PA DSS

針對支付應用的PA-DSS要求包括：

1.不存儲全磁條、卡授權密碼或者價值（CAV2,CID,CVC2,CVV2）或者PINblock數據

2.保護存儲的持卡人數據

3.提供安全的密碼特徵

4.應用活動

5.開發安全的應用

6.保護無線傳輸

7.測試應用以發現脆弱性

8.完成安全網路的實施

9.持卡人數據不允許存儲在連接網際網路的伺服器上

10.完成安全的遠程軟體升級

11.完成對應用的安全遠程訪問

12.通過公共網路加密敏感交易

13.加密所有non-console管理式訪問

14.維護指導文檔並且對客戶、分銷商和集成商進行培訓

支付應用數據安全標準PADSS（PaymentApplicationDataSecurityStandard）是面向支付軟體供應商所設計的安全要求，這個標準的目的是為了讓客戶更好的滿足支付卡產業數據安全標準（PCIDSS：PaymentCardIndustryDataSecurityStandard）的要求，PADSS適用於第三方支付應用，這些支付應用可能會涉及到授權、清算結算過程中對持卡人數據的存儲、傳輸和處理。

PA-DSS的目的是幫助供應支付應用給其他機構的軟體提供商開發安全的沒有存儲被禁止的數據的應用，例如完整磁條副本、其他敏感認證數據或者PIN數據，並且確保他們的支付應用符合PCIDSS。PA-DSS的要求適用於被銷售、分銷或者授權給第三方的支付應用。

PCI安全標準委員會（PCISSC：SecurityStandardscouncil）發布了流程指導描述了流程並且進一步解釋了你是否需要合規。然而，符合PCI標準委員會標準的要求最終由卡品牌強制執行，不是PCI標準委員會自身。例如，VISA要求新擴展的商戶從2008年10月起只能使用符合PA-DSS的軟體，其他機構則從2010年7月開始執行該要求。

如果您是支付應用產品的最終用戶，或者集成商/經銷商則PA-DSS對您不適用。

如果您是支付應用產品的廠商，該支付應用產品作為授權和結算的一部分，存儲、處理或者傳輸持卡人數據，並且銷售、分銷或者授權給第三方；那麼您的產品需要合規。

PA-DSS適用於支付應用程序一般由軟體廠商銷售並且安裝方便（“offtheshelf”）而沒有太多客戶定製化。

PA-DSS適用於以模塊形式提供的支付應用程序，一般包括“基線”模塊和其他具體針對不同類型的客戶或者功能的模塊，或者根據客戶的要求定製化。PA-DSS可能僅僅適用基線模塊，如果該模塊僅僅執行支付功能（一旦被PA-QSA確認）。如果其他模塊也執行支付功能，PA-DSS同樣適用於這些模塊。注意：將支付功能隔離在一個單獨的或者小規模的基線模塊中是被軟體廠商所認可的“最佳實踐”，保留非支付功能於其他的模塊中。該最佳實踐（儘管非要求）能夠減小模塊的合規數量。

PA-DSS不適用於僅僅為一個客戶開發並銷售的支付應用程序，因為該應用程序將作為正常的PCIDSS合規審核的一部分。注意：這樣的應用程序（可能被歸類為“預定”應用程序），僅銷售給一個客戶（通常是一個大型商戶或者服務提供商）並且其設計和開發依據客戶所提供的規格。

PA-DSS不適用於由商戶和服務提供商自我開發且僅僅用於內部的支付應用程序，因為這樣的內部開發和使用的支付應用程序將作為商戶或者服務提供商正常的PCIDSS合規的一部分。

我所提供的支付應用程序既是一款軟體也是一項服務。我仍然需要驗證嗎？

它取決於：

當您使用了您自己的內部研發支付應用程序，並且僅僅提供了虛擬終端給你的客戶（例如，瀏覽器中的在線小程序），該支付應用程序的評估包括在您常規的QSA評估中。

儘管如此，如果您的客戶安裝了您所提供的軟體在他們的系統中，或者您授權或銷售SaaS解決方案給其他的供應商，則PA-DSS是適用的。

PCI安全標準委員會（PCISecurityStandardsCouncil）在他們的網站上維護了PA-QSA列表，由SSC認可執行評估。atsec，作為PA-QSA，出現在列表中，且在中國具有獨立法人實體，提供中國本土的PAQSA評估，並成功高質量完成了諸多支付應用的評估工作。

評估遵循PADSS安全審計流程，提供了一個類別清單既測試流程。一般情況下，支付應用合格安全評估機構（PA-QSA）將首先要求查看您的支付應用程序、環境和流程的文檔。審核完畢這些之後，評估將被執行以驗證您的文檔的正確性，同時包括敏感數據是否以符合標準的形式處理和存儲。最終，PA-QSA將或者提供您一份驗證報告（ROV：ReportofValidation）聲明您滿足標準的要求，或者提供您一份在ROV能夠發布之前需要解決的問題的清單。

欲了解更多的信息請瀏覽PCI標準委員會的安全審計流程。