新闻快讯
< >

PCI-SSC为3DS协议发布两项新的安全标准

E安全10月27日讯,在当地时间25日召开的PCI欧洲社区会议上,PCI安全标准委员会(简称PCI SSC)宣布推出两项新的安全标准,旨在支持EMVco的EMV 3-D Secure(简称3DS)协议的安全实现能力。

1.jpg

EMV® 3DS有助于防止未授权的信用卡无卡支付服务(简称CNP)交易。在消费者通过网络浏览器或者移动应用进行在线购物时,其能够通过发卡机构进行自我认证,从而保护商家免受CNP欺诈。EMVCo与PCI SSC的协作也将共同确保为EMV® 3DS解决方案的功能测试与安全评估工作建立起敏捷且可靠的实施架构。

PCI SSC国际总监杰瑞米·金(Jeremy King)解释称,“EMV® 3DS解决方案将使得犯罪分子越来越难以通过在线支付渠道获取持卡人数据(简称CHD)。由于CNP欺诈活动在欧洲乃至全球范围内仍是一项重大挑战,PCI SSC很高兴能够为这些解决方案提供安全实现支持。”

PCI SSC首席技术官特洛伊·里奇(Troy Leach)则补充称,“在全渠道通信的新时代之下,利用动态认证机制保障支付操作正变得越来越重要。PCI安全标准支持下的全新增强EMV® 3DS协议将提升3DS基础架构与交易事务的安全性水平,同时改善电子商务与移动商务环境的动态认证能力。”

面向EMV® 3-D Secure核心组件的PCI安全要求与评估规程涵盖:ACS、DS以及3DS服务器(简称PCI 3DS核心安全标准); 其将协同面向EMV® 3-D Secure SDK(简称PCI 3DS SDK安全标准)的PCI安全要求与评估规程,共同保护用于支持3DS交易的EMV® 3DS基础设施:

  • PCI 3DS Core安全标准支持EMV® 3-D Secure协议与Core功能规范,适用于各类负责管理、提供或者访问3DS访问控制服务器(简称ACS)、目录服务器(简称DS)以及3DS服务器组件的工具。而PCI 3DS Core安全标准则定义了适当的安全控制,用以保护上述特定3DS环境,进而强化3 DS交易处理的安全性水平。全部合格安全评估员(简称QSA)皆需要接受培训,旨在顺利将PCI 3DS环境评估纳入PCI 3DS Core安全标准当中。

  • PCI 3DS SDK安全标准支持EMV® 3-D Secure SDK规范,后者负责为用于移动端3DS交易的3DS软件开发工具包(简称SDK)的相关工具定义EMV® 3DS要求。此项标准面向3DS SDK产品的开发人员与供应商,其专注于确保该SDK在设计与开发当中始终重视安全保障要求。PCI SSC方面还在着手开发一款验证支持程序,预计将于2018年年初推出,其将首先于2017年年内进行试验性使用。最终成果将囊括一份PCI SSC SDK解决方案清单,且保证与PCI 3DS SDK安全标准相匹配。

1.jpg

PCI 3DS Core 安全标准目前已经在PCI SSC网站上正式发布。欲了解更多细节信息,请参阅PCI Perspectives博客上发布的《关于新的PCI 3DS Core安全标准,我们需要了解什么》一文。

PCI 3DS SDK安全标准也将于下个月发布在PCI SSC官方网站。

相关阅读:

PCI DSS 3.2第三方支付行业安全性提升指南
2015年PCI DSS 3.0将强制执行

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。