PCI安全标准委员会的总负责人Bob Russo称,支付卡行业安全标准(PCI DSS)的下一次修订预计在10月举行,其中将包含解释说明,但不会对该标准作重大的修改,修订内容不会超出我们的预期。
我们预期标准中会更加关注加密,虚拟化和更加安全的支付终端的使用。Russo说:“那些主题曾是PCI SSC管理的一些专门兴趣小组的关注焦点,同时也是为将来修正标准而对新兴技术进行研究的重心。”这一组织还在研究芯片和密码技术,虽然2010年的PCI DSS修订版中没有这些内容。
PCI DSS 修订每两年修订一次,上一次的更新版发布于2008年。这一组织从委员会成员那里收集为期四个月的反馈结果,委员会的顾问将举行会议以落实所有的修改建议。新的标准修订草案将于五月份出台,这一组织将于九月在其团体会议上收集所有的剩余反馈意见。Russo 说,而后PCI DSS标准的更新版将会最终确定下来,并将于十月中旬连同支付应用数据安全标准(PA DSS)的修订版一起正式出台。同样由这一组织负责的PIN个人识别码输入设备安全要求(PIN Entry Device Security Requirements)的修订版将于四月份出台。
今年委员会将不对PCI DSS做重大修整,只会发布指导性文件,通过新的卡数据保护技术来帮助被供应商压迫的厂商。
Russo说,端到端加密是未来研究的方向。Heartland Payment Systems Inc. 因SQL注入漏洞在去年宣布该公司发生了大规模的数据泄漏事件之后,该公司的CEO Robert Carr将更多的综合加密方法引入了该公司。Heartland和Voltage Security Inc.一同开发了其E3安全支付系统。但Russo说“端到端加密”这一术语还没有很清晰地界定,而且又加入了标记化(tokenization),这是由EMC Corp.的RSA security部门以及支付处理厂商First Data Corp.所引入的支付战略的一部分。
Russo说,在银行卡行业中芯片和加密技术同样受到越来越多的关注。有一个专门兴趣小组正在研究芯片和加密,这在亚洲和欧洲很受欢迎,而且加拿大的支付终端正在分阶段部署这一技术。这一技术用嵌入式的微型芯片替代了原来在卡片背后的磁条,并且添加了四位数的密码用于核实支付过程。
Russo说:“世界其他地区正在使用某些形式的芯片和加密技术,因而我们不能忽视它的发展,部署这一技术需要付出很多努力和巨额的代价。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
RSA大会上专家驳斥端端加密概念
2009年Heartland发生了重大数据泄漏事故。该公司的CEO Bob Carr称端端加密是保护持卡人数据的最佳方式。但RSA 2010大会上,专家认为端端加密没有实际的意义……
-
部署智能卡的利与弊
大多数人都认为智能卡是一种更好的认证方式。有读者提出问题:在企业认证中使用智能卡的利与弊各是什么?TT安全专家Randall Gamby对这一问题进行了详细解答……
-
怎样防止手机窃听
你的手机谈话和通过无线网络进行的活动并不是保密的,你需要记住的是手机监听很简单,可以被很多人轻松的截获。那么应该采取那些预防措施来防止手机窃听?
-
黑客入侵花旗银行ATM 窃取用户PIN
根据最新披露的美国联邦法院文档,黑客入侵了花旗银行设在7-Eleven超商的自动提款机(ATM)网络,窃取客户的个人标识号码(PIN),再度凸显金融交易出现严重的安全漏洞……