【IT168 资讯 】atsec很荣幸地宣布:中国国际航空股份有限公司(中文简称“国航”,英文简称”AirChina”)通过了atsec基于支付卡产业数据安全标准(PCI DSS:Payment Card Industry Data Security Standards)v 2.0版本的符合性评估。本次评估的验证工作圆满完成于2014年8月,是国航首次通过PCI DSS数据安全标准符合性评估。
本次针对国航支付平台的PCI DSS审核,atsec与国航在项目过程中始终保持着紧密的配合,所涉及的领域是非常广泛的,无论是从业务流程、还是到技术管控;无论是从信息管理部,还是到电子商务部、结算部、销售部等部门,都会对关键业务、IT系统、人员、操作流程、规章制度等多个方面进行合规性审查。特别是在技术审核中所发现的问题,atsec与国航多部门联合进行详细的讨论和分析,首先在测试环境上进行反复验证,在通过验证后,完成在线业务系统方面的整改和优化。最终完成标准所要求的网络、系统、应用、数据库、物理安全等层面300余项审核要求。在提交了所有关键性证据后,atsec作为PCI安全标准委员会授权认可的QSA安全审核机构向国航出具了合规报告(ROC:Report on Compliance)和合规证明(AOC:Attestation of Compliance)。为双方长期紧密的合作奠定了良好的基础。
atsec在支付产业,特别是航空和大型商户领域积累了丰富的经验和方法论,结合国航的实际状况,制定出适合国航的“外树品牌、内控数据”的认证思路。通过建立覆盖国航全支付业务流程的数据安全管控标准、实现具有“国际业务水平、中国国情电商、国航特色业务”的电子支付体系,最大限度地实现支付卡信息的保密性、完整性、可用性和有效性,提高国航支付卡安全的管理水平和风险识别能力,并保持持续有效的改进,形成业务及技术的管理闭环。
PCI DSS是检查单形式的安全基线标准,而国航已经早先实现了ISO/IEC 27001和等级保护标准的合规建设。双方在PCI合规建设中,充分引用和借鉴现有的国航认证标准和管理体系,通过已采取的控制措施和管理制度,实现认证的快速性和经济性。同时也能满足国家法令法规的有关要求。充分做到“制度统一,标准一致”。此次PCI安全认证是多管理体系融合的一次成功实践。
atsec中国总经理PCI实验室主任刘岩对于本项目的成功表示:“祝贺国航支付平台实现了PCI DSS合规,在此也对双方团队在整个项目实施整改以及安全评估测试过程中的努力表示衷心感谢。早在规划之初,国航和atsec一同针对PCI DSS合规战略紧密研讨,制定了短期和长期安全合规的统筹规划,即实现了重点系统和业务合规工作的高优先级完成,同时着眼于未来和全局,为长期信息安全建设奠定了坚实的基础。atsec期待着长期贡献于国航乃至广泛的支付安全领域,将PCI要求进一步实施和优化,融入到业务的常态工作中。”
多年以来atsec中国在亚太地区特别是中国积极推动支付安全标准PCI的实施和合规工作,得到了产业的高度认可。atsec也呼吁和期待着更多的支付产业同仁共同致力于支付安全的建设,不仅仅是银行、支付机构和涉及支付的商户做为支付安全的实施者,也包括专业安全厂商、测评机构等贡献者,期待着各个角色对于安全和质量要求的追求进一步规范和优化支付安全环境。