針對(duì)評(píng)估有不同的要求。比如典型的方法是根據(jù)商戶(hù)的交易量確定商戶(hù)的特定“級(jí)別”，不同的支付品牌可能要求特定級(jí)別的符合性評(píng)估由獨(dú)立的合格的安全評(píng)估機(jī)構(gòu)QSA來(lái)執(zhí)行。比如在中國(guó)atsec信息安全是經(jīng)過(guò)PCI授權(quán)認(rèn)可的QSA，同時(shí)可以提供專(zhuān)業(yè)的信息安全咨詢(xún)，協(xié)助理解標(biāo)準(zhǔn)和體系要求;機(jī)構(gòu)也可以聯(lián)系收單銀行(acquiring bank)或者直接聯(lián)系支付品牌(payment brand)，從而了解要求的評(píng)估方式。

評(píng)估工作的開(kāi)展遵從于支付卡產(chǎn)業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)安全審計(jì)流程，該流程提供了檢查清單(checklist)和測(cè)評(píng)流程。典型的模式是合格的安全評(píng)估機(jī)構(gòu)(QSA)首先審核環(huán)境和流程的文檔。文檔審核之后，進(jìn)行現(xiàn)場(chǎng)評(píng)估(Onsite review)驗(yàn)證文檔體系實(shí)現(xiàn)的正確性，以及敏感數(shù)據(jù)的處理和存儲(chǔ)是否符合標(biāo)準(zhǔn)的要求。最終QSA提供(以及在適當(dāng)?shù)那闆r提供給支付品牌)符合性證書(shū)(CoC：Certificate of Compliance)證明滿(mǎn)足了標(biāo)準(zhǔn)的要求，或者在滿(mǎn)足CoC頒發(fā)要求之前提供需要解決的問(wèn)題清單。

所有涉及存儲(chǔ)、處理和傳輸主賬戶(hù)號(hào)碼(PAN：Primary Account Numbers)，也即信用卡號(hào)碼和與其在同一邏輯網(wǎng)絡(luò)的所有系統(tǒng)，他們必須符合PCI數(shù)據(jù)安全標(biāo)準(zhǔn)。通過(guò)減少涉及交易或者有可能進(jìn)入相關(guān)數(shù)據(jù)的系統(tǒng)數(shù)量、實(shí)施網(wǎng)絡(luò)分割(比如通過(guò)防火墻)、以及其他的有效方法都建議被使用，從而有效的減少符合性評(píng)估工作的工作量。

如果機(jī)構(gòu)懷疑或者已經(jīng)確認(rèn)安全漏洞事件導(dǎo)致了支付卡數(shù)據(jù)的泄露，應(yīng)該啟動(dòng)應(yīng)急響應(yīng)流程并按照支付品牌的特定流程進(jìn)行通知。包括在規(guī)定時(shí)間內(nèi)通知受影響的支付品牌和適當(dāng)?shù)姆蓤?zhí)行機(jī)構(gòu)。對(duì)于上述工作，作為擁有多年國(guó)際聲譽(yù)和信息安全測(cè)評(píng)、管理和技術(shù)咨詢(xún)經(jīng)驗(yàn)的atsec信息安全可以為相關(guān)機(jī)構(gòu)提供符合性的支持和策略制定的指導(dǎo)。而對(duì)于評(píng)估驗(yàn)證的時(shí)間和成本，根據(jù)范圍的不同存在差異。比如一些小型商戶(hù)可能只是包括一臺(tái)單獨(dú)的PC;而某大規(guī)模數(shù)據(jù)中心可能涉及更廣泛的范圍。一般情況可以與評(píng)估機(jī)構(gòu)取得初步聯(lián)系進(jìn)行時(shí)間和成本的確定。

PCI標(biāo)準(zhǔn)委員會(huì)不負(fù)責(zé)管理符合性體系，而各支付品牌擁有各自的符合性要求。如果出現(xiàn)了安全事件，沒(méi)有符合標(biāo)準(zhǔn)的商戶(hù)或者服務(wù)提供商可能面對(duì)支付品牌的經(jīng)濟(jì)處罰和相關(guān)操作處理。各個(gè)商戶(hù)應(yīng)該聯(lián)系其收單金融機(jī)構(gòu)(acquiring financial institutions)決定針對(duì)他們的符合性驗(yàn)證要求。服務(wù)提供商也應(yīng)該聯(lián)系支付品牌獲得更多的信息。各個(gè)支付品牌均已經(jīng)建立了各自的驗(yàn)證和時(shí)間要求，符合性體系中的罰金管理也由各支付品牌自行負(fù)責(zé)。

PCI符合性狀態(tài)

根據(jù)Forrester Research在2007年7月對(duì)于美國(guó)和歐洲PCI符合性研究報(bào)告顯示[3]，很多的商戶(hù)和服務(wù)提供商存儲(chǔ)了過(guò)多的信用卡號(hào)碼之外的機(jī)密數(shù)據(jù)信息。在被統(tǒng)計(jì)的機(jī)構(gòu)當(dāng)中，81%的機(jī)構(gòu)存儲(chǔ)了信用卡號(hào)碼，73%的機(jī)構(gòu)存儲(chǔ)了信用卡過(guò)期時(shí)間，71%存儲(chǔ)了驗(yàn)證碼(Verification codes)，而且超過(guò)50%的機(jī)構(gòu)都表示存儲(chǔ)了信用卡磁條(magnetic stripe)上的用戶(hù)數(shù)據(jù)。很多處理大批量交易的機(jī)構(gòu)都暴露出了極其錯(cuò)誤的行為，特別是一些金融服務(wù)、醫(yī)療、保險(xiǎn)和高等教育行業(yè)，相當(dāng)比例的機(jī)構(gòu)存儲(chǔ)了絕對(duì)禁止進(jìn)行存儲(chǔ)的數(shù)據(jù)。這些機(jī)構(gòu)存儲(chǔ)信用卡數(shù)據(jù)的動(dòng)機(jī)也不盡相同，基本上可以歸納為使用這些信息進(jìn)行防止欺騙的分析、用戶(hù)唯一識(shí)別、業(yè)務(wù)智能分析、退款、與合作伙伴信息共享等。相當(dāng)多的機(jī)構(gòu)還需要在信息存儲(chǔ)上進(jìn)行優(yōu)化和改進(jìn)，以符合PCI信息安全標(biāo)準(zhǔn)中針對(duì)存儲(chǔ)的規(guī)定。

報(bào)告還顯示，密碼和訪問(wèn)控制是PCI安全工作的重中之重，也是實(shí)際審計(jì)中發(fā)現(xiàn)最多的問(wèn)題所在。數(shù)據(jù)泄露風(fēng)險(xiǎn)的減免是最高優(yōu)先級(jí)的任務(wù)，而且交易量越大，其優(yōu)先級(jí)就相應(yīng)越高。機(jī)構(gòu)中的IT部門(mén)將負(fù)責(zé)信用卡數(shù)據(jù)的保護(hù)，其直接負(fù)責(zé)人可能為CIO、CISO或者CTO等相應(yīng)的職能角色。

通常，機(jī)構(gòu)如果首次進(jìn)行PCI的信息安全建設(shè)，其投資力度可能需要占據(jù)相當(dāng)部分的IT預(yù)算(通常會(huì)占整個(gè)IT預(yù)算的2%-5%)，某機(jī)構(gòu)CIO認(rèn)為其投資甚至可能會(huì)超過(guò)SOX法案的符合性和審計(jì)工作。不過(guò)，筆者認(rèn)為任何的信息安全工作都不是互不相干、獨(dú)立為營(yíng)的，比如ISO/IEC 27001的信息安全管理體系框架將會(huì)直接平穩(wěn)的應(yīng)用于PCI的符合性建設(shè);Cobit和ITIL標(biāo)準(zhǔn)框架也對(duì)PCI符合有所幫助。

通過(guò)近期的PCI符合工作狀態(tài)分析，可以看到大量機(jī)構(gòu)需要重新構(gòu)建業(yè)務(wù)流程，從而實(shí)現(xiàn)信用卡數(shù)據(jù)的保護(hù);符合性體系應(yīng)整體考慮，建立一套適合機(jī)構(gòu)自身特點(diǎn)的風(fēng)險(xiǎn)管理模型，需要將PCI符合性建設(shè)融入到風(fēng)險(xiǎn)管理策略之中，而不是完全孤立的去考慮它;PCI符合性建設(shè)工作還需要加大資金和時(shí)間投入;另外應(yīng)更多地優(yōu)化保護(hù)信用卡數(shù)據(jù)的存儲(chǔ)和傳輸，而不是僅僅著眼于其運(yùn)行環(huán)境。

很多的歐美的機(jī)構(gòu)已經(jīng)通過(guò)PCI的符合性建設(shè)提高了其信息安全水平，近一半的歐美機(jī)構(gòu)于2008年內(nèi)全面的完成PCI的符合性工作并通過(guò)認(rèn)證，而30%左右的機(jī)構(gòu)計(jì)劃2年內(nèi)完成該項(xiàng)工作;目前主要的關(guān)注行業(yè)集中在零售業(yè)、金融服務(wù)、媒體和娛樂(lè)、保險(xiǎn)行業(yè)等等。

中國(guó)支付安全標(biāo)準(zhǔn)現(xiàn)狀

PCI在中國(guó)所受的關(guān)注程度還具有提高的空間，但是目前信用卡支付和電子商務(wù)的交易量越來(lái)越大，出現(xiàn)的安全隱患也與日俱增，中國(guó)與國(guó)際的經(jīng)濟(jì)往來(lái)越來(lái)越緊密，對(duì)于支付安全的需求也必然越來(lái)越高。

目前，中國(guó)尚未制定相關(guān)行業(yè)標(biāo)準(zhǔn)，各國(guó)家主管部門(mén)雖然意識(shí)到制定中國(guó)自己的支付行業(yè)標(biāo)準(zhǔn)是刻不容緩的，但是標(biāo)準(zhǔn)的統(tǒng)一尤其是相關(guān)安全標(biāo)準(zhǔn)的統(tǒng)一，是一個(gè)漫長(zhǎng)和曲折的過(guò)程。有了行業(yè)標(biāo)準(zhǔn)之后，為了將標(biāo)準(zhǔn)充分應(yīng)用和切實(shí)落實(shí)，還需要相關(guān)國(guó)家主管部門(mén)出臺(tái)一套完整的合規(guī)評(píng)估體系，包括相關(guān)的制度、流程以及合規(guī)評(píng)估機(jī)構(gòu)的規(guī)范和統(tǒng)一。

結(jié)合現(xiàn)狀提出建議

atsec作為中立的第三方機(jī)構(gòu)，經(jīng)過(guò)多年來(lái)在信息安全領(lǐng)域的實(shí)踐經(jīng)驗(yàn)，結(jié)合目前國(guó)內(nèi)的支付安全現(xiàn)狀就未來(lái)支付行業(yè)的發(fā)展提出以下建議：

◆可由國(guó)家相關(guān)政府職能部門(mén)和主管部門(mén)共同建立支付行業(yè)標(biāo)準(zhǔn)委員會(huì)。

◆PCI DSS標(biāo)準(zhǔn)已經(jīng)得到世界范圍廣泛的專(zhuān)業(yè)認(rèn)可，可通過(guò)該標(biāo)準(zhǔn)中對(duì)于審核對(duì)象的要求和最佳實(shí)踐結(jié)合中國(guó)國(guó)情制定適合于我國(guó)的支付行業(yè)標(biāo)準(zhǔn)。

◆在合規(guī)評(píng)估體系的建設(shè)工作中，可借鑒國(guó)際上對(duì)于標(biāo)準(zhǔn)評(píng)估認(rèn)證的管理辦法。比如，由政府職能部門(mén)聯(lián)合中國(guó)銀聯(lián)、銀行、卡商以及中立的第三方評(píng)估機(jī)構(gòu)共同合作開(kāi)展合規(guī)評(píng)估規(guī)范工作。采用維護(hù)評(píng)估實(shí)驗(yàn)室的方式，加強(qiáng)審核方管理辦法，制定嚴(yán)謹(jǐn)?shù)脑u(píng)估體系，嚴(yán)格依據(jù)標(biāo)準(zhǔn)進(jìn)行規(guī)范化審核。

◆授權(quán)專(zhuān)業(yè)的支付信息安全評(píng)估實(shí)驗(yàn)室，實(shí)驗(yàn)室應(yīng)該為第三方中立的咨詢(xún)和評(píng)估機(jī)構(gòu)，而非大型產(chǎn)品代理商或者廠商。被授權(quán)的評(píng)估實(shí)驗(yàn)室應(yīng)具備多年信息安全工作經(jīng)驗(yàn)。

◆支付標(biāo)準(zhǔn)委員會(huì)只負(fù)責(zé)維護(hù)評(píng)估實(shí)驗(yàn)室和掃描機(jī)構(gòu)，并對(duì)執(zhí)行的審核結(jié)果進(jìn)行核查和監(jiān)管。

◆為了確保被授權(quán)機(jī)構(gòu)的中立，便于維護(hù)，被授權(quán)的實(shí)驗(yàn)室可定期向授權(quán)機(jī)構(gòu)繳納年金。對(duì)于被授權(quán)機(jī)構(gòu)所執(zhí)行的審核項(xiàng)目，應(yīng)由被審核機(jī)構(gòu)向授權(quán)機(jī)構(gòu)提交實(shí)驗(yàn)室評(píng)定。授權(quán)機(jī)構(gòu)定期整理，取消不符合要求的實(shí)驗(yàn)室資質(zhì)。