关键词：PCI、QSA、支付卡、信息安全

　　2007年是支付卡产业安全标准委员会（PCI SSC：Payment card industry Security Standards Council）在世界范围内推行PCI数据安全标准（DSS：Data Security Standard）的第一个年头。

　　本文简要的介绍PCI标委会，及其标准与支持文档2007年底的开发现状，并重点分析世界范围PCI所涉及的商户、收单银行和服务提供商等角色目前的符合性工作情况。希望通过本文的讨论，使得支付卡产业链的各个角色在未来更加重视信息安全工作，从而更为有效、全面、标准化地保护持卡人的机密信息。

PCI安全标委会机构设置

　　PCI SSC是由美国运通（American Express）、美国发现金融服务（Discover Financial Services）、JCB、万事达（MasterCard Worldwide）和Visa国际组织五家支付品牌在06年秋共同筹办设立的统一且专业的信息安全标准委员会。

　　PCI安全标准委员会（PCI SSC）的最高级别执行委员会（Executive Committee）是由上述五家支付卡品牌中负责风险管理或相关服务技术的副总裁组成。执行委员会下设管理委员会（Management Committee），也由五家支付卡品牌的相关负责人组成，负责该安全标委会的重大决策。委员会设有总经理（General Manager），并设立专门的DSS工作组、PED工作组、QSA体系管理、ASV体系管理、PA体系管理等部门，分别负责各自领域的标准开发和体系维护等技术工作，此外还设有市场工作组和立法委员会。

ASV和QSA

　　PCI安全标准委员会严格的维护了授权扫描机构（ASV：Approved Scanning Vendors）和合格安全性评估机构（QSA：Qualified Security Assessors）的授权评估体系，面向收单银行、商户、服务提供商等支付产业相关机构提供安全扫描和评估服务，并出具符合性报告。所有的ASV和QSA都需要经过严格审核后才能得到授权，并要进行每年一度的重新审核；QSA的相关全职评估人员需要参加PCI SSC组织的资格培训和考核，并也要进行每年一次的重新资格培训。

　　五个支付品牌完全认可PCI SSC所授权的ASV和QSA，原先由各支付品牌（如VISA）自行维护的ASV或QSA体系也已经完全由PCI SSC接管负责。

　　atsec作为PCI SSC授权的QSA，可以在中国和美国提供安全评估工作，并为成功通过评估的机构出具符合性证书；同样atsec也可以根据需要为机构提供帮助和顾问咨询，从而使其符合PCI安全标准的要求。

参与机构

　　截至2007年底全球共有375家机构成为PCI标准委员会的参与