PCI标记化指南 支付处理商的福音

日期: 2010-06-01 作者:Robert Westervelt翻译:Sean 来源:TechTarget中国 英文

预计在今年晚些时候,支付卡行业安全标准委员会(PCI SSC)将发布一项关于使用标记(tokens)来代替信用卡数据的指南,这次转变可能会有利于那些出售“使用加密和标记化以屏蔽卡上敏感数据”技术的支付处理商。   PCI SSC的总经理Bob Russo在最近的一次采访中表示,他并不希望看到PCI DDS会经历什么重大的改变,因为PCI DDS在今年正经历着一次修订。但是,这些正在制订的指南文件可以帮助商家做出决定,即投资加密技术或者PCI标记化技术是否是明智之举。   Russo表示,“我们正在创建一个合适的框架,详细地描述这些技术,并且把它们作为以后将要发布的标准,所以如果有人使用其中一种……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

预计在今年晚些时候,支付卡行业安全标准委员会(PCI SSC)将发布一项关于使用标记(tokens)来代替信用卡数据的指南,这次转变可能会有利于那些出售“使用加密和标记化以屏蔽卡上敏感数据”技术的支付处理商。

  PCI SSC的总经理Bob Russo在最近的一次采访中表示,他并不希望看到PCI DDS会经历什么重大的改变,因为PCI DDS在今年正经历着一次修订。但是,这些正在制订的指南文件可以帮助商家做出决定,即投资加密技术或者PCI标记化技术是否是明智之举。

  Russo表示,“我们正在创建一个合适的框架,详细地描述这些技术,并且把它们作为以后将要发布的标准,所以如果有人使用其中一种技术,这个框架就会让他们知道他们是否符合某些特定要求。”

  一些支付处理商和加密技术供应商联合起来,共同开发了一种加密与标记化技术相结合的软件。当支付卡在支付终端进行刷卡时,此软件可以保护卡的数据。EMC公司的安全部门RSA正在与First Data公司合作,以便在First Data公司出售给商家的加密服务中添加标记化技术。Voltage Security公司目前在销售一种与标记化相结合的加密技术,并正与Heartland支付系统公司紧密合作,以提供加密和标记化产品服务。

  根据行业的不同,有些商家能够在他们自己的服务器上存储加密数据、或者用标记去代替数据;有些则把数据发送到支付处理商的系统上,在那里存储起来以备日后使用。一位业内专家指出,此PCI指南很清楚的表明,如果商家没有访问敏感数据的能力,他们也可以获得PCI认证。

  Heartland公司推出了它的E3系统。Homeport是一家家庭装饰商店,该商店的所有者Mark Bouchett一直在对HeartLand E3系统中的一个加密终端进行测试。他的商店里运行了一个单一终端,这个终端的处理能力比较低,一年内最多只能处理三万份信息卡交易,但是Bouchett表示他看到了给用户提供更多保护所带来的好处。

  Bouchett表示,“我们是家庭生意,所以我不想让我的客户受到损失,只想他们称心如意。”

  Bouchett表示,在HeartLand E3系统中,交易在加密终端被立即加密,并且传回HeartLand。Bouchett曾经使用过HeartLand公司的一种基于电话的系统,这种系统需要他把卡数据在自己的系统上存储24小时。

  他表示,“如果它不妨碍交易过程并且消除了风险,那么这对任何人来说都有好处。”

  Bouchett表示,E3终端可以完全加密刷卡信息,并且速度很快,但是它缺少一个PIN键盘,并且可视化界面也非常陈旧。HeartLand的一位发言人表示,目前版本的产品具有相同的加密能力,但是具有更多的新功能。

  Voltage公司的首席技术官Terence Spies表示,Voltage公司可以提供与众不同的基于身份识别的加密技术,这是一种公共密钥技术,可以让Voltage在密钥服务器上产生公共密钥,然后再产生与之相匹配的私人密钥。这让商家能够在售货点对数据进行加密,而不必拥有私人密钥,从而避免访问敏感的信用卡数据。

  Spies表示,“采用这种加密方式以后,即便是攻击者控制了售货点并访问里面的数据,他也不能获得任何有用的数据。”

  Spies指出,基于身份识别的加密技术能够让商家们继续在交易系统中使用信用卡卡号的一

  部分数字,从而防止欺诈或将其用在其他的处理过程上。他还指出,小型企业可以将这些工作外包给支付处理商,但是那些需要在自己服务器上存储永久账户号码(PAN)数据的大型企业则可能需要在公司内部设置密钥管理功能。

  Spies表示,“这更像是技术架构的决定,而不是让你去选择一个现成的技术。”

  支付处理商ProPay公司专注于不需要银行卡的交易以及电子商务交易。该公司的执行副总裁Chris Mark(他以前是一位QSA)表示,他估计许多商家会采用更多的外包服务,这些服务能够让他们要求支付处理商去处理与资费统计、退货以及其他交易问题相关的各种数据。

  Mark指出,“你无法对整个行业做出整体评论,因为每个商家在市场中都有自己特殊的处理过程。旅馆行业就是一个很典型的例子,在旅馆中消除卡的数据就非常棘手,因为人们总会在逗留期间持续地使用信用卡,对各种物品或者服务进行支付。”

翻译

Sean
Sean

相关推荐

  • PCI ISA如何帮助企业提高安全性和合规性?

    什么是PCI内部安全评估员?我听说PCI SSC在开展PCI ISA培训项目,请问这是什么,它们是否可帮助企业提高合规性?

  • 当研究PCI渗透测试指南时,你应该注意这六个方面

    对于企业来说,遵守PCI渗透测试要求是个长久以来的挑战。在本文中,Kevin Beaver探讨了最近发布的PCI SSC渗透测试指南以及它将如何帮助企业克服PCI困境。

  • Blue Coat揭加密流量暗藏安全风险

    业务保障技术的市场领导者Blue Coat系统公司发布研究报告指出,为了解决隐私问题,加密技术得到广泛应用,这给网络犯罪分子提供了可乘之机,他们在加密流量中隐藏恶意内容,甚至可以更轻松地躲避检测。

  • 安全加密秘籍

    无论是企业的自身需要还是安全标准的强制规定,为了更好的保护数据,加密已经成为企业的不二选择。本技术手册将详细介绍各种加密技术,帮助企业更好的保护数据。