华为云支付解决方案成功通过atsec支付应用数据安全标准评估和PCI标准委员会的验证

atsec

华为近日宣布，其支付应用系统云支付解决方案CPS（Cloud Payment Solution）成功通过了艾特赛克（atsec）中国PCI实验室基于支付卡行业（PCI：Payment Card Industry）的支付应用数据安全标准（PA DSS：Payment Application Data Security Standard）v3.0版本的合规评估，并且通过了支付卡产业安全标准委员会（PCI SSC：Payment Card Industry Security Standards Council）的验证。
华为云支付CPS系统是一款面向电信运营商、机构（如商户）和持卡人的移动转帐和支付服务相关的中央支付系统。CPS提供卡不呈现的清算，从而完成机构和银行的支付交易。CPS旨在建立新兴的支付模式，替代传统的支付方式，如现金、支票和银行信用卡，从而为持卡人和机构提供便利的基于移动技术（如USSD、STK、移动App应用等多种渠道）的移动转帐和付款。华为云支付CPS系统目前已经在全球多个国家主流运营商成功商用，如肯尼亚，巴基斯坦，罗马尼亚等，安全性方面获得客户一致认可。
PA DSS是全球范围广泛且高度认可的应用安全标准，早在多年以前便已经成为各个支付卡品牌（比如VISA和万事达等）面向银行、支付服务提供商、商户涉及支付授权和结算的支付系统部署的强制要求。PA DSS目的是帮助开发支付应用给其他机构的软件提供商开发安全的没有存储被禁止的数据的应用，例如完整磁条副本、其他敏感认证数据或者PIN数据，并且确保他们的支付应用符合PCI DSS。PA DSS的要求适用于被销售、分销或者授权给第三方的支付应用。
成功的评估验证结果发布在PCI安全标准委员会（SSC：Security Standard Council）官方网站上。
atsec基于PA DSS标准的要求针对CPS支付系统执行了评估和测试，双方共同完成了针对本产品的PA DSS实施指南（IG：Implementation Guide），并且搭建了PCI审核模拟的持卡人数据环境，基于该环境执行了PA DSS 14个大要求和诸多子项目，以及环境审核要求的审核和测试。PCI SSC对于atsec所提交结果进行了严谨细致的质量审核，出于对产业要求的不断增强和严格，质量审核过程经历了诸多的澄清和研讨，最终给予了atsec所提交的审核资料（包括IG）和验证报告100分满分的质量审核结果。
对于本次PA合规的成功合作，华为云支付产品总监申海表示：“在云支付、移动支付领域，无论是从最终消费者还是运营商视角去看，支付以及金融交易的安全性是保障整个业务得以成功运营的基础。华为云支付的安全架构从底层架构设计，到顶层的运营流程，都严格按照金融级安全标准PCI PA DSS标准实施。PA DSS是金融支付领域的安全强制规范，我们很高兴我们CPS能最终获得PCI标准委员会的认可和合规，我们希望该标准的合规将进一步确保我们客户支付业务的全流程安全。”
atsec中国总经理及PCI实验室主任刘岩对于本次成功合作评论到：“祝贺华为成功完成本次CPS系统的PA DSS合规评估和验证，也对于项目团队的大力配合表示感谢。根据各个国际卡组织，如VISA和万事达等体系的规定，早在多年以前就已经将PA DSS作为涉及支付环境使用和采购产品的强制标准，并在国际广泛的金融行业得到高度认可，该标准有助于从产品设计架构、安全开发、编码和测试，以及生命周期流程等角度提高支付应用的安全性。”