PCI安全标准委员会新出炉点到点加密指导概述测试步骤(一)

日期: 2012-08-09 作者:Robert Westervelt翻译:杨帆 来源:TechTarget中国 英文

基于硬件的点到点加密技术得到支付卡行业安全标准委员会(Payment Card Industry Security Standards Council,简称PCI SSC)的首肯,该委员会已经发布已更新要求和测试步骤,以确保设备满足最低程度的安全要求。

  上个月该“PCI点到点加密解决方案要求及测试步骤”文档已经被修改,增加了新的指导意见,用于商户实施经过验证的点到点加密产品。该指导为加密提供商确立了测试步骤,它是用于验证或是证明点到点加密组件的名单的基础。版本1.1的文档也引入为合格安全评估员(Qualified Security Assessors,简称QSA)的培训计划,为那些能够正确地评估点到点加密部署方案的安全评估员们提供专门的标识。

  “这个名单会朝着减少范围的方向走很长一段路,以便让参与正确地选择和实施点到点加密解决方案的每个人可以更容易地处理”,Diana Kelley说道。他是位于新罕布什尔州的咨询公司Security Curve的一名合伙人。

  这个新发布的文档解决的是基于硬件的点到点加密,但是没有涉及到基于软件的加密。PCI SSC的CTO、Troy Leach谈到委员会打算解决混合方案的测试要求,混合方案中软件被用在硬件加密产品的某些组件中。Leach表示一个最终的文档将会解决使用软件作为解密机制用于所有加密密钥的问题。他补充道,目标是尽可能地彻底解决各种点到点加密技术实施中的问题。

  在这个经过修订的文档内,商户被要求选择通过PCI DSS安全要求的交互点(point-of-interaction,简称POI,是POS机的组件)设备用于PIN码交易。该文档要求考虑用点到点加密方案部署的商户要负责与他们的收单银行(即商户合作银行)紧密地协作,以便判断可以实施哪些验证过的设备。

  整个计划都是自愿性质的,Leach表示。但是之后这个指导会帮助商户们正确地减少他们系统PCI DSS评估的范围。他表示未来没有计划将点到点加密涵盖到PCI DSS合规当中。“这对于商户们来说不仅是让他们知道有解决方案、并且我们已经知道它们,”Leach表示。“实际上这些测试要求不是为了商户们,它们是用于开发产品的解决方案提供商。PCI委员会也在开发新的流水化自我评估问卷调查,以便让3级和4级商户更加容易地证明其环境满足PCI合规标准。”

  今年夏天会发布一份已验证点到点加密组件名单。在这个测试要求下,加密硬件设备必须包含所有的信用卡交易数据,来隔离商户的持卡人数据环境。根据该文档要求,账户数据总是直接地输入到设备中、并且在传输前被加密。

  该委员会的指导文档也声明所有与操作有关的账户数据将由通过验证的提供商管理。此外,该文档声明要求点到点加密提供商需要向商户们提供概述他们职责和控制措施的指导手册。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐