加载中…

加载中...

个人资料
atsec官博
atsec官博 新浪机构认证
  • 博客等级:
  • 博客积分:0
  • 博客访问:36,571
  • 关注人气:12
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
访客
加载中…
好友
加载中…
评论
加载中…
分类
博文
标签:

atsec

by Michael Vogel

A few days ago, I returned from my first business trip in months. I didn't travel because I had to, but because I decided that it would be better to be on-site instead of handling the project remotely. And we are handling a lot of projects remotely at the moment. But for this project it was a customer we had never audited before, a site that has not been successfully formally audited so far and the requirements to be applied were rather high.

While I was on my way back from the site, I realized that something was new here. While remote testing had been an option in the past, the choice between on-site and remote auditing for a site visit was not common in
阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
(2021-09-03 11:34)
标签:

atsec

icmc

请观看2021年度国际密码模块会议(ICMC: International Cryptographic Module Conference)上来自Yi Mao开题讲演的动画。


我们也邀请您观看ICMC会议上Yi Mao欢迎致辞的录像回放。


阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
标签:

atsec

nist

sp800-90b

我们邀请您观看Richard Fant关于SP800-90B样本大小的技术讲演(英文讲解)。

请点击如下链接观看:

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
(2021-08-24 21:19)
标签:

atsec

cavp

cmvp

我们诚邀您观看关于CMVP和CAVP的简介(英文讲解)。

请点击如下链接观看:

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
标签:

evaluation

remote

fips

cc

pci




While the home office has become a normality for many IT companies and operations during the pandemic, the requirements for security evaluation, certifications, accreditations, and other approvals have remained constant.

Site visits at the development sites are required to achieve the approval of certification and accreditation. How could this be accomplished when developers, auditors, and certifiers were located in different countries and were working from home?

In addition, there were multiple travel restrictions with varying rules in each country.

How did we do site visits for EAL3+ Common Criteria evaluations and NESAS audits?
How was atsec re-accredited from the nationa
阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
标签:

icmc

密码模块

fips

atsec

年度国际密码模块大会(ICMC: International Cryptographic Module Conference)将于2021年9月1日至3日以线上和线下(美国华盛顿)的形式举办。

作为密码模块行业的顶尖会议,ICMC至今已经成功的举办了8届。本届ICMC关注于密码模块行业的一些新的动向,包括但不限于:

FIPS140-3标准目前已经被美国政府接受,作为安全密码模块认证的唯一标准;

  • 欧洲监管机构正致力于建设独立的密码标准;
  • 开源密码方案被更广泛地使用;
  • 传统密码系统正经受越来越多的威胁,抵抗量子攻击的新密码算法需求也在逐年增加。

ICMC 2021汇聚了超过27个不同国家的近500名产业领袖参与,针对密码模块开发、测试、使用以及FIPS 140-3、ISO/IEC 19790、eIDAS、Common Criteria标准认证相关的话题展开讨论。三天的会议中总共涵盖7大密码行业领域近80个相关议题:

  • 认证领域;
  • 支付卡行业领域;
  • 密码技术领域;
  • 嵌入式/IoT设
阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
标签:

密码模块

atsec

fips

测评

认证

近一年来,atsec完成了诸多的全球知名厂商不同类型产品的密码模块FIPS 140-2认证。密码模块的安全性是整体安全的基石,也是相关业务进一步长期发展的必要条件。atsec的高质量测评和认证结果得到了产业的高度认可。部分近一年的认证信息参见如下:

   SUSE, LLC
      SUSE LinuxEnterprise Server libgcrypt
      Cryptographic Module   
 
   SUSE, LLC
      SUSE LinuxEnterprise Server OpenSSL
      Cryptographic Module   
 
   Canonical Ltd.
      Ubuntu 18.04 OpenSSLCryptographic Module
 
   Canonical Ltd.
      Ubuntu 20.04 OpenSSLCryptographic Module  
 
   SUSE, LLC
      SUSE LinuxEnterprise K
阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
标签:

cpsa

pci

卡生产安全

atsec



atsec中国获得支付卡产业安全标准委员会(PCI SSC:Payment Card Industry Security Standards Council)资质授权,成为了卡生产安全评估公司(CPSA:Card Production Security Assessor),从而可以验证机构是否遵守PCI 卡生产和供应的逻辑安全和物理安全要求(两个独立的安全标准)。目前 atsec 在 中东和非洲(CEMEA)、加拿大(Canada)、欧洲(Europe)、拉丁美洲和加勒比海地区(LAC)、美国(USA)和亚太(Asia Pacific)市场提供 PCI 卡生产逻辑安全和物理安全标准的评估服务。

支付卡及其组件的开发、制造、运输和个人化对支付系统、发卡机构和参与发卡的供应商的安全结构有很大影响。数据安全是PCI 卡生产逻辑安全和物理安全标准的主要关注点。

PCI 卡生产和供应的逻辑安全要求(“PCI 卡生产逻辑安全标准”)专注于卡生产和供应在如下相关环节的逻辑安全控
阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
标签:

应用软件

pcidss

支付卡数据安全

atsec

持卡人

作者:atsec高向东,转载请注明文章出处以及作者信息


本文所指的应用软件,最直接适用的情况是支付环境中处理持卡人数据(CHD: Cardholder Data)/敏感认证数据(SAD: Sensitive Authentication Data)的、机构自行开发或通过外部资源开发的软件。在应用软件不涉及PCI DSS所关注的持卡人数据/敏感认证数据的情况下,也推荐借鉴本文所梳理的要求点进行数据安全保护方面的工作。

在机构需要合规支付卡产业数据安全标准(PCI DSS: Payment Card Industry Data Security Standard)时,往往较难梳理清楚机构内部的各种应用软件适用于哪些要求点。从PCI DSS标准的章节安排来看,也很难准确定位哪些PCI DSS要求点是需要从应用开发和设计角度需要关注的。因此,atsec作者基于对现行PCI DSS标准 V3.2.1的理解,对相应的具体要求进行了梳理和汇总,以体系化的方法来展现应用软件合规所需要重点关注的技术要求。

此外,支付卡产业安全标准委员会(PCI SSC:Payment Card Industry Security Sta
阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
标签:

应用软件

pcidss

支付卡数据安全

atsec

持卡人

本文所指的应用软件,最直接适用的情况是支付环境中处理持卡人数据(CHD: Cardholder Data)/敏感认证数据(SAD: Sensitive Authentication Data)的、机构自行开发或通过外部资源开发的软件。在应用软件不涉及PCI DSS所关注的持卡人数据/敏感认证数据的情况下,也推荐借鉴本文所梳理的要求点进行数据安全保护方面的工作。

在机构需要合规支付卡产业数据安全标准(PCI DSS: Payment Card Industry Data Security Standard)时,往往较难梳理清楚机构内部的各种应用软件适用于哪些要求点。从PCI DSS标准的章节安排来看,也很难准确定位哪些PCI DSS要求点是需要从应用开发和设计角度需要关注的。因此,atsec作者基于对现行PCI DSS标准 V3.2.1的理解,对相应的具体要求进行了梳理和汇总,以体系化的方法来展现应用软件合规所需要重点关注的技术要求。

此外,支付卡产业安全标准委员会(PCI SSC:Payment Card Industry Security Standards Council)发布了软件安全框架(SSF:Software Security Framework)体系的两个标准,一个是安全生命周期(Secure SLC)标准,旨在面向支付产业开发软件的软件供应商,验证
阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
  

新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

新浪公司 版权所有