PCI PTS(支付卡行业密码交易安全)

PCI PTS(支付卡行业密码交易安全)

0

PCI LOGO

DPLS Lab作为一家具有多年PCI PTS经验的安全评估专业机构,服务内容包括咨询服务、培训和独特的分析工具。确保为全面的产品审核过程做好准确的准备。开发阶段的密切合作使我们能够了解每一位客户独特的安全需求。

PCI PTS的简述

PCI(PaymentCard Industry )PTS (PIN Transaction Security) POI (Point of Interaction),是由PCI安全标准委员会的创始成员(visa、mastercard、AmericanExpress、DiscoverFinancial Services、JCB等)制定,力在使国际上采用一致的终端安全措施,简称PCI PTS。

PCI PTS的安全要求

PCI PTS的安全要求分为5个模块:

  1. 核心安全要求
  2. 终端集成安全要求
  3. 开放协议
  4. 账户数据保护
  5. 设备管理安全

核心安全又分为物理安全、逻辑安全、联机安全、脱机安全、配置和维护安全五部分。

PCI PTS 保护的数据对象

PCI PTS 保护的数据对象为个人识别码(PIN)、账户数据、交易信息,密钥,固件等。数据保护又分为防泄漏和防篡改两类。

《Payment Card Industry PIN Transaction Security (PTS) Device Testing and Approval Program Guide》为供应商提供了有关PCI SSC评估和批准支付安全设备的过程的信息,并说明了支付卡类型的一套标准:

  1. 交互点(POI)和硬件安全模块(HSM)安全要求
  2. 测试方法
  3. 批准流程

PCI 测试要求:

  1. PCI加密PIN板(EPP)得出的测试要求
  2. PCI POS PIN输入设备(PED)得出的测试要求
  3. PCI无人值守支付终端(UPT)得出的测试要求
  4. PCI硬件安全模块(HSM)得出的测试要求
  5. PCI PTS交互点(POI)得出的测试要求

关于PCI PTS的版本更新说明

安全是一场与潜在攻击者的永无止境的竞赛。因此,有必要定期审查、更新和改进用于评估POI设备和硬件安全模块(统称为“支付安全设备”)的安全要求,PCI SSC同意,所有相关安全要求和相关测试要求通常每三年更新一次。下图描述了安全需求v3、其前身和后续v4的三年周期: