-- 委员会管理的标准通过支付应用程序全球计划提高支付持卡人的数据安全 --

　　商业编辑

　　ETA 2008 年年会

　　美国商业资讯 2008 年 4 月 15 日拉斯维加斯消息 —

　　管理支付卡行业(PCI)数据安全标准 (DSS)、支付卡行业 PIN 码输入设备 (PED) 安全要求和支付应用程序数据安全标准 (PA-DSS)的全球性、开放式行业标准机构 PCI 安全标准委员会今日在电子交易协会年会和博览会上宣布了支付应用程序数据安全标准 (PA-DSS) 的 1.1 版本。发布 PA-DSS 后，委员会将于今年秋天公布一项计划，包括维护有效的支付应用程序清单。用户可通过此清单辨别出获 PCI SSC 验证的支付应用程序，并满足新的标准。

　　越来越多的罪犯通过支付应用程序的脆弱性盗取支付卡数据，某些软件可神不知鬼不觉地在用户系统中存储机密的支付卡数据。

　　零售解决方案提供商协会的执行董事 J. Joseph Finizio 说：“许多商人和零售商在支付处理应用程序上依靠第三方软件供应商。有了委员会管理全球认证的有效支付应用程序清单后，各种规模的商家便可轻松地选择已被各大主要支付品牌接受的有效的支付应用程序，从而持续保证持卡人数据的安全。”

　　现在由委员会管理的 PA-DSS 此前由 Visa 公司管理，其名称为支付应用程序最优方法 (PABP)。PA-DSS 的目标是帮助软件提供商及他人开发不会存储如完整磁条、其它机密验证数据或者 PIN 数据等的安全支付应用程序，并保证其支付应用程序符合 PCI DSS 的要求。PA-DSS 的要求适用于销售、发布或者授权给第三方的支付应用程序。PA-DSS 的要求不适用于商家或者服务提供商开发的、非销售给第三方的企业内部的支付应用程序，但这些程序仍必须满足 PCI DSS 的要求。

　　此外，委员会会在接下来的几个月内对想成为合格支付应用程序安全顾问 (PA-QSAs) 的公司进行资格审查。成为PA-QSA 的公司将在由委员会维护和出版的清单中予以公开，此后便可根据 PA-DSS 安全审查程序展开 PA-DSS 评估工作。以前根据 Visa PABP 被认证为 PA-QSA 的所有公司须登记并重新认证为委员会 PA-QSA。符合 Visa PABP 标准的支付应用程序将转至 PCI SSC 认证清单。关于此转换的更多信息可访问委员会网站的常见问题部分：https://www.pcisecuritystandards.org/pdfs/pci_pa-dss_faqs.pdf。

　　PCI 安全标准委员会总经理 Bob Russo 说：“PA-DSS 的发布和明确的 PA-QSA 程序是委员会的另一个关键性里程碑。关于经认证的支付应用程序和安全顾问的信息来源是唯一的，这给商家和服务提供商带来了商业价值，使其在支付应用程序的安全性方面可做出明智的选择。”

　　更多信息：

　　若想了解关于 PCI 安全标准委员会的更多信息或者成为参与组织，请访问 pcisecuritystandards.org 或者通过 info@pcisecuritystandards.org 联系 PCI 安全标准委员会。

　　关于支付卡行业安全标准委员会

　　支付卡行业安全标准委员会的使命是，通过推动支付卡行业安全标准以及其他能够提高支付数据安全性的标准的教育和认知，提高支付账户的安全性。

　　支付卡行业安全标准委员会由美国运通、美国发现金融服务公司(Discover Financial Services)、JCB International、万事达卡全球组织、Visa卡全球组织这几大支付卡品牌共同组建，旨在提供一个透明的论坛，让所有的权益人都能通过这个论坛为PCI数据安全标准、个人识别号码输入设备安全要求和支付应用数据安全标准的持续发展、改进和推广做出贡献。欢迎商户、银行、数据处理机构以及POS销售终端提供商加入委员会，成为会员机构。

　　--30--LO/bo*

　　免责声明：本公告之原文版本乃官方授权版本。译文仅供方便了解之用，烦请参照原文，原文版本乃唯一具法律效力之版本。

　　联系方式：

　　PCI 安全标准委员会

　　Glenn R. Boyet, +1 617-876-6248

　　gboyet@pcisecuritystandards.org

　　或

　　Text 100 Public Relations

　　Ella Nevill 或 Matthew Mors

　　+1 617-399-4915 (美国东部地区)

　　+1 206-267-2004 (美国西部地区)

　　pci@text100.com