PCI点到点加密故障处理
PCI委员会还增加了在点到点设备发生故障情况下商户新的责任。如果商户继续接受信用卡支付,他必须与遵循与加密提供商之间专门的“选择性退出”过程,告知提供商该商户选择在没有点到点加密保护的情况下处理交易。Leach表示该过程让商户在设备发生故障情况下也能保持灵活。例如,某个零售店可能有数百名顾客排队等待结账,他可以决定尽管缺少加密手段,也处理这些交易。
“这个选择性退出是意识到有可能发生技术上的问题。提供该关键加密服务的解决方案提供商必须意识到这个变化,以及导致的流程规避问题。所以在标准中有变通性,因为可能发生技术上的回退方案”。
PCI点到点加密解决方案:短暂的历史、缓慢地采用
该PCI委员会在2011年9月发布了点到点加密文档的首个版本,表明正确实施的系统可以减少PCI DSS评估的范围。之前该委员会认为加密技术不太成熟,它希望最新的指导意见会让商户及加密服务提供商有办法评估设备,并且确保它们满足最小程度的安全要求,符合PCI DSS的精神。这些设备必须正确地与网络的其余部分隔离开来,并且信用卡数据从被输入的那一刻就必须加密,直到传输到处理方和银行系统。
这种技术的采用一直进展缓慢,Mark Akins表示。他是一名QSA,同时也是位于佛罗里达Coral Springs市的合规评估咨询公司 1st Secure IT的CEO。他表示要求QSA 进行PCI评估的组织已经在安全方面为了满足PCI DSS做出大量投入,并且尚未取消和替换他们的支付终端,以便支持点到点加密。大多数的大型商户在投资新的系统之前会一直等待到设备的使用期限为止。
“我认为点到点加密解决方案是一件好事,它取消了对商户的许多要求”,Akins说道。“它不是一种边缘技术,而是一种尖端技术,在它成为主流技术前,我不认为我们会看到太多的人寻找经过培训的QSA来评估它”。
其它商户依赖于服务提供商来处理信用卡,Akins谈到。采用标记化技术来去除信用卡数据已经被服务提供商当作一种SaaS选择推向他们的客户。咨询公司Security Curve的Kelley谈到,拥有较少支付终端的中小型企业很可能会首先使用点到点加密设备来确保支付数据的安全。如果使用它的话,小型商户也只有极少的IT职员,它们会依赖于他们的收单银行、支付处理器以及加密提供商的帮助和指导,Kelley表示。
这个新出炉的点到点加密验证计划将会极大依赖于其它的PCI标准。设备必须满足PIN码交易安全(PIN Transaction Security,简称PTS)要求。根据该文档,用于加密和解密环境的密钥操作使用源自PTS安全标准的密钥管理做法。设备上的应用必须满足来自支付应用数据安全标准( Payment Application Data Security Standard ,简称PA-DSS)的要求。并且最终该解密环境必须是满足PCI DSS合规要求。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
PCI安全标准委员会新出炉点到点加密指导概述测试步骤(一)
PCI SSC委员会肯定了点到点加密技术,它已经发布已更新的要求和测试步骤,以确保设备满足最低程度的安全要求。