PCI PTS(支付卡行业密码交易安全)
DPLS Lab作为一家具有多年PCI PTS经验的安全评估专业机构,服务内容包括咨询服务、培训和提供独特的分析工具。确保为全面的产品审核过程做好准确的准备。开发阶段的密切合作使我们能够了解每一位客户独特的安全需求。
PCI PTS的简述
PCI(PaymentCard Industry )PTS (PIN Transaction Security) POI (Point of Interaction),是由PCI安全标准委员会的创始成员(visa、mastercard、AmericanExpress、DiscoverFinancial Services、JCB等)制定,力在使国际上采用一致的终端安全措施,简称PCI PTS。
PCI PTS的安全要求
PCI PTS的安全要求分为5个模块:
- 核心安全要求
- 终端集成安全要求
- 开放协议
- 账户数据保护
- 设备管理安全
核心安全又分为物理安全、逻辑安全、联机安全、脱机安全、配置和维护安全五部分。
PCI PTS 保护的数据对象
PCI PTS 保护的数据对象为个人识别码(PIN)、账户数据、交易信息,密钥,固件等。数据保护又分为防泄漏和防篡改两类。
《Payment Card Industry PIN Transaction Security (PTS) Device Testing and Approval Program Guide》为供应商提供了有关PCI SSC评估和批准支付安全设备的过程的信息,并说明了支付卡类型的一套标准:
- 交互点(POI)和硬件安全模块(HSM)安全要求
- 测试方法
- 批准流程
PCI 测试要求:
- PCI加密PIN板(EPP)得出的测试要求
- PCI POS PIN输入设备(PED)得出的测试要求
- PCI无人值守支付终端(UPT)得出的测试要求
- PCI硬件安全模块(HSM)得出的测试要求
- PCI PTS交互点(POI)得出的测试要求
关于PCI PTS的版本更新说明
安全是一场与潜在攻击者的永无止境的竞赛。因此,有必要定期审查、更新和改进用于评估POI设备和硬件安全模块(统称为“支付安全设备”)的安全要求,PCI SSC同意,所有相关安全要求和相关测试要求通常每三年更新一次。下图描述了安全需求v3、其前身和后续v4的三年周期:
