在过去的几个月里,PCI Knowledge Base一直在对商业风险委员会有关欺诈和欺诈管理的支付卡行业法规标准的影响进行系统化研究。我们所了解的一点是,总的来说支付卡行业控制在减少内部欺诈方面是最有效的。
有些控制措施是着眼于限制有权使用信用卡数据的员工数量,有的措施则是注重将多数员工使用的系统与持卡人数据环境相分离。不过支付安全领域的最热门趋势是两种作为标准使用的技术。他们就是令牌网和端到端加密。
端到端加密目前解决的主要是内部风险问题。对于很多公司来说,加密不是集中进行管理的。它是一种可以轻松增加到应用软件中的特性;它可以存在于操作系统,数据库,POS设备等等之中。甚至在持卡人环境中,部署各种不同加密和多重密钥管理系统的情况也很常见。
在这种情况下,支付卡数据可能必须通过内部的多重系统才能到达要求的银行或者处理器。结果就是令人不胜其烦的"加密,解密,再加密"的各种环节,这也为未经授权的内部风险制造了缺口。
使用端到端加密的公司对进入点数据进行加密(比如说POS,电子商务支付软件和呼叫中心软件),然后将加密的数据通过传递流程传递到接收方。支付卡号码不会以未经加密的状态存储在零售方设备上。
几种用于POS渠道和五花八门产品的设备也可以用于电子商务渠道,但是如果企业坚持将这些数据存储和使用于其他应用软件,那么这些设备中的任何一种都可能无法发挥作用。
端到端的另外一个关键点是,一些企业关注于企业对端到端的看法,而不是将终端作为接收方来定义。另外,在一些企业中用来处理返款的协议可以会在端到端环节中陷入混乱。
关于加密需要谨记的是端到端加密是12种支付卡行业控制方法中的一种。看起来在2010年秋季推出的PCI DSS需求新一代版本中不太可能会删除其他11种PCI DSS控制,原因是每种控制都有其使用的地方。
另外,关于令牌能解决所有问题的探讨众说纷纭。令牌网是通过代理号码或者令牌来替换信用卡号码或者其他机密数据,然后将这些支付卡数据集中(或者外包)来减少内部风险。
在理想的世界里这种构思是可能的。不过在我们的研究当中,我们发现没有一家任何大型企业能够完全将支付卡数据删除或者外包,即使他们部署了令牌网。造成这种事实的原因包括企业需求,更改他们生产型应用软件所需的成本和实际查找和清除所有支付卡数据的难度。
另一方面,一些渠道单一或者采用高度集中数据体系架构的小型企业在应对令牌数据处理和法规遵从难题方面是最成功的。因此无论保存何种信用卡数据,这些企业都需要采用加密来符合法规需求和减少内部风险。
我们的研究预测,在未来两到三年内端到端加密和令牌网将在几乎所有的大型和中型企业中并存。一方取代另一方都需要将大型的,多渠道零售商或者服务提供商考虑在内。
