隨著電子支付的應用模式越來越廣泛和多樣，支付應用軟件的安全保障問題日漸突出，成為整體支付安全的關鍵環節。Visa的研究表明，薄弱的支付應用程序是數據泄露事件發生的主要原因，特別是小型商戶。“罪犯通常瞄準那些有安全漏洞的軟件版本，”Visa公司全球數據安全負責人Eduardo Perez表示，“所有處理支付卡信息的企業都必須遵守數據安全保護最高標準，以確保客戶財務信息的安全性和私密性。”支付應用數據安全標準(PA DSS：Payment Application Data Security Standard)是國際上保障支付應用程序安全的最佳實踐標準。

標準的產生和使用

對于大多數軟件供應商而言，不涉及持卡人數據的存儲、處理和傳輸，傳統的支付卡行業數據安全標準(PCI DSS：Payment Card Industry Data Security Standard)不會直接適用于軟件供應商，然而客戶會使用此類軟件進行持卡人數據的存儲、處理和傳輸，這就要求軟件供應商也需要符合PCI DSS，支付應用數據安全標準(PA DSS)的發布是PCI DSS的完美補充和延續，它確保支付應用程序能夠更好地保護持卡人數據安全，并確保軟件解決方案實施了適當的安全控制。PA DSS的目標是為了幫助軟件供應商和其他機構開發安全的支付應用系統，確保禁止存儲的數據(如磁條數據、驗證數據或密碼(PIN)等敏感數據)不被保存，同時幫助商戶及服務提供商減少數據泄露事件，全面推進整個支付卡行業數據安全標準(PCI DSS)的合規工作。

圖：保護持卡人數據的PCI安全標準系列及其關系示意 [1]

PA DSS的前身是PABP(Payment Application Best Practices)，最早由visa維護和管理。PA DSS最新的版本V1.2于2008年10月1日發布，由五大卡品牌[美國運通(American Express)、美國發現金融服務(Discover Financial Services)、JCB、萬事達(MasterCard Worldwide)和Visa]組成的支付卡行業數據安全標準委員會(PCI Security Standards Council)統一維護和管理。

該標準適用于從事支付應用程序開發并將其銷售、發布或授權給第三方用于存儲、處理或者傳輸持卡人的授權或結算數據的軟件供應商或其他方。需要注意的是，PA DSS不適用于僅為單一客戶開發并向其銷售的支付應用程序，同時也不適用于由商戶與服務提供商開發的僅在內部使用的不銷售給第三方的支付應用程序，但這些應用程序仍必須滿足 PCI DSS 的要求。

如果軟件供應商僅將支付功能集成在單一的或少量的基準模塊中，同時保留其他模塊用于非支付功能，那么審核僅關注在基準模塊，這種方法可以限制符合 PA DSS 的模塊數量，降低合規成本。

標準的執行

該標準的評審工作為年度評審，由支付應用合格安全評估機構(Payment Application Qualified Security Assessors)按照標準要求和評估流程嚴格執行。PA QSA是指經由支付卡行業數據安全標準委員會(PCI Security Standards Council)嚴格培訓且授予實施 PA-DSS 審查資格的 QSA，PCI安全標準委員會在其官方網站上維護了QSA的列表：https://www.pcisecuritystandards.org/pdfs/pci_pa-dss_list.pdf。

atsec作為PCI安全標準委員會授權的PA QSA，在中國、美國和歐洲廣泛的領域內開展PA DSS的咨詢和評估工作。

PA-DSS 的審查范圍具體包括：

l 所有支付應用程序功能，包括但不限于：終端到終端支付功能(授權或結算);輸入和輸出;故障狀態;接口和連接到其他文件、系統和/或支付應用程序或應用程序組件;所有卡人數據流向;加密機制和驗證機制。

l 應用程序供應商向客戶和經銷商/集成商提供的指導信息，用以確保客戶了解如何實施支付應用程序以符合 PCI DSS 的要求，并且明確告知客戶，某些支付應用程序與環境設置可能會影響其對 PCI DSS 的合規性。

l 接受審查的支付應用程序版本選定的所有平臺。

l 支付應用程序所含或所使用的用以訪問和/或查看持卡人數據的工具(報告工具、記錄工具等)。

PA DSS所涉及以下14個層面的安全要求：

1. 不要保留完整的磁條數據、卡驗證值或代碼 (CAV2、CID、CVC2、CVV2) 或 PIN 數據塊

2. 保護存儲的持卡人數據

3. 提供安全驗證功能

4. 記錄支付應用程序的活動

5. 開發安全的支付應用程序

6. 保護無線傳輸

7. 針對漏洞測試支付應用程序

8. 便于安全的網絡實施

9. 絕不能在連接到互聯網的服務器上存儲持卡人數據

10. 便于軟件進行安全的遠程更新

11. 便于對支付應用程序進行安全的遠程訪問

12. 對經由公共網絡傳輸的敏感信息進行加密

13. 對所有非控制臺管理訪問進行加密

14. 維護好向客戶、經銷商與集成商提供的指導性文件材料與培訓計劃

標準的符合性現狀

該標準自發布以來，得到了全球金融機構的廣泛認可和推廣，已成為國際上保障支付應用程序安全的最佳實踐標準。近日，visa發布了全球范圍的通告，強制性要求全球不同地區采用符合支付行業數據安全標準(PA DSS)的安全支付應用程序。

Visa在發布的強制性命令中強調并提醒收單機構應警惕存儲了敏感信息數據[包括完整的磁條數據、卡驗證值或代碼 (CAV2、CID、CVC2、CVV2) 或 PIN 數據塊)]的支付應用軟件，收單機構應確保商戶和服務提供商不得使用存儲了敏感信息的支付應用軟件，并對已經識別出來的風險和問題采取糾正措施。收單機構應該支持商戶和服務提供商使用符合PA DSS的支付應用程序，對于已經通過PA-DSS的合規產品名單可在PCI的官方網站獲取：https://www.pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html。通過PCI標準委員會對合規產品的維護，各商戶和服務提供商可以安全有效地選擇正確的支付應用產品。

根據Visa的這一強制性規定，截至到2010年7月1日之前，Visa在亞太地區(AP)、中東歐、中東和非洲(CEMEA)以及拉美和加勒比地區(LAC)的收單銀行必須確保其新簽約的商戶開始采用符合PA DSS的應用程序;此外，截至到2012年7月1日，所有使用Visa網絡的現有商戶或服務提供商則必須全面采用符合PA DSS的應用程序。

此前，在與美國和加拿大地區的金融機構的溝通中，Visa要求收單銀行必須確保在2010年7月1日之前使所有新簽約及現有的商戶和服務提供商采用符合PA DSS的應用程序。

配合以上強制性規定，Visa維護了違規的存儲了敏感信息的支付應用產品列表，并具有適當的通告機制。在某些情況下，廠商可以針對發現的違規問題采取糾正措施，產品版本號和更新也被記錄和維護。這個列表由visa定期更新，有任何更改將會發布最新通告。該列表不公開發布(包括網站或者公共位置)，盡管如此，Visa的客戶可以通過AIS(Account Information Security)和/或CISP(Cardholder Information Security Program)驗證體系的聯系人獲得該違規列表;另一方面，收單機構也可以與他的商戶和服務提供商分享該列表。有關這些產品的詳細信息(例如補丁和更新)需要直接聯系各自的廠商獲得。

結合中國的現狀提出建議

如今，PA DSS在中國所受的關注度還比較小，伴隨著中國與國際的經濟往來越來越緊密，信用卡支付和電子商務的交易量越來越大，出現的安全隱患也與日俱增，對于支付安全的需求也必然越來越高。

目前，中國尚未制定相關行業標準，各國家主管部門雖然已經意識到制定中國自己的支付行業標準是刻不容緩的，但是標準的統一尤其是相關安全標準的統一，是一個漫長和曲折的過程。有了行業標準之后，為了將標準充分應用和切實落實，還需要相關國家主管部門出臺一套完整的合規評估體系，包括相關的制度、流程以及合規評估機構的規范和統一。

atsec作為中立的第三方機構，經過多年來在信息安全領域的實踐經驗，結合目前國內的支付安全現狀就未來支付行業的發展提出以下建議：

可由國家相關政府職能部門和主管部門共同建立支付行業標準委員會。

PA DSS標準已經得到世界范圍廣泛的專業認可，可通過該標準中對于審核對象的要求和最佳實踐結合中國國情制定適合于我國的支付行業標準。

在合規評估體系的建設工作中，可借鑒國際上對于標準評估認證的管理辦法。比如，由政府職能部門聯合中國銀聯、銀行、卡商以及中立的第三方評估機構共同合作開展合規評估規范工作。采用維護評估實驗室的方式，加強審核方管理辦法，制定嚴謹的評估體系，嚴格依據標準進行規范化審核。

授權專業的支付信息安全評估實驗室，實驗室應該為第三方中立的咨詢和評估機構，而非大型產品代理商或者廠商。被授權的評估實驗室應具備多年信息安全工作經驗。

支付標準委員會只負責維護評估實驗室和掃描機構的授權資質，并對執行的審核結果進行核查和監管。

為了確保被授權機構的中立，便于維護，被授權的實驗室可定期向授權機構繳納年金。對于被授權機構所執行的審核項目，應由被審核機構向授權機構提交實驗室評定。授權機構定期整理，取消不符合要求的實驗室資質。

atsec目前是經過PCI安全標準委員會(SSC：Security Standards Council)授權認可的合格的安全評估機構(PCI QSA和PA QSA)和授權的掃描服務機構(ASV)，atsec愿意憑借多年來在信息安全領域的經驗和國際領先的標準技術幫助中國支付行業共同制定適合于我國國情的支付行業標準和合規體系。

希望在以中國相關主管部門為核心骨干成立的標準委員會工作中，加快推動我國統一的支付標準的制定，共同站在國家全局的高度，力促其早日問世!也希望能夠得到相關立法的支持，以盡可能的減小支付過程的安全風險，保護持卡人權益。