PA-DSS Program Guide v1 2 FINAL 100608[1] · 2018. 12. 19. · Title: Microsoft Word - PA-DSS Program Guide v1 2 FINAL 100608[1].doc Author: yifei Created Date: 12/25/2008 1:57:16

支付卡行业 (PCI) 支付应用程序数据安全标准 (PA-DSS)

计划指南 1.2 版 2008 年 10 月

PCI PA-DSS 计划指南 1.2 版 2008 年 10 月 2008 PCI 安全标准委员会版权所有第 1 页

文件变更记录

日期版本描述

2008 年 10 月 1 日 1.2 与 PCI DSS 1.2 新版内容保持一致，并对原版 1.1 以来的版本实行了

较小变更。


目录文件变更记录.................................................................................................................................................1

简介 .............................................................................................................................................................3 相关出版物 ................................................................................................................................................3 文件和安全要求的更新 ..............................................................................................................................3 术语 ...........................................................................................................................................................3 PCI 简介....................................................................................................................................................4 PA-DSS 的统一计划与概要.......................................................................................................................4 角色与责任 ................................................................................................................................................4

供应商的考虑事项 – 准备审查 .......................................................................................................................7 PA-DSS 适用于哪些程序？.......................................................................................................................7 审查之前....................................................................................................................................................7 必备的文件与材料 .....................................................................................................................................8 PA-DSS 审查时限 .....................................................................................................................................8 支付应用程序合格安全性评估商 ...............................................................................................................8 PA-QSAs 可提供的相关的 PA-DSS 服务 .................................................................................................9 测试全程中的技术支持 ..............................................................................................................................9 发布协议与交付报告 .................................................................................................................................9 费用 ...........................................................................................................................................................9

PA-DSS 流程概要 .......................................................................................................................................10 图 1 PA-DSS 报告认可流程 ....................................................................................................................11 图 2 对所列程序进行的 PA-DSS 变更.....................................................................................................12 图 3 将 PABP 程序迁移与转换至 PA-DSS 清单 .....................................................................................13 图 4 PA-DSS 年度重新认证与失效程序的续期 .......................................................................................14 图 5 针对报告审查的 PA-QSA QA 计划 ..................................................................................................15

PA-DSS 报告认可流程概要.........................................................................................................................16

对所列支付应用程序的变更情况..................................................................................................................17

失效应用程序的续期....................................................................................................................................19

对 PABP 认证支付应用程序的转换与迁移 ..................................................................................................20

质量保证计划...............................................................................................................................................22

PA-DSS 报告流程 .......................................................................................................................................24

出现安全漏洞或威胁之后的通知事宜 ..........................................................................................................25

法律条款与条件 ...........................................................................................................................................27

附录 A：认可函与 PA-DSS 认证支付应用程序清单的构成元素 .................................................................28

附录 B：确定已认证的支付应用程序内部版本 ............................................................................................31

附录 C：次要版本变更自我证明书 ..............................................................................................................32


简介相关出版物

以下文件为支付应用程序的评估提供了依据：《支付卡行业 (PCI) 支付应用程序数据安全标准 – 要求和安

全评估程序》《支付卡行业 (PCI) 支付应用程序数据安全标准 – 转换程

序》

上述文件须与下列其他文件配合使用：

《支付卡行业 (PCI) 数据安全标准 – 要求和安全评估程序》

支付卡行业 (PCI) 数据安全标准和支付应用程序数据安全标准术语、缩略语

《支付卡行业 (PCI) 数据安全标准合格安全性评估商 (QSA) 认证要求》

《支付卡行业 (PCI) 数据安全标准合格安全性评估商 (QSA) 认证要求 — 支付应用程序合格安全性评估商补充 (PA-QSAs)》

注：《PA-DSS 要求和安全评估程

序》列举了详细的技术要求，提

供了评估程序和模板，以认证支

付应用程序的遵从性，并记录审

查情况。这两个“QSA 认证要求” 文件规定了 PA-QSA 为实施评估工作必须满足的要求。所有文件的电子版本均可从 www.pcisecuritystandards.org. 获得。

文件和安全要求的更新安全维护是与潜在攻击者进行的一场永无止境的比赛。因此，对评估支付应用程序的安全要求进行定期审

查、更新和改善就显得尤为重要。为此，PCI SSC 致力于对支付应用程序的安全要求进行 2 年一次的定期

更新。 PCI SSC 保留随时对此类安全要求进行变更、修正或撤销的权利。如此类变更难以避免，PCI SSC 将全力

与其参与组织和软件供应商密切合作，尽量降低因变更所造成的影响。

术语在本文中： “PCI SSC”是指 PCI 安全标准委员会。

“PABP”是指支付应用程序数据安装标准（“PA-DSS”）一经建立后，由 Visa 早先提出的支付应用

程序最优方法计划。

“支持品牌”指的是 PCI SSC 成员的支付卡品牌，目前包括 American Express（美国运通）、

Discover（发现金融服务公司）、JCB（JCB 国际信用卡公司）、MasterCard（万事达卡国际组织）

与 Visa（Visa 公司）。

“支付应用程序”广义是指包括存储、处理或传输持卡人授权或结算数据的所有支付应用程序，然后

将其销售、发布或授权给第三方。


PCI 简介

PCI SSC 反映了支付卡行业 (PCI) 中各层次成员的共同需求，即统一并规范安全要求、安全评估程序与 PA-QSA 认证支付应用程序的认可流程。PA-DSS 及相关的 PCI SSC 标准确定了一个共同的安全评估框

架，并得到了所有支付品牌的认可。

支付价值链上的所有利益相关者均会从统一的安全要求中受益：

更多的安全支付应用程序可供选择，让客户受益其中；

客户可以放心使用达到必要认证标准的产品；

供应商只需完成一次支付应用程序的审查，便可获得所有支付品牌的认可。

有关 PCI SSC 的更多详情，请访问 PCI SSC 的网站：www.pcisecuritystandards.org （简称“网站”）。 PA-DSS 的统一计划与概要

本《支付卡行业 PA-DSS 计划指南》旨在根据以下的标准要求、程序及流程，统一支付品牌的安全要求：

支付应用程序安全要求和评估程序

PA-QSAs 认证支付应用程序的认可流程注： PA-DSS 报告直接交由 PCI SSC 审查和认可。

将经 PABP 认证的支付应用程序转换至 PCI SSC 清单的流程

针对 PA-QSAs 的质量保证流程

由于大多数供应商不会对持卡人的资料进行存储、处理或传输，所以传统的 PCI DSS 遵从性可能不能直接

适用于支付应用程序供应商。然后，由于客户会使用此类支付应用程序存储、处理和传输持卡人数据，从

而也要求其遵守 PCI DSS，因此这些支付应用程序应该要能鼓励而非妨碍客户遵从 PCI DSS。支付应用程

序防碍 PCI DSS 遵从性的情况包括有：

1. 持卡人授权之后磁条数据被存储在客户的网络中；

2. 应用程序要求客户禁用 PCI DSS 所要求的其他功能（例如杀毒软件或防火墙），以便使支付应用

程序正常运行；以及

3. 供应商使用不可靠的方式连接至前者的支付应用程序，以便给客户提供支持。

在符合 PCI DSS 的环境中使用安全支付应用程序，可以将潜在的安全漏洞降至最低，从而防止完整磁条数

据、卡片验证码与验证值 (CAV2, CID, CVC2, CVV2)、PIN 与 PIN 数据块遭到侵害，以及因安全漏洞所造

成的严重欺诈行为。

角色与责任

支付应用程序领域涉及了若干利益相关者。其中有些利益相关者较大程度地直接参与了 PA-DSS 的评估流

程，例如供应商、PA-QSAs 与 PCI SSC。而其他的利益相关者虽没有直接参与评估流程，但应清楚整个

流程，以便更好地做出相关的业务决策。下文将对支付应用程序领域里利益相关者的角色与责任作出明确说明。参与评估流程的利益相关者须承担

其各自的相关责任。


支付品牌 American Express（美国运通）、Discover Financial Services（发现金融服务公司）、JCB International（JCB 国际信用卡公司）、MasterCard Worldwide（万事达卡国际组织）与 Visa Inc.（Visa 公司）是创建 PCI SSC 的五大支付品牌。这些支付品牌负责制定与执行和 PA-DSS 遵从性相关的所有计划，包括但不仅

限于以下方面：使用符合 PA-DSS 支付应用程序的所有要求、指令或日期；由于使用不符要求的支付应用程序的所有罚款或处罚。

支付品牌可规定采用 PA-DSS 与 PCI SSC 清单上经认证的支付应用程序的遵从性计划、指令和日期等。

通过上述遵从性计划，支付品牌可推广使用清单上经认证的支付应用程序。

支付卡行业安全标准委员会 (PCI SSC) PCI SSC 是维护支付卡行业标准的标准机构，拥有 PCI DSS 与 PA-DSS 两套标准。在 PA-DSS 方面，

PCI SSC 的职责是：集中存放所有的 PA-DSS 认证报告 (ROVs)；对 PA-DSS ROV 实施质量保证 (QA) 审查，确认此类报告的一致性与质量；在其网站上发布经 PA-DSS 认证的支付应用程序清单。注：该清单将于 2008 年 10 月以后公布于本

网站。培训并授予 PA-QSAs 实施 PA-DSS 审查的资格；按照标准生命周期管理流程，维护并更新 PA-DSS 标准及相关文件资料。

请注意，PCI SSC 并非从认证角度核准此类报告。PA-QSA 负责从评估之日起，记录支付应用程序对 PA-DSS 的遵从性。另外，PCI SSC 还负责实施 QA，以确保 PA-QSA 准确、完整地记录 PA-DSS 评估情

况。软件供应商软件提供应商（简称“供应商”）负责开发用于存储、处理或传输持卡人授权或结算数据的支付应用程

序，然后将其销售、发布或授权给第三方（客户或经销商/集成商）。供应商的职责是：开发符合 PA-DSS 的支付应用程序，鼓励而不妨碍客户对 PCI DSS 的遵从。（该类程序所要求的实

施或配置设置不能违反 PCI DSS 要求。）无论是在存储、处理还是在传输持卡人数据时，都能遵从 PCI DSS 要求（例如为客户排除故障

时）；根据《支付应用程序数据安全标准》的要求，针对每个程序编制《PA-DSS 实施指南》；就如何按照 PCI DSS 要求安装与配置支付应用程序，对客户、经销商与集成商进行相关教育。确保支付应用程序成功通过 PCI PA-DSS 要求和安全评估程序中规定的 PA-DSS 审查，以满足 PA-

DSS 要求。供应商须向 PA-QSA 提交其支付应用程序及辅助文件资料用于审查。有关评估活动的任何协议与费用由供

应商与 PA-QSA 协商确定。供应商须允许 PA-QSA 向 PCI SSC 提交最终的 PA-DSS 遵从性报告。


PA-QSAs PA-QSAs 是指经由 PCI SSC 培训且授予资格实施 PA-DSS 审查的 QSAs。请注意，并非所有的 QSAs 都是 PA-QSAs — QSA 必须满足额外的资格要求方能成为 PA-QSA。 PA-QSA 的职责是：

按照《安全评估程序》与《PA-QSA 认证要求》对支付应用程序实施评估就支付应用程序是否符合 PA-DSS 要求提供意见在 ROV 中提供足够的文件资料，以证明支付应用程序的 PA-DSS 遵从性向 PCI SSC 提交 ROV，以及认证证明（由 PA-QSA 和供应商共同签署）针对 PA-QSA 的工作设置一套内部质量保证流程。

PA-QSA 有责任宣布某个支付应用程序是否具有遵从性。PCI SSC 并非从技术遵从性的角度核准 ROV，而

是对 ROV 实施 QA 审查，以确保此类报告具备充足的文件资料，证明支付应用程序的遵从性。经销商与集成商经销商与集成商是指代表软件供应商或其他方销售、安装与/或维护支付应用程序的单位。提供与符合 PA-DSS 支付应用程序相关服务的经销商与集成商的职责是：

在符合 PCI DSS 的环境中仅使用符合 PA-DSS 的支付应用程序（或指导商户如此操作）按照供应商提供的《PA-DSS 实施指南》，做好此类支付应用程序的配置工作（需在已提供配置选项

的前提下）做好此类支付应用程序的配置工作（或指导商户如此操作），以符合 PCI DSS 要求按照《PA-DSS 实施指南》与 PCI DSS，做好此类支付应用程序的维护工作（例如，排除故障、发

送远程更新资料和提供远程支持）。

经销商与集成商无需提交支付应用程序用于评估，产品只需由供应商进行提交。客户客户包括商户、服务提供商或其他方，他们购买或接收第三方支付

应用程序用于存储、处理或传输持卡人授权或结算支付交易的数

据。意欲使用符合 PA-DSS 程序的客户的职责是：

注：

只有符合 PA-DSS 的支付应用程序无法保证 PCI DSS 遵从性。

在符合 PCI DSS 的环境中使用符合 PA-DSS 的支付应用程序；根据供应商提供的《PA-DSS 实施指南》，做好支付应用程序的配置工作（需在已提供配置选项

的前提下）；做好支付应用程序的配置工作，以符合 PCI DSS 要求；

维护好 PCI DSS 对环境与支付应用程序配置的遵从性。 PCI SSC 将于 2008 年的下半年在其网站上公布清单。届时，客户不仅可以看到所有经认证的支付应用程

序，还可找到其他参考资料。


供应商的考虑事项 — 准备审查

PA-DSS 适用于哪些程序？

就 PA-DSS 而言，支付应用程序是指销售、发布或授权给第三方用于存储、处理或者传输持卡人的授权或

结算数据的程序。

以下的指引信息可以帮助您确定 PA-DSS 是否适用于某个指定的支付应用程序：

对于通常以“现货供应”模式销售与安装、无需软件供应商进行定制的支付应用程序，适用 PA-DSS；

有些支付应用程序是以模块形式提供的，通常包括一个“基准”模块和针对不同客户类型或功能，或

按照客户要求定制的其他若干模块。此类程序同样适用 PA-DSS；如果上述基准模块是执行支付功

能的唯一模块（需由 PA-QSA 进行确认），PA-DSS 仅适用于该模块。如果上述其他模块也同样执

行支付功能，PA-DSS 也适用于这些模块。请注意，软件供应商仅将支付功能集成在单一的或少量

的基准模块中，同时保留其他模块用于非支付功能，这被视为“最优方法”。这种最优方法（虽并

非作为要求）能够限制符合 PA-DSS 的模块数量； PA-DSS 不适用于仅为单一客户开发并向其销售的支付应用程序，因为此类程序将作为客户的正常

PCI DSS 遵从性审查的部分内容而加以考虑。请注意，此类程序（也可称为“定制”程序）仅销售

给单一客户（通常是大型商户或服务提供商），它是按照客户提供的规范进行设计和开发的； PA-DSS 也不适用于由商户与服务提供商开发的仅在内部使用的支付应用程序（不销售、发布或授权

给第三方），因为此类内部开发的支付应用程序将作为商户或服务提供商的正常 PCI DSS 遵从性审

查的部分内容而加以考虑。

例如，就以上最后两项而言，不管内部开发或“定制”的支付应用程序是否存储了违禁的敏感验证数据还是允许使用复杂口令，都将作为该商户或服务提供商的正常 PCI DSS 遵从性审查的部分内容而加以考虑，无需进行单独的 PA-DSS 评估。

下表所描述的程序均不是用于 PA-DSS 目的的支付应用程序（因此无需接受 PA-DSS 审查），但并不详尽。安装支付应用程序的操作系统（例如，Windows，Unix）；

存储持卡人数据的数据库系统（例如，Oracle）；

存储持卡人数据的后端办公系统（例如，用于报告或客户服务目的的系

统）。

注：

PCI SSC 仅列出支付应用程序的清单。

审查之前

对网站上所列的 PCI DSS 与 PA-DSS 要求以及相关文件资料进行审查；

确定/评估支付应用程序对遵从 PA-DSS 的积极程度：

• 对照 PA-DSS 要求，就支付应用程序在符合 PA-DSS 的条件下的功能性实施“差距”诊断。

• 纠正所有差距；

• 如有需要，PA-QSA 可对供应商的支付应用程序实施预评估或“差距”分析；如果 PA-QSA 发现有任何缺陷会干扰其提供明确的观点，则它要在正式审查流程开始之前，向软件供应商列

出有待实现的支付应用程序的功能；确定《PA-DSS 实施指南》是否符合 PA-DSS 要求。


必备的文件与材料

根据评估流程的要求，软件供应商须向 PA-QSA 提供适当的文件资料与软件。所有与 PA-DSS 相关的信息与文件均可从网站上下载获得。审查过程将涉及到的所有完整的支付应用程序

相关材料（例如安装盘、手册、《PA-DSS 实施指南》等）须提交给网站上列出的 PA-QSA，而非 PCI SSC。有关审查的具体信息须向 PA-QSA 直接申请获取。须向 PA-QSA 提交的文件和项目包括有：

1. 带有操作手册或说明书的支付应用程序。

2. 必要的配套软、硬件，用于模拟支付交易。

3. 有关数据输入与输出功能的所有描述性文件资料，便于第三方程序开发人员的使用。所有与捕获、授

权、结算和扣款流程（如适用于该程序）相关的功能必须明确说明。（手册即可作为满足此类要求的

一种资料。） 4. 程序的安装与配置文件，或者有关程序信息的文件。此类文件资料可包括：

《PA-DSS 实施指南》软件安装指南或说明书（须提供给客户）供应商的版本编号方案变更控制的文件资料，介绍如何向客户说明变更情况

5. 其他文件资料，例如图表与流程图，可以有助于支付应用程序的审查（如有必要，PA-QSA 还可要求

提交其他材料）。

PA-DSS 审查时限

从 PA-DSS 审查开始，到最终所有项目均被标注“到位”而实现程序的完全认证，所需时间不尽相同。决定时间长短的因素包括：

审查之初，程序的 PA-DSS 遵从性的程度如何

• 为实现支付应用程序的遵从性而采取的修正手段会导致时间延长。

审查之初，《PA-DSS 实施指南》的内容是否完备、适当

• 如需对《指南》进行大量改写，会导致时间延长。

PA-QSA 是否编制并向 PCI SSC 提交了高质量的 PA-DSS ROV

• 如果 PCI SSC 对所提交的报告进行多次审查，且每次都向 PA-QSA 反馈改进意见，会导致时

间延长。由于 PA-QSA 在审查前会假设支付应用程序能很快满足所有的 PA-DSS 要求，所以它所提供的审查时限须

被视为大概时限。如在审查或认可流程中发现任何问题，PA-QSA、软件供应商和/或 PCI SSC 须讨论解

决。讨论可能会影响审查时间，造成延误和/或甚至造成审查的提前结束（例如，如果供应商不想对其支付

应用程序进行必要变更以实现遵从性）。

支付应用程序合格安全性评估商

PCI SSC 培训并授予支付应用程序合格安全性评估商 (PA-QSA) 实施 PA-DSS 评估的资格。有关 PA-QSAs 的清单已在网站上公布。他们是经 PCI SSC 认可的唯一能够实施 PA-DSS 评估工作的评估商。


各个 PA-QSAs 收取的费用与价格并非由 PCI SSC 决定，而是由 PA-QSA 与其客户共同商定。我们建

议，任何单位在选定 PA-QSA 之前应与多家 PA-QSA 公司进行商谈，并且按照其公司的供应商选择流程来

操作。

PA-QSAs 可提供的相关的 PA-DSS 服务

PCI SSC 对此类服务不作任何要求或推荐。以下列举了某些 PA-QSAs 可能提供的服务类型。如贵公司需

要此类服务，请联系 PA-QSA 询问服务的可及性与价格详情。相关的 PA-DSS 服务包括有：按照 PA-DSS 指导设计支付应用程序；

审查软件供应商的软件设计、通过电子邮件或电话回答其相关问题以及参加电话会议说明要求；

指导编写《PA-DSS 实施指南》；

PA-DSS 评估正式开始前的预评估（“差距”分析）服务；

如在评估过程中发现差距或非遵从性问题，对如何实现支付应用程序的 PA-DSS 遵从性提供指导。

测试全程中的技术支持

我们建议，供应商须提供一名技术支持人员，以协助应对评估过程中可能出现的任何问题。审查期间，为

加速评估过程，供应商须设置一名“随时候命”的联系人，以讨论和应对 PA-QSA 提出的任何问题。

发布协议与交付报告在 PA-QSA 向 PCI SSC 交付 PA-DSS 报告之前，供应商须签署 PCI SSC 的《支付卡行业 PA-DSS 供应商发布协议》（简称为“发布协议”）该“发布协议”须与 PA-DSS 报告一起由 PA-QSA 直接交付给 PCI SSC。

费用

注：供应商直接向 PA-QSA 支付所有 PA-DSS 评估费用（此类费用由供应商与 PA-QSA 协商决定）。

PCI SSC 将按季度确定供应商的清单费用出账日，供应商直接向 PCI SSC 支付上述费用。

有关 PA-QSA PA-DSS 评估活动的所有费用与日期须由 PA-QSA 与支付应用

程序供应商协商决定，所有费用由供应商直接支付给 PA-QSA。对于 PCI SSC 网站清单上的每个支付应用程序，其供应商每年需按每程序 $1,250 交纳发布费用。

该清单费用是揬出账日须根据程序在清单上公布时的原始季度按季确定。例如，我们将对软件供应商在到 3 月 31 日结束的季度中加入清单的支付应用程

序于 4 月 1 日按每程序 $1,250 收取年费。对于已经通过认证的产品，如软件

供应商未选择将其公布于网站清单上，我们将不对其收取任何费用。请注意，

禁止供应商通过操作清单来达到逃避费用的目的，也即，供应商不能够先将

其程序从清单中撤出，然后在出账日之后再要求将其程序公布于清单上。


PA-DSS 流程概要

PA-DSS 审查流程是从供应商开始的。本网站提供了所有相关文件，以协助供应商完成整个 PA-DSS 审查

流程。首先，供应商从 PCI SSC 清单中选定一家 PA-QSA，并与其商定相关费用及 NDA（保密协议）。

然后供应商向 PA-QSA 提供支付应用程序软件、手册与其他必要的文件资料。之后，PCI SSC 发出一封认

可函，确认支付应用程序审查流程的圆满完成（称为“PA-DSS 认可函”）。一旦支付应用程序通过认

可，该产品即被公布在本网站清单上。在下面几页中，我们将对 PA-DSS 计划的以下组成部分用图解的形式进行详述：

流程图解页码 #

PA-DSS 报告认可流程图 1 12

对所列程序进行的 PA-DSS 变更图 2 13

将 PABP 程序对移与转换至 PA-DSS 清单图 3 14

PA-DSS 年度重新认证与失效程序的续期图 4 15

针对报告审查的 PA-QSA QA 计划图 5 16


图 1 PA-DSS 报告认可流程


图 2 对所列程序进行的 PA-DSS 变更


图 3 将 PABP 程序迁移与转换至 PA-DSS 清单


图 4 PA-DSS 年度重新认证与失效程序的续期


图 5 针对报告审查的 PA-QSA QA 计划


PA-DSS 报告认可流程概要

请注意，所有提交给 PCI SSC 的 PA-DSS 报告与其他材料必须用英文书写。

PA-QSA 根据《PA-DSS 安全评估程序》实施支付应用程序审查，出具相关报告

并与供应商商讨其内容。如果该报告所有项目均已“到位”，供应商签署《发布

协议》，然后由 PA-QSA 将报告交付给 PCI SSC。如该报告有些项目并未“到

位”，然后供应商必须在报告中将这些项目以高亮标注。例如，这可能包括更新

用户文档或软件。一旦供应商解决了所有记录的问题，并且得到 PA-QSA 的认

可，供应商即可签署《发布协议》，然后由 PA-QSA 将报告交付给 PCI SSC。

PCI SSC 接到报告之后按照质量保证的要求对其进行审查。如果该报告符合《QSA 认证要求》及其辅助文

件中的质量保证要求，PCI SSC 会向其供应商发出“PA-DSS 认可函”，并将当月 10 号之前完成认可的

支付应用程序在月底之前公布于 PCI SSC 清单上。如报告出现任何质量问题，PCI SSC 须就此类问题与 PA-QSA 进行沟通。为此，PA-QSA 须负责与 PCI SSC 解决这些问题。该类问题可能仅限于更新报告，提

供足够的证明文件支持 PA-QSA 的决定。然而，如此类问题要求 PA-QSA 重新实施测试，那么 PA-QSA 必须将重新测试事宜通知供应商，并与其安排好测试时间。报告认可的流程图，详见图 1。


对所列支付应用程序的变更情况

出于各种理由，供应商会对其先前列出的支付应用程序进行更新。例如，增加辅助功能或对基准或核心应

用程序进行升级。

就 PA-DSS 而言，存在三种基本的变更情况：

1. 对所列支付应用程序所做的次要变更不会对 PA-DSS 要求造成影响。在这种情况下，为将支付应

用程序的新版本添加至清单，软件供应商须记录变更情况，以便 PA-QSA 进行审查——详情请参

阅《对 PA-DSS 要求无影响》章节。 2. 对所列支付应用程序所做的变更会对 PA-DSS 要求造成潜在影响。在这种情况下，为将支付应用

程序的新版本添加至清单，软件供应商须提交新版本接受完整的 PA-DSS 审查——详情请参阅

《对 PA-DSS 要求的潜在影响》章节。 3. 对所列支付应用程序未做任何变更。在这种情况下，只需提供一份年度证明书即可——详情请参

阅《对所列支付应用程序未作变更》章节。

如供应商已更新先前所列的应用程序且欲将相关的更新信息添加至清单，它必须将变更的具体情况提交给 PA-QSA，最好是提交给原先审查其支付应用程序的 PA-QSA。

然后 PA-QSA 负责决定是否需要对该支付应用程序实施重新评估，其决定取决于此次变更有否影响到应用

程序的安全性。其次，变更的范围或深度也可能是需要考虑的因素。例如，所做变更可能只影响到辅助功

能，并未对核心支付应用程序产生影响。

如果某个所列应用程序发生了可能影响 PA-DSS 要求的变更，和/或如果供应

商希望对其在《PA-DSS 认可函》与网站清单上的信息作任何修改，它必须向 PA-QSA 提交适当的变更文件资料，由后者决定是否需要实施完整的评估流

程。如 PA-QSA 同意供应商认为所记录的变更情况并未影响到 PA-DSS 要求，前者须向后者传达此意，而后者须准备并签署一份“变更自我证明书”，

由 PA-QSA 签署并提交给 PCI SSC。然后，PCI SSC 对供应商在《PA-DSS 认可函》与网站上的信息作出相应的更新。对 PA-DSS 要求无影响的情况下

请参阅如下内容：新 PA-DSS 审查不需要额外信息。

注：如果支付应用程序供应商能够将支付功能模块化，那么未影响支付功能与安全的变更可能引起的重新评估几率会被降至最低。

对所列应用程序的变更流程图，详见图 2。

对 PA-DSS 要求无影响：无需重新实施 PA-DSS 审查如先前所列的支付应用程序发生变更，且被视为是次要变更，并未对安全产生负面影响，那么可将此次变

更的文件资料（“变更分析”）我们强烈建议供应商选择原先为其实施程序评估的 PA-QSA。

软件供应商向 PA-QSA 提交的“变更分析”

支付应用程序的名称；

支付应用程序的版本号；

目前 PCI SSC 清单上支付应用程序的相应名称与版本号；

对变更情况的描述；

对变更必要性的说明；

对持卡人数据与支付功能是否受到影响，以及影响的具体内容进行具体说明；


对变更作用的描述；

对供应商为证实 PA-DSS 安全要求未受到负面影响而实施的测试进行说明；

对 PA-DSS 要求如何与为何未受到负面影响进行解释；

详细说明此次变更如何满足供应商版本控制方法的要求，包括该版本号是如何指明此次变更的揬

如适用，说明程序设计实践/模块方法的应用情况，以及此类应用是如何防止给安全要求造成负面

影响的。

如 PA-QSA 同意供应商提交的“变更分析”中所记录的变更情况未对支付应用程序安全造成负面影响，那

么（1）PA-QSA 须如实通知软件供应商；（2）软件供应商准备并签署“变更自我证明书”，然后交付给 PA-QSA；（3）PA-QSA 在证明书上签署认同意见，然后将其与“变更分析”一同提交给 PCI SSC；以及

（4）PCI SSC 审查所收到的证明书和文件资料，做好质量保证工作。

假设变更未对 PA-DSS 要求造成影响，那么：

向供应商发出已更改的“PA-DSS 认可函；”

对网站上的“PA-DSS 认证支付应用程序清单根据新的信息进行更新；”

最新添加至清单上的应用程序及其版本号的失效期将与其“父代”支付应用程序的一致。

如“变更自我证明书”出现任何质量问题，PCI SSC 须就该问题与 PA-QSA 进行沟通，并按照以上规定的

流程进行处理。

对 PA-DSS 要求有潜在影响：需要重新实施 PA-DSS 审查如对支付应用程序的变更确实影响了 PA-DSS 要求，必须对该程序重新实施 PA-DSS 评估，然后由 PA-QSA 向 PCI SSC 提交一份新的 PA-DSS 报告用于审查。在这种情况下，供应商可以先将变更的文件资料

提交给 PA-QSA，后者将根据目前的 PA-DSS 要求确定此次变更的性质是否影响到支付应用程序安全。对所列支付应用程序未做变更：要求提交年度重新认证书

每年到了清单上所标注的重新认证日，软件供应商须填写 3b 部分的内容作为“认证证明书”进行提交。

“认证证明书”位于“PA-DSS 附录 C”中。

年度重新认证的流程图，详见图 4。


失效应用程序的续期 PCI SSC 会在应用程序失效之前通知软件供应商相关情况。在这种情况下，供应商可考虑两种选择：

1. 供应商希望继续销售其应用程如果这样，供应商须联系 PA-QSA 重新对其支付应用程序进行评估。 2. 供应商不再打算继续销售其应用程序如果这样，PCI SSC 会在期满后将该支付应用程序的清单状态

变更为“不适用于新的部署”。请注意，如果供应商选择继续销售其应用程序，一旦其应用程序再次成功通过 PA-DSS 评估流程，那么它

在 PCI SSC 清单上的状态将继续为“适用于新的部署”，并获得新的有效期。

失效应用程序续期的流程图，详见图 4。


对 PABP 认证支付应用程序的转换与迁移

在 2008 年 10 月 15 日之前完成对 PABP 清单上 PABP 应用程序的迁移

目前，PCI SSC 正在进行现有的符合 PABP 的应用程序向 PCI SSC 清单的迁移（转换）工作。这种迁移做法允许先前通过 PABP 评估的应用程序可继续用于部署，直至提供更新的符合 PA-DSS 的支付应用程序。目前我们对 PABP 应用程序的失效期采用了一种分阶段的做法，具

体取决于此类应用程序的评估要求是何版本。符合 PABP 的应用程

序要在 PCI SSC 清单上继续“适用于新的部署”，它须在规定的时

限内通过 PA-DSS 评估。如果在规定的时限内未按照 PA-DSS 对符

合 PABP 的应用程序进行评估，该程序将依然保留在 PCI SSC 清单上，但其状态备注将更改为“不适用于新的部署”。

注： PCI SSC 清单区分了“新的部署”与“现有部署”。支付应用程序一旦部署往往具有很长的生命期，可能会长达 10-15 年之久。PCI SSC 十分清楚支付应用程序的部署是一个复杂、昂贵的过程，要求商户与收单机构每隔几年就对其支付应用程序进行更新是不切实际的。

下图显示了各个 PABP 版本和根据目前的 PA-DSS v1.1 实施的 PA-DSS 审查在场 A-DSS 认证支付应用程

序清单数

失效前的 PCI SSC 清单失效后的 PCI SSC 清单版本失效期认证备注部署备注认证备注部署备注

PABP 1.4 24 个月按照 PABP 认证

适用于新的部署按照 PABP 认证

不适用于新的部署

PABP 1.3 18 个月按照 PABP 认证

适用于新的部署按照 PABP 认证


PABP 1.3 之前的版

本

12 个月以前的 PCI 应用程序

不推荐用于新的部署以前的 PCI 应用程序


PA-DSS 1.1

标准变更之

后的 3 年按照 PA-DSS

认证适用于新的部署按照 PA-

DSS 认证不适用于新的部署

PABP 应用程序迁移与转换的流程图，详见图 3。


在转换期间接受 PABP 审查的支付应用程序在 PA-DSS 1.1 版发布之后，有一段大约为 6 个月的宽限期。在此期间，PA-QSAs 可以熟悉新的标准、接

受培训并获得 PA-DSS 的审查资格。此外，供应商也可在此段宽限期熟悉 PA-DSS，并根据新的 PA-DSS 要求开发新的支付应用程序。在此期间，支付应用程序可以继续按照 PABP 1.4 版进行评估。此宽限期将延续至 2008 年 10 月 15 日，

其后所提交的 PABP 遵从性认证报告将不予认可。基于 PABP 1.4 版的报告，如在 2008 年 10 月 15 日之后提交，需办理 PA-DSS 转换程序。PA-QSA 可以

采用 PABP 的报告结果，但在向 PCI SSC 提交报告时还须包括一份按照《PA-DSS 转换程序》所作的一份

增量评估报告。在新标准发布之后，供应商随时都可选择对他们的支付应用程序实施 PA-DSS 评估。

PA-DSS 转换程序 “支付应用程序合格安全性评估商 (PA-QSA)”根据《PA-DSS 转换程序》（如适用），将 Visa 的“PABP 认证支付应用程序清单”转换成 PCI SSC 的“PA-DSS 认证支付应用程序清单”。

注：目前，PCI SSC 正在将通过 PABP 1.3 版与 1.4 版认证的支付应用程序“迁移”（或转换）至“PA-DSS 认证应用程序清单”，其有效期分别为 18 与 24 个月，期满后须接受 PA-DSS 审查。该“转换程序”适用于以下情况：

强制性办理转换程序：如正在接受 PABP 审查的支付应用程序在 2008 年 10 月 15 日之前无法完成 Visa 的认可，该程序须强制性办理“转换

程序”，方能被 PCI SSC 认可为通过 PA-DSS 认证的程序。请注意，

在 2008 年 10 月 15 日之后，仅根据 PABP 实施的审查将不予认可。

注：实施 PABP 审查的 PA-QSA 公司与办理“PA-DSS 转换程序”的公司须相同。

自愿性办理转换程序：根据以上注释，如果某支付应用程序的供应商具有适合“迁移”的应用程序，

但却希望将其 PABP 1.3 或 1.4 版的应用程序作为“通过 PA-DSS 认证”的程序公布于清单上，则必

须使用“转换程序”。为使 PABP 1.3 与 1.4 版的应用程序被 PCI SSC 认可为已认证状态，PA-QSA 须根据《PA-DSS 程序指南》实施转换程序，并提交相关报告。

有关“PA-DSS 转换程序”的更多信息，请网站上的“PABP 至 PA-DSS 的转换程序”。


质量保证计划出于质量保证的目的，PCI SSC 会对 PA-QSA 提交的报告进行审查。根据《QSA 认证要求》与《PA-QSA 协议》的规定，PA-QSA 需要达到 PCI SSC 规定的质量保证标准。该 QA 计划分成多个阶段，详情如下。 QA 计划的流程图，详见图 5。

新进 PA-QSA 抽样方案

PCI SSC 采用了分阶段的抽样流程用来审查 PA-QSA 提交的 ROV，即最初审查的报告数量较多，而当 PA-QSA 的报告质量被证明之后，随即减少抽样率。在 PA-QSA 持续达到质量标准的情况下，便允许其参

加“资深 QSA 抽样方案”（抽样率再次降低）。只要 PA-QSA 达到质量标准，便对他们进行有限抽样。然而，如 PA-QSA 未达到质量标准，须采取如下措施：

警告函 —— 向 PA-QSA 发出的首份声明，要求其改进质量。

补救 —— 如 PA-QSA 仍未达到质量标准，对其进行补救阶段，并可能对其实施惩罚措施。撤销资格 —— 如 PA-QSA 仍未达到质量标准，撤销其审查资格，并从通过 PCI SSC 认可的 PA-

QSA 清单上将其除名。

资深 PA-QSA 抽样方案一旦允许 PA-QSA 参加“资深 PA-QSA 抽样方案”，报告中将执行有限抽样。如持续达到质量标准，有限

抽样方式将继续执行。这是我们期望 PA-QSAs 的运行所能达到的一种“稳定状态”。如出现任何质量问题而未能达到标准，PA-QSA 就会退回至“新进 PA-QSA 抽样方案”。

纠正补救期间，PA-QSAs 仍旧允许实施审查工作，但其提交的所有报告都要经 PCI SSC 的 QA 审查。PCI SSC 将会对它在补救期间提交的所有报告按每份 $500 收取费用。当事的 PA-QSA 必须向 PCI SSC 提交一份补救计划，详细说明其计划如何改善报告质量。PCI SSC 还可

要求对该 PA-QSA 进行实地访查，以审核其 QA 计划，相关费用由 PA-QSA 承担。补救期间如 PA-QSA 达到了质量标准，允许其返回至新 PA-QSA 示例计划。相反，如果 PA-QSA 补救期

间仍未达到质量标准，将其降至撤消资料。请注意，如果 PCI SSC 的 PA-DSS 认证支付应用程序清单受到 PA-QSA 故障的威胁，则 PA-QSA 将立即

进行补救。该 PA-QSA 需要达到质量标准方能返回至“新进 PA-QSA 抽样方案”。


资格撤销

PA-QSA 的审查资格一旦撤销，随即从通过 PCI SSC 认可的 PA-QSA 清单上将其除名，并且不再具备审

查支付应用程序的资格。当事的 PA-QSA 可以对此撤销决定提起申诉，但必须满足《QSA 认证要求》及其

辅助文件中的要求。此外， PCI SSC 有权要求该 PA-QSA 实施模拟评估。

在重新返回“新进 PA-QSA 抽样方案”之前，会估计出 $1,250 的清单重列费。


PA-DSS 报告流程 PCI SSC 只依据 ROV 记录的结果来决定对报告的认可与否。收到报告后，它将进行如下操作：

PCI SSC 须审查该报告（通常是在收到报告之后的 30 个日历日内），决定是否认可；

如未发现 PA-QSA 有任何问题，PCI SSC 须向软件供应商收取清单费；收到清单费后，PCI SSC 将发出一份“PA-DSS 认可函”，并将此支付应用程序及其供应商的信息公布在网站上；

如发现任何问题并将相关结果发送给当事的 PA-QSA，上述流程须在收到来自 PA-QSA 的一份完

整、可行的修改报告或回应（称为“修改报告”）后重新开始。且“修改报告”的内容要针对先前发

现的所有问题加以解决，但并不排除对其再次提出的意见。PCI SSC 通常会在收到“修改报告”之

后的 14 个日历日内对其进行审查；如再次出现问题，重复以上操作，直至获得满意的结果。在此之后 PCI SSC 方可发出“PA-DSS 认

可函”并将信息发布至网上。任何其他问题均可在发出“PA-DSS 认可函”之前的任何时间提出。对于与现有所列应用程序的变更事宜有关的报告，如果有供应商提供的“变更自我证明书”，其“PA-DSS 报告认可”流程与上述一致。如未出现任何问题，PCI SSC 须以上述同样的方式发出一份更改过的“PA-DSS 认可函”，并将更改信息公布于网站上。

PCI SSC 认可函及其网站上公布的清单须至少包含以下信息。有关每项信息的详情，请见《附录 A： PA-DSS 认证支付应用程序清单的程序构成元素》。

注： PCI SSC 不会因为一个支付应用程序能够满足某些但并非所有要求，而做出“部分核准”。

支付应用程序供应商支付应用程序标识符核准号认证备注部署备注次要版本变更自我证明书（如适用）年度重新认证日期

失效期自我证明书支付应用程序类型支付应用程序目标市场（如适用）

支付应用程序的特定应用地区或场所（如适用）


出现安全漏洞或威胁之后的通知事宜如出现与其所列支付应用程序有关的任何安全漏洞或威胁，供应商必须按照本章中的所述程序通知 PCI SSC。

通知及时间安排

无论供应商负有怎样的法律义务，如出现与其在 PCI SSC 清单上所列支付

应用程序有关的任何安全漏洞或威胁，它必须即刻通知 PCI SSC。

此外，供应商还必须对漏洞已经、可能或将要造成的潜在影响（可能的或实

际的），提供及时的反馈。

注：通知的发出不能迟于供应商首次发现安全漏洞或威胁之后的 24 小时。

通知形式供应商关于安全漏洞或威胁的首次通知必须采用电话形式向 PCI SSC PA-DSS 协调员传达，以后的通知可

使用电子邮件、传真或信函等形式传达安全漏洞或威胁的完整信息。

通知详情

发出安全漏洞或威胁的通知之后，供应商必须向 PCI SSC PA-DSS 协调员提供关于该安全漏洞或威胁的所

有信息，其内容包括但不仅限于：受到威胁的帐户数量（如果知道）；

有关安全漏洞或威胁的任何详尽报告；

对安全漏洞或威胁调查后的任何报告或评估结果；根据《发布协议》的规定，PCI SSC 可以分享上述信息和其他必要信息，以便协助或实施对该安全漏洞或

威胁的评估，从而减少或防止更多安全漏洞或威胁的出现。

出现安全漏洞或威胁之后须采取的措施如果 PCI SSC 已经获悉“PA-DSS 认证支付应用程序清单”上的某个或某组产品出现了安全漏洞或实际威

胁，它可以采取以下措施：

通知所有支付品牌出现了安全漏洞或威胁；尽力获取取证报告以准确评估威胁发生的过程；联系供应商告知其产品存在安全漏洞或已经受到威胁，如有可能，与其分享有关实际漏洞或威胁的信

息；协助供应商减少或防止更多威胁的出现；协助供应商 1）修正所有安全漏洞；以及 2）编写指导性文件分发给供应商的所有客户，告知其所有

的潜在漏洞，并载明应采取何种措施才能减少或防止更多安全漏洞或威胁的出现；与相关的执法机构合作，协助减少或防止更多威胁的出现；

在内部或根据《发布协议》的规定协助和/或实施对已受威胁产品的评估，聘用 PA-QSA 确定威胁发

生的原因。


核准意见的撤销如果某支付应用程序显然无法提供针对目前威胁的足够保护，和/或不符合 PA-DSS 要求，PCI SSC 有权

撤销对该支付应用程序的认可意见，并从“PA-DSS 认证支付应用程序清单”上将其除名。如 PCI SSC 认为该支付应用程序存在安全漏洞或已经受到威胁，它会以书面形式向其供应商传达撤销认可结果的意图。


法律条款与条件 PCI SSC 的核准意见仅适用于与 PA-QSA 审查的支付应用程序完全一致的支付应用程序/版本。如该支付

应用程序与 PA-QSA 所测试的有任何不一致，即使该程序符合认可函中基本的产品描述，PCI SSC 也不予

认可或推荐。例如，如果某支付应用程序与 PA-QSA 所测试的程序具有相同的名称或版本号，但两者实际

并非为同一产品，那么 PCI SSC 对其不予认可或推荐。除非与 PCI SSC 签订的书面协议或“PA-DSS 认可函”中已明确载明，否则任何供应商或其他第三方都不

能把某个支付应用程序称为“PCI 核准”或“PCI SSC 核准”，或以其他任何方式明示或暗示 PCI SSC 已经完全或部分核准了供应商的任何方面或支付应用程序。PCI SSC 严禁其他一切对 PCI SSC 认可意见的

引用。 PCI SSC 提供的认可意见是为了确保关系到 PCI SSC 目标实现的某些安全与操作特性，它在任何情况下

都不包含对任何特定产品或服务的功能、质量或性能的任何保证或认可。对于第三方提供的任何产品或服

务 PCI SSC 不做任何保证。在任何情况下，PCI SSC 提供的认可意见都不包含或暗示任何产品保证，包

括但不限于对任何可销性、适用性或非侵权的暗示保证，所有这些保证都被 PCI SSC 明确排除在外。所有

经认可的产品和服务，其所有相关权利与补救措施均由提供该产品或服务的供应方提供，而非由 PCI SSC 或支付品牌提供。除非另有 PCI SSC 的书面同意，否则本文件中所有由 PCI SSC 提供给第三方的预期财产与服务均“按现

状”方式提供，“不保证商品没有瑕疵”，且不做任何保证。

PCI PA-DSS 计划指南 1.2 版，认可涵元素 2008 年 10 月 2008 PCI 安全标准委员会版权所有第 28 页

附录 A：认可函与 PA-DSS 认证支付应用程序清单的构成

元素

支付应用程序供应商

该词条表示通过认证的支付应用程序的支付应用程序供应商。

支付应用程序标识符

PCI SSC 采用的支付应用程序标识符代表认证支付应用程序的相关信息，并包括：

支付应用程序名称支付应用程序版本号

为确保使用通过认证的支付应用程序，我们强烈建议有需求的客户或其指定代理人只购买、部署与揬支付

应用标识符示例（两部分）：

组成部分描述应用程序名称 Acme Payment 600

应用程序版本号 PCI 4.53

应用程序版本号

“应用程序版本号”指的是接受 PA-DSS 评估审查的具体的程序版本。构成“应用程序版本号”的信息可

由固定与可变的字母、数字联合组成。注：有关 PA-DSS ROV 中应包含的供应商版本控制方法的具体内容，请参阅 PA-DSS 中的“认证报告说明及内容”章节。

我们强烈建议，客户购买、部署的支付应用程序，其“应用程序版本号”的数字、字母字符都要与“PA-DSS 认证支付应用程序清单”或 PCI SSC 发给供应商的 “PA-DSS 认可函上的信息完全一致”。

核准号 PCI SSC 会在认可时分配“核准号”，该号码在应用程序列于清单期间保持不变。

认证备注

PCI SSC 使用认证备注以表明审查是否符合 Visa PABP 计划或 PCI SSC 的 PA-DSS 计划，并注明

PABP 或 PA-DSS 的应用程序版本。具体实例请参阅下文。


部署备注

PCI SSC 使用部署备注以说明新部署是否适用于支付应用程序，以及相关的支付应用程序失效期，备

注如下。更多详情请参阅第 22 页上的完整表格。

失效前的 PCI SSC 清单失效后的 PCI SSC 清单认证备注部署备注认证备注部署备注

按照 PABP 认证适用于新的部署按照 PABP 认证不适用于新的部署以前的 PCI 应用程序不推荐用于新的部署以前的 PCI 应用程序不适用于新的部署按照 PA-DSS 认证适用于新的部署按照 PA-DSS 认证不适用于新的部署

次要版本变更自我证明书（如适用） “次要版本变更自我证明书”（如适用）用来表示经历本文件对“ PA-DSS 要求无影响章节中记录的次要程

序变更流程的应用程序版本。”

年度重新认证日期 PCI SSC 使用“年度重新认证日期”表示软件供应商的“年度认证证明”的预定时间。“年度重新认证”

是“认证证明书”的构成部分，位于“PA-DSS 附录 C”的第 3b 部分。

失效期 PA-DSS 认证支付应用程序的失效期必须由供应商根据最新 PA-DSS 要求获得应用程序重新评估，以保留

可用权。失效期与部署备注的关系如上图所示。

PCI SSC 将根据 PCI DSS 的更新情况，努力做好 PA-DSS 两年一次的更新工作。现行的对 PA-DSS 认证支付应用程

序的认可结果会在下一次 PA-DSS 更新生效满三年后失

效。这样做的目的是确保最少为期 3 年的核准生命期，防

止出现要求即刻做出变更的严重威胁情况。

注：因此，按照正常的失效流程，任何根据 PA-DSS 1.1 版和 PA-DSS 1.2 版实施的 PA-DSS 评估都具有相同的失效期。

例如： PA-DSS 1.1 版和 1.2 版具有相同的失效期。预计在大约 2010 年 10 月份出台下一版 PA-DSS（1.2 版之后的版本），PA-DSS 1.1 版和 1.2 版中的审查将在 2013 年 10 月失效。

对于部署期间公布在本网站核准清单上的 PA-DSS 认证支付应用程序，目前尚未对其规定最后期限。已经

部署的支付应用程序，在其认可状态失效后仍可继续使用，因为失效期只与新的购买/部署有关，而并非现

有的部署。


自我证明书该词条是指“支付应用程序合格安全性评估公司”，它负责实施认证并决定支付应用程序是否符合 PA-DSS。

支付应用程序类型

支付应用程序类型如下：

销售点终端 (POS)

中间件

自动加油机

购物车

结算

无实卡交易

网关

其他

目标市场

支付应用程序目标市场，如适用。例如，目标市场可以是指下列任意一项：零售

停车场收费亭

加油站

电子商务

注：该词条用于表明支付应用程序的设计是否针对某个市场，而非用于软件供应商的销售目的。

支付应用程序的特定应用地区或场所（如适用）支付应用程序的特定应用地区或场所表示为特定地理区域或场所而开发的支付应用程序，并且只能用于这

些地理区域或场所。

PCI PA-DSS 计划指南，1.2 版，确定已认证的支付应用程序内部版本 2008 年 10 月 2008 PCI 安全标准委员会版权所有第 31 页

附录 B：确定已认证的支付应用程序内部版本

注：未来考虑事项。尽管目前并不需要已认证的支付应用程序内部版本，我们还是鼓励软件供应商与 PA-QSAs 携手合作，共

同开发认证和数字签署支付应用程序的方法。 PCI SSC 有权在未来要求已认证的应用程序内部版本。

例如，此类方法可包含以下具体内容：

供应商清晰地确定用于常规发布的已认证的内部版本。在打包发送时，最好由 PA-QSA 认证为符合 PA-DSS 的内部版本应该是经指纹识别的，即有软件供应商与 QSA 的数字签名（代码签名）。至少，发送的

内容应该可以通过名称、版本、内部版本号与日期及时间戳记确定无误，并且可通过 MD5 摘要及相应的内

部版本标题行得到验证。这样，PA-DSS 7.2 要求中对于通过“已知信任链”确保发送的内容就能得到加

强。同样，这种做法还能对与支付品牌相关的 PA-DSS 计划提供支持，并且提高客户的意识与信心。

PCI PA-DSS 计划指南，1.2 版，次要版本变更自行证明书 2008 年 10 月 2008 PCI 安全标准委员会版权所有第 32 页

附录 C：次要版本变更自我证明书

提交说明支付应用程序供应商与支付应用程序合格安全性评估商（PA-QSA）必须填写该文件，用以说明以声明服务

提供商遵循_支付卡行业数据安全标准 (PCI DSS)时的遵从性状态。支付应用程序供应商须填写所有适当栏

目，并向 PA-QSA 提交“变更分析”文件与“自我证明书”。

在审查完所提交的文件资料后，PA-QSA 须填写适当栏目，然后按照 PCI SSC 有关报告加密与提交的说

明，随同所有必要文件资料的复本提交给 PCI SSC。

第 1 部分支付应用程序供应商信息公司名称：

联系人姓名：职务：

电话：电子邮件：

营业地址：城市：

州/省：国别：邮编：

网址：

第 1a 部分支付应用程序信息目前列于 PCI SSC 清单上的“父代”支付应用程序名称与版本号：

现有的应用程序名称：现有的版本号：

PCI SSC 核准号：

新的支付应用程序名称与版本号（如适用）：

新的应用程序名称：新的版本号：变更说明（如适用）：

支付应用程序的功能（在所有合适选项前打勾）：销售点终端 (POS) 购物车无实卡交易中间件结算网关：自动加油机其他（请在此处写明）：

应用程序的目标市场


第 2 部分：支付应用程序合格安全性评估商 (PA-QSA) 公司信息

公司名称：

PA-QSA 主要联系人姓

名：职务：

电话：电子邮件：

营业地址：城市：

州/省：国别：邮编：

网址：第 3 部分变更情况确认

第 3a 部分支付应用程序供应商证明书基于内部变更分析与“变更分析”文件资料，（PA 供应商名称）于（日期）对本文件中第 1a 部分所确定的应用程序与版本的如下情况进行确认（在合适选项前打勾）：

对上述的“父代”应用程序仅做了次要变更后产生了上述的新应用程序，对 PA-DSS 要求未造成

影响。所有变更情况均已准确记录在随附的“变更分析”文件中，并已提交给第 2 部分中所述的 PA-

QSA。本自我证明书所含一切之信息在一切重要方面均完全代表变更分析的结果。

未有证据表明磁条（即：磁道）数据4、CAV2、CVC2、CID 或 CVV2 数据5、或 PIN 数据6在交易

授权后被存储在应用程序所产生的任何文件或功能上。

第 3b 部分支付应用程序合格安全性评估商 (PA-QSA) 证明书基于第 1 部分所述的支付应用程序供应商所提交的“变更分析”文件资料，（PA-QSA 名称）于（日期）对本文件中第 1a 部分所确定的应用程序与版本的如下情况进行确认（在合适选项前打勾）：

基于我们对“变更分析”文件资料的审查，我们同意该文件资料能够支持供应商的确认意见，也即

对上述的应用程序仅作了次要变更，因而对 PA-DSS 要求未造成影响。

4 磁条数据（磁道数据）— 编译在磁条中的数据，用于实际交易中的授权。授权之后，机构可能不会保留完整的磁条数据。可以被

保留下来的磁道数据元素只能包括账号、失效期与姓名。 5 印在支付卡签名方格内的三或四位数值，用于验证无实卡交易。 6 PIN 数据 — 由持卡人在实际交易时输入的个人识别码，和/或出现在交易信息中的经加密的 PIN 数据块。


第 3c 部分 PA-QSA 与应用程序供应商确认书

PA-QSA 负责人签名日期

PA-QSA 负责人姓名职务

应用程序供应商执行官签名日期

应用程序供应商执行官姓名职务

应用程序供应商公司代表

Documents

PA-DSS Program Guide v1 2 FINAL 100608[1] · 2018. 12. 19. · Title: Microsoft Word - PA-DSS Program Guide v1 2 FINAL 100608[1].doc Author: yifei Created Date: 12/25/2008 1:57:16