浅谈支付应用的安全最佳实践

dongfang1017

　　随着电子支付的应用模式越来越广泛和多样，支付应用软件的安全保障问题日渐突出，成为整体支付安全的关键环节。Visa的研究表明，薄弱的支付应用程序是数据泄露事件发生的主要原因，特别是小型商户。“罪犯通常瞄准那些有安全漏洞的软件版本，”Visa公司全球数据安全负责人Eduardo Perez表示，“所有处理支付卡信息的企业都必须遵守数据安全保护最高标准，以确保客户财务信息的安全性和私密性。”支付应用数据安全标准(PA DSS：Payment Application Data Security Standard)是国际上保障支付应用程序安全的最佳实践标准。

　　标准的产生和使用

　　对于大多数软件供应商而言，不涉及持卡人数据的存储、处理和传输，传统的支付卡行业数据安全标准(PCI DSS：Payment Card Industry Data Security Standard)不会直接适用于软件供应商，然而客户会使用此类软件进行持卡人数据的存储、处理和传输，这就要求软件供应商也需要符合PCI DSS，支付应用数据安全标准(PA DSS)的发布是PCI DSS的完美补充和延续，它确保支付应用程序能够更好地保护持卡人数据安全，并确保软件解决方案实施了适当的安全控制。PA DSS的目标是为了帮助软件供应商和其他机构开发安全的支付应用系统，确保禁止存储的数据(如磁条数据、验证数据或密码(PIN)等敏感数据)不被保存，同时帮助商户及服务提供商减少数据泄露事件，全面推进整个支付卡行业数据安全标准(PCI DSS)的合规工作。

　　PA DSS的前身是PABP(Payment Application Best Practices)，最早由visa维护和管理。PA DSS最新的版本V1.2于2008年10月1日发布，由五大卡品牌[美国运通(American Express)、美国发现金融服务(Discover Financial Services)、JCB、万事达(MasterCard Worldwide)和Visa]组成的支付卡行业数据安全标准委员会(PCI Security Standards Council)统一维护和管理。

　　该标准适用于从事支付应用程序开发并将其销售、发布或授权给第三方用于存储、处理或者传输持卡人的授权或结算数据的软件供应商或其他方。需要注意的是，PA DSS不适用于仅为单一客户开发并向其销售的支付应用程序，同时也不适用于由商户与服务提供商开发的仅在内部使用的不销售给第三方的支付应用程序，但这些应用程序仍必须满足 PCI DSS 的要求。

　　如果软件供应商仅将支付功能集成在单一的或少量的基准模块中，同时保留其他模块用于非支付功能，那么审核仅关注在基准模块，这种方法可以限制符合 PA DSS 的模块数量，降低合规成本。

　　标准的执行

　　该标准的评审工作为年度评审，由支付应用合格安全评估机构(Payment Application Qualified Security Assessors)按照标准要求和评估流程严格执行。PA QSA是指经由支付卡行业数据安全标准委员会(PCI Security Standards Council)严格培训且授予实施 PA-DSS 审查资格的 QSA，PCI安全标准委员会在其官方网站上维护了QSA的列表：https://www.pcisecuritystandards.org/pdfs/pci_pa-dss_list.pdf。

　　atsec作为PCI安全标准委员会授权的PA QSA，在中国、美国和欧洲广泛的领域内开展PA DSS的咨询和评估工作。

　　PA-DSS 的审查范围具体包括：

　　l 所有支付应用程序功能，包括但不限于：终端到终端支付功能(授权或结算);输入和输出;故障状态;接口和连接到其他文件、系统和/或支付应用程序或应用程序组件;所有卡人数据流向;加密机制和验证机制。

　　l 应用程序供应商向客户和经销商/集成商提供的指导信息，用以确保客户了解如何实施支付应用程序以符合 PCI DSS 的要求，并且明确告知客户，某些支付应用程序与环境设置可能会影响其对 PCI DSS 的合规性。

　　l 接受审查的支付应用程序版本选定的所有平台。

　　l 支付应用程序所含或所使用的用以访问和/或查看持卡人数据的工具(报告工具、记录工具等)。

　　PA DSS所涉及以下14个层面的安全要求：

　　1. 不要保留完整的磁条数据、卡验证值或代码 (CAV2、CID、CVC2、CVV2) 或 PIN 数据块

　　2. 保护存储的持卡人数据

　　3. 提供安全验证功能

　　4. 记录支付应用程序的活动

　　5. 开发安全的支付应用程序

　　6. 保护无线传输

　　7. 针对漏洞

测试支付应用程序

　　8. 便于安全的网络实施

　　9. 绝不能在连接到互联网的服务器上存储持卡人数据

　　10. 便于软件进行安全的远程更新

　　11. 便于对支付应用程序进行安全的远程访问

　　12. 对经由公共网络传输的敏感信息进行加密

　　13. 对所有非控制台管理访问进行加密

　　14. 维护好向客户、经销商与集成商提供的指导性文件材料与培训计划

　　标准的符合性现状

　　该标准自发布以来，得到了全球金融机构的广泛认可和推广，已成为国际上保障支付应用程序安全的最佳实践标准。近日，visa发布了全球范围的通告，强制性要求全球不同地区采用符合支付行业数据安全标准(PA DSS)的安全支付应用程序。

　　Visa在发布的强制性命令中强调并提醒收单机构应警惕存储了敏感信息数据[包括完整的磁条数据、卡验证值或代码 (CAV2、CID、CVC2、CVV2) 或 PIN 数据块)]的支付应用软件，收单机构应确保商户和服务提供商不得使用存储了敏感信息的支付应用软件，并对已经识别出来的风险和问题采取纠正措施。收单机构应该支持商户和服务提供商使用符合PA DSS的支付应用程序，对于已经通过PA-DSS的合规产品名单可在PCI的官方网站获取：https://www.pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html。通过PCI标准委员会对合规产品的维护，各商户和服务提供商可以安全有效地选择正确的支付应用产品。

　　根据Visa的这一强制性规定，截至到2010年7月1日之前，Visa在亚太地区(AP)、中东欧、中东和非洲(CEMEA)以及拉美和加勒比地区(LAC)的收单银行必须确保其新签约的商户开始采用符合PA DSS的应用程序;此外，截至到2012年7月1日，所有使用Visa网络的现有商户或服务提供商则必须全面采用符合PA DSS的应用程序。

　　此前，在与美国和加拿大地区的金融机构的沟通中，Visa要求收单银行必须确保在2010年7月1日之前使所有新签约及现有的商户和服务提供商采用符合PA DSS的应用程序。

　　配合以上强制性规定，Visa维护了违规的存储了敏感信息的支付应用产品列表，并具有适当的通告机制。在某些情况下，厂商可以针对发现的违规问题采取纠正措施，产品版本号和更新也被记录和维护。这个列表由visa定期更新，有任何更改将会发布最新通告。该列表不公开发布(包括网站或者公共位置)，尽管如此，Visa的客户可以通过AIS(Account Information Security)和/或CISP(Cardholder Information Security Program)验证体系的联系人获得该违规列表;另一方面，收单机构也可以与他的商户和服务提供商分享该列表。有关这些产品的详细信息(例如补丁和更新)需要直接联系各自的厂商获得。

　　结合中国的现状提出建议

　　如今，PA DSS在中国所受的关注度还比较小，伴随着中国与国际的经济往来越来越紧密，信用卡支付和电子商务的交易量越来越大，出现的安全隐患也与日俱增，对于支付安全的需求也必然越来越高。

　　目前，中国尚未制定相关行业标准，各国家主管部门虽然已经意识到制定中国自己的支付行业标准是刻不容缓的，但是标准的统一尤其是相关安全标准的统一，是一个漫长和曲折的过程。有了行业标准之后，为了将标准充分应用和切实落实，还需要相关国家主管部门出台一套完整的合规评估体系，包括相关的制度、流程以及合规评估机构的规范和统一。

　　atsec作为中立的第三方机构，经过多年来在信息安全领域的实践经验，结合目前国内的支付安全现状就未来支付行业的发展提出以下建议：

　　可由国家相关政府职能部门和主管部门共同建立支付行业标准委员会。

　　PA DSS标准已经得到世界范围广泛的专业认可，可通过该标准中对于审核对象的要求和最佳实践结合中国国情制定适合于我国的支付行业标准。

　　在合规评估体系的建设工作中，可借鉴国际上对于标准评估认证的管理办法。比如，由政府职能部门联合中国银联、银行、卡商以及中立的第三方评估机构共同合作开展合规评估规范工作。采用维护评估实验室的方式，加强审核方管理办法，制定严谨的评估体系，严格依据标准进行规范化审核。

　　授权专业的支付信息安全评估实验室，实验室应该为第三方中立的咨询和评估机构，而非大型产品代理商或者厂商。被授权的评估实验室应具备多年信息安全工作经验。

　　支付标准委员会只负责维护评估实验室和扫描机构的授权资质，并对执行的审核结果进行核查和监管。

　　为了确保被授权机构的中立，便于维护，被授权的实验室可定期向授权机构缴纳年金。对于被授权机构所执行的审核项目，应由被审核机构向授权机构提交实验室评定。授权机构定期整理，取消不符合要求的实验室资质。

　　atsec目前是经过PCI安全标准委员会(SSC：Security Standards Council)授权认可的合格的安全评估机构(PCI QSA和PA QSA)和授权的扫描服务机构(ASV)，atsec愿意凭借多年来在信息安全领域的经验和国际领先的标准技术帮助中国支付行业共同制定适合于我国国情的支付行业标准和合规体系。

　　希望在以中国相关主管部门为核心骨干成立的标准委员会工作中，加快推动我一的支付标准的制定，共同站在国家全局的高度，力促其早日问世!也希望能够得到相关立法的支持，以尽可能的减小支付过程的安全风险，保护持卡人权益。