• 博客(16)
  • 收藏
  • 关注

原创 atsec中国完成安徽悦航SPayPOS产品基于PCI SSF的安全软件认证

atsec很荣幸地宣布在2022年12月完成了安徽悦航信息技术有限公司(英文“Anhui YuehangInformation Technology Co., LTD”)(以下简称“安徽悦航”)SPayPOS产品,基于支付卡行业(PCI:Payment Card Industry)的软件安全框架(SSF:Software Security Framework)中安全软件(Secure Software)标准要求的评估,并获得了支付卡产业安全标准委员会(PCISSC:Payment Card Industry

2023-01-30 15:15:34 2

原创 Saved the Best for Last(英文文章)

One last!

2023-01-28 14:10:17 11

原创 新春快乐,兔年大吉

我们祝愿atsec所有的同事、朋友、客户、合作伙伴和供应商春节快乐,兔年大吉。

2023-01-21 11:04:11 17

转载 Shoptop顺利通过atsec的PCI DSS年度合规评估,为出海品牌保驾护航 (转载)

Shoptop已为10w+客户提供了品效合一的出海服务,遍及宠物用品、电子产品、户外休闲、机械化工、家居园艺、假发美瞳、母婴产品、男女服饰、汽车配件、鞋子包包、珠宝首饰等众多行业,凭借服务团队的及时响应和专业高效的运营指导,客户好评率达到 98%。执行完成,通过针对持卡人数据安全环境范围内数据流程的梳理、采取脆弱性分析、文档审核、渗透测试、ASV弱点扫描以及实际配置和实现检查等方式执行,审查对象包括硬件、软件、操作和授权流程、涉卡人员、数据中心等诸多内容,总共。连续通过全球最高级别的支付安全标准认证,

2023-01-16 10:17:31 12

原创 Happy Birthday, atsec!(英文文章)

As always on the 11th of January atsec celebrates its birthday.This year it is the 23rd! As they say: time flies when your doing IT security!Our best wishes and thanks to all of the contributors: our customers, our partners, and our colleagues.

2023-01-11 15:03:03 14

原创 PCI DSS v4.0变更系列之十——新要求点统计

对于新要求的时间点要求,再次提醒如下:1、在2022年开始,所有合规机构均可以按照PCI DSS v4.0的要求进行合规认证。2、如果按v4.0的要求进行合规认证,所有对应于“立即生效”的要求点必须达到要求。3、理论上讲,所有标记为“2025年3月31日”的要求点(共51个)在2025年3月31日前可以按不适用处理。但仍然建议合规机构尽早研究和分析这些要求点,落实所对应的控制措施。

2022-12-30 13:27:23 27

原创 PCI DSS v4.0变更系列之九——第六大类要求点

该章节增加了新的要求A1.1.1,A1.1.4和A1.2.3,这三个要求均是将在2024年3月31日后变为强制要求。对于涉及到灵活执行频率的要求点,应通过风险评估的方法进行确定。将原来的“服务供应商”的说法,调整为“第三方服务供应商”,使得要求的适用更明确。将原来的“服务供应商”的说法,调整为“第三方服务供应商”,使得要求的适用更明确。将原来的“服务供应商”的说法,调整为“第三方服务供应商”,使得要求的适用更明确。将原来的“服务供应商”的说法,调整为“第三方服务供应商”,使得要求的适用更明确。

2022-12-30 13:23:56 19

原创 PCI DSS v4.0变更系列之八——第五大类要求点

将原11.2.3的要求拆分为内部和外部的外部重大变更后进行扫描的要求。此处是对内部的重大变更,要求按6.3.1的漏洞评级为高危和紧急的漏洞必须解决,并进行修复验证。进一步澄清了对方法论的定义、记录与实施,测试结果要保留至少一年,记录对发现的漏洞进行评估和解决的方法。将原11.2.3的要求拆分为内部和外部的外部重大变更后进行扫描的要求。要求所有的机构均实施该控制,并且增加了对日志审查机制和自动安全测试工具的失效响应要求。同时,对于服务供应商以外的合规机构,该要求在2025年3月31日后将变为强制。

2022-12-30 13:23:07 18

原创 PCI DSS v4.0变更系列之七——第四大类要求点

要求8的介绍章节强调了适用性,对应的要求适用于所有的系统组件账号,包括但不限于POS账号、管理账号、系统及应用账号、用于查看/访问持卡人数据及其系统的账号等。要求8.3.9和8.3.10.1使用密码登陆的情形,对密码变更有90天的频率要求,增加了可基于安全态势进行分析的选项,更具灵活性。增加了对密码/口令防止误用的要求,包括基于风险评估的结果以及怀疑泄露时进行定期变更,基于变更的频率确定相适宜的密码/口令的复杂性。在原要求8.5的基础上,添加了使用组、共享和通用账号的例外场景,并对该场景进行了具体的要求。

2022-12-30 13:21:04 14

原创 PCI DSS v4.0变更系列之六——第三大类要求点

在原5.1.2要求的基础上,强调重点在于不受恶意软件影响的系统组件,定期评估提出了具体的记录系统组件、识别恶意软件的影响及确认是否继续不进行恶意软件防护等细节要求。对原6.4.3的要求进行了强化,要求持卡人数据环境之外不能存在生产的账户数据,强调预生产环境也不能存储生产的账户数据。将原6.3要求中的“内部和外部软件”的要求,调整为“定制软件”的要求。对支付页面脚本进行管理的要求,包括授权的检查、检查脚本的完整性以及脚本清单的论证及维护要求。对原5.2要求进行了拆分,此要求覆盖防恶意软件的特征更新的要求。

2022-12-30 12:22:23 17

原创 PCI DSS v4.0变更系列之五——第二大类要求点

要求4针对主账号的传输保护,进一步澄清了机构的内网与涉卡范围的持卡人数据有数据传输时,将使得这个内网需要进行PCI DSS要求的审核。如变为永久存储,应按要求进行加密保护。针对服务供应商分享密钥给客户用于账户数据的存储与传输时,要求记录并发布相应的指导文档,指导密钥的传输、存储及密钥的更新。在原4.1要求的基础上,增加了适用于保护主账号传输的证书的要求,要求证书处于有效状态,不应处于过期或调销状态。该要求参照了原12.3.10的要求,明确提出除了有明确的业务需要的情况外,实施技术手段限制卡号的拷贝与移动。

2022-12-30 12:17:45 12

原创 PCI DSS v4.0变更系列之四——第一大类要求点

此要求把原来1.3.1、1.3.2和1.3.5的要求进行了融合,把入站请求要求的仅访问授权的公开服务、对内访问的状态控制、任何其它流量均禁止整合在这一个要求,控制的思路要求更清晰。这个要求是基于组件的配置标准提出的,综合了原2.2,6.4.6等要求,对组件的配置标准提出了更高的要求,比如在基于要求6.3.1识别到新漏洞时更新配置标准。把原1.3.4与1.2.1重叠的要求做了整合,同时把原1.2.1中关于入站和出站的访问控制要求做了分解,拆分为新的1.3.1入站要求和1.3.2出站要求。

2022-12-30 11:54:10 13

原创 PCI DSS v4.0变更系列之三——通过“定制方法”增加标准的灵活性

定制方法本质上是在要求所对应的控制目标不变的前提下,被审核机构针对PCI DSS要求及其审核方法进行自行定义和重新编写,可以理解为合规机构基于其技术特点和安全管理能力自行进行对应的标准要求点的编写,并由评估机构对这些自行编写的标准要求点进行验证。在更适合使用定制方法来达到合规要求的情况下,atsec作为审核机构,会与合规机构一起基于机构自身的技术特点及风险管理能力,定制恰当的技术要求与审核方法,评估技术要求与审核方法的充分性并进行审核,以验证合规机构的合规状态。

2022-12-30 11:50:26 121

原创 PCI DSS v4.0变更系列之二——主体章节的变更情况说明

通过了PCI SSF将有助于相应的软件或软件生命周期的流程符合并通过PCI DSS的评估,但采用通过SSF的软件部署后的环境仍需要进行独立的PCI DSS验证。对于完全采用标委会网站上列出的软件的情形,需要PCI QSA进行环境中实际部署的软件与标委会网站上列出的软件的比对,并通过实施指导文档与实际部署情况的比对确认软件进行了安全的部署。第九章节为新添加的内容,提及了被审核机构的审核材料(包括配置标准、加密协议、拓扑图、数据流向图、AOC等)的保护,也提出了对审核机构对被审核机构的信息保护要求。

2022-12-30 11:32:10 19

原创 PCI DSS v4.0变更系列之一——变更概述

PCI DSS新版本的变化主要体现在如下几个方面:引入更灵活的合规和审核方法、标准易读性更强、标准要求点格式变化以及更强的控制点要求等等。

2022-12-30 11:05:34 130

原创 The Cryptographic Module Validation Program (CMVP) issues the first FIPS 140-3 certificates

The CMVP published four FIPS 140-3 certificates today, marking the first modules to go through testing and validation under the new version of the FIPS 140 standard. FIPS 140-3 became effective on September 22, 2019, and testing began on September 22, 2020

2022-12-28 16:47:02 17

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除