支付信息安全概览
全球支付产业安全主要围绕三大核心板块构建:PCI PTS 负责支付终端硬件安全,确保 POS 设备及密码键盘在设计、制造与运维环节均满足抗物理攻击与逻辑安全要求;PCI DSS 覆盖持卡人数据保护全链条,从网络安全、访问控制到日志监控,构建后端数据安全防线;EMV 规范则定义了芯片卡与终端交互的技术标准,保障面对面交易的密钥安全与认证可靠性。
三大板块相互补充:PTS 守住前端终端入口,DSS 保护后端数据纵深,EMV 确保卡片交易可信。PCI 安全标准委员会持续推进标准演进,PCI DSS v4.0 与PCI PTS 7.0 引入了更严格的认证要求,包括了对抗量子计算,自定义测试方法等最前沿的安全防护技术。
支付安全已从传统的持卡人数据保护,扩展至端到端加密(P2PE)、MPoC、3DS 认证等多生态、全链路安全保障,涉及商户、收单机构、发卡机构、支付服务商等多方主体的安全合规。
PCI PTS — 终端安全
- POS 终端物理安全
- POS 终端软件安全
- SRED与OP接口安全
- 设备管理与生命周期
PCI DSS — 数据安全
- 12项核心安全要求
- 持卡人数据保护
- 访问控制与监控
- v4.0 自定义验证
EMV — 交易安全
- 芯片卡与终端交互
- 密钥管理与认证
- 非接触式支付规范
- 移动支付NFC安全
合规业务与框架
PCI 安全标准生态体系及支付终端核心框架
PCI 安全标准生态体系
PCI PTS
支付终端安全标准,审核POS设备及密码键盘安全
PCI PIN
PIN安全标准,确保PIN在网络间安全传输和处理
PCI DSS
数据安全标准,保护持卡人数据的核心合规框架
PA-DSS
支付应用数据安全标准,评估支付软件安全性
PCI P2PE
点对点加密标准,验证终端到解密点的加密保护
PCI MPoC
移动支付设备安全标准,评估手机/穿戴设备支付安全
支付终端核心安全框架
PCI PTS 支付终端
定义支付终端安全要求,包括设备物理安全、SRED安全读写加密、脱机PIN处理及开放协议安全评估。
PCI P2PE 端到端加密
验证支付解决方案从终端到解密点之间提供有效加密保护,降低商户 PCI DSS 合规范围与数据泄露风险。
PCI DSS 后端系统
涵盖12项核心安全要求,保护持卡人数据从存储、处理到传输的全生命周期安全,适用于数据中心与后端系统。
PCI PIN 安全
PIN 安全标准确保 PIN 码在支付网络中安全传输与处理,涵盖安全房(Secure Room)管理、密钥注入(HSM)流程及 PIN 翻译服务安全要求。
PA-DSS & MPoC 移动安全
PA-DSS 评估支付应用软件安全性,MPoC 扩展至移动支付设备(手机、穿戴设备),覆盖NFC与二维码等新型支付场景。
EMV 接口与内核
定义芯片卡与终端交互的技术规范,涵盖 L1 接口协议、L2 应用内核及 L3 终端集成认证三个层级,确保全球支付互操作性与安全性。
EMV 认证内容
EMVCo 定义的芯片卡与支付终端认证体系
EMV 接口与内核认证
EMV L1
接触式接口类型认证,验证终端与芯片卡的物理层及数据链路层协议合规性
EMV L1 Co
非接触式接口类型认证,验证终端与卡片之间的射频通信协议及抗干扰能力
EMV L2
应用内核认证,验证终端内EMV应用内核的交易处理逻辑与安全机制
EMV L2 Co
非接触式应用内核认证,验证PayWave/PayPass等非接内核合规性
非接触式支付品牌内核
PayWave
Visa 非接触式支付内核,定义 Visa payWave 交易的流程与安全机制。
PayPass
Mastercard 非接触式支付内核,定义 Mastercard PayPass 交易流程与安全机制。
UnionPay
银联 QuickPass 非接触式支付内核,定义银联闪付交易流程与安全机制。
Amex
American Express 非接触式支付内核,定义 Amex ExpressPay 交易流程与安全机制。
JCB
JCB 非接触式支付内核,定义 JCB Contactless 交易流程与安全机制。
Discover
Discover 非接触式支付内核,定义 Discover D-PAS 交易流程与安全机制。
行业准入认证与合规
PCI PTS v7.x
支付终端安全标准,评估POS设备物理安全、SRED安全读写加密及脱机PIN处理能力,是终端设备上市前的必经认证。
PCI DSS v4.0
支付卡行业数据安全标准,涵盖12项核心安全要求,所有涉及持卡人数据的实体均需合规。v4.0新增自定义验证方法。
PCI P2PE v3.x
点对点加密认证,验证支付解决方案在终端到解密点之间提供有效加密保护,降低商户PCI DSS合规范围。
PCI MPoC
移动支付设备安全标准,针对COTS(商用现成设备如手机/平板)上的支付应用进行安全评估,覆盖NFC与二维码场景。
EMVCo L1/L2/L3
EMV终端类型认证,包括L1(接口)、L2(内核)及L3(终端集成)认证,确保支付终端符合芯片卡技术规范。
PCI PIN Security
PIN安全认证,确保PIN在支付网络间安全传输与处理的技术和操作安全合规,适用于收单机构及支付处理商。
我们提供的服务
PCI DSS 合规评估
提供 QSA 审计服务,协助企业完成 PCI DSS v4.0 合规评估,包括差距分析、整改支持及年度审计。
PTS 终端安全评估
对POS终端执行PCI PTS安全评估,包括物理攻击测试、SRED加密验证及脱机PIN安全评估。
P2PE 解决方案评估
作为PCI认可的P2PE评估机构,对点对点加密解决方案进行全面安全评估与认证审核。
EMVCo 终端认证
提供EMV L1/L2/L3全流程认证测试服务,包括接触式、非接触式及各品牌内核合规测试。
MPoC 移动支付评估
针对手机/平板等COTS设备上的支付应用,执行PCI MPoC安全评估,覆盖NFC与二维码支付场景。
支付安全培训
提供PCI DSS、PTS、P2PE、MPoC等专业培训课程,提升企业支付安全合规能力与团队专业水平。
我们的优势
UL合作经验
作为UL前合作伙伴,继承了严谨的认证方法论与全球认证网络资源,深谙国际支付认证流程与最佳实践。
全链条覆盖能力
从PTS终端安全到DSS数据合规,从P2PE加密到EMV终端认证,提供支付安全一站式服务。
多品牌内核认证
支持Visa payWave、Mastercard PayPass、UnionPay QuickPass、Amex ExpressPay等多品牌非接内核认证。
标准同步追踪
紧跟PCI SSC与EMVCo标准演进动态,帮助企业提前布局DSS v4.0、MPoC等新标准的合规路线图。