EPP_PCI认证相关介绍.docVIP

EPP_PCI认证 相关知识介绍 V1.00 修订历史： 版本号 日期 作者 修改内容 1.0 2013-08-14 陈琳 目 录 1、 PCI SSC 4 2、 PCI认证 4 2.1 PCI认证是什么 4 2.2 PCI认证流程 5 3、 EPP的PCI认证 5 3.1 EPP设备特性安全要求 6 3.2 EPP设备管理安全要求 7 4、 TDEA加密算法概述 8 4.1 DES加密算法 8 4.2 TDEA 9 5、 RSA加密算法概述 9 PCI SSC PCI SSC（Payment Card Industry Security Standards Council）支付卡行业安全标准委员会，是由美国运通（American Express）、美国发现金融服务(Discover Financial Services)、JCB、万事达(MasterCard Worldwide)和VISA国际组织五家支付品牌在2006年秋共同筹办设立的统一且专业的信息安全标准委员会。PCI认证标准是支付卡行业安全认证最高标准。2006年之前，该标准为VISA认证，2006年后，世界5大支付机构（American Express, Discover Financial Services, JCB International, MasterCard Worldwide, and Visa Inc）联名成立了PCI 安全委员会，主要负责数据安全标准、支付应用数据安全标准及密码传输安全标准的制定等工作。 PCI安全标准委员会（PCI SSC）的最高级别的执行委员会（Executive Committee）是由上述五家支付卡品牌中负责风险管理或相关服务技术的副总裁组成。执行委员会下设管理委员会（Management Committee），也由五家支付卡品牌的相关负责人组成，负责该安全标委会的重大决策。委员会设有总经理（General Manager），并设立专门的DSS(资料安全标准)工作组、PED（密码输入设备）工作组、QSA（合格安全性评估机构）体系管理、ASV（授权扫描机构）体系管理、PA（支付应用程式）体系管理等部门，分别负责各自领域的标准开发和体系维护等技术工作，此外还设有市场工作组和立法委员会。其相关的文档资料或标准文档如《PCI DSS》、《PCI PA-DSS》等均可在PCI安全标准委员会的官网上查询和下载，网址为 / 。 PCI DSS—PCI Data Security Standard 支付卡行业资料安全标准 PCI PA-DSS—PCI Payment Application Data Security Standard 支付卡行业支付应用程式资料安全标准 PCI安全标准委员会严格的维护了授权扫描机构（ASV：Approved Scanning Vendors）和合格安全性评估机构（QSA：Qualified Security Assessors）的授权评估体系，面向收单银行、商户、服务提供商等支付产业相关机构提供安全扫描和评估服务，并出具符合性报告。所有的ASV和QSA都需要经过严格审核后才能得到授权，并要进行每年一度的重新审核；QSA的相关全职评估人员需要参加PCI SSC组织的资格培训和考核，并也要进行每年一次的重新资格培训。 PCI认证 2.1 PCI认证是什么 所谓的PCI认证就是对相关的设备、产品等按照对应的PCI标准进行审查、审核的过程。PCI认证分PCI 1.X（1.0/1.1/1.2）；PCI 2.X(2.1)（多了移机自毁功能，安全性能更高，2011年3月停止接受2.x认证）；PCI3.0（目前最高，2011年3月公布认证标准）。通过认证的产品PCI SSC会给它出具一份通过了PCI认证证书，并且会把通过了PCI认证的相关厂家产品名单公布在PCI SSC官网上。 PCI认证是目前全球最严格、级别最高的金融机构安全认证标准。一般情况下由PCI安全标准委员会授权的公司才有资质进行PCI认证。至于那些公司被授权可以进行PCI认证可以在PCI官网查询，对于不同的设备的安全要求不同，也有着不同的授权认证公司。 2.2 PCI认证流程 PCI认证流程与EMV的认证流程基本相似，如下图所示： EPP的PCI认证 PCI_EPP（PCI加密键盘）意指经过PCI安全委员会定实验室检测，有PCI安全委员会认证并颁发证书的加密键盘。其加密方式可以为DES/TRIDES,RSA等国际加密标准 PCI组织要求从2005年10月起，新POS