要不了多久,信用卡资料就会一文不值,这确实是件好事。信用卡安全正在从设置障碍防止信用卡资料被窃取转向使信用卡资料无法用于牟利。通过对信用卡资料进行抽象化处理,使真正的信用卡资料无法轻易甚至根本不能从抽象化的数据中推导出来,使用抽象的数据替代真正的信用卡资料,而抽象的数据只在单次交易的特定上下文中有效。这种方法可能能更有效地保护信用卡资料和减轻信用卡风险。
这种保护信用卡资料的理想方法的重要基础是两种既相互关联又相互独立的技术:
1.标记化(Tokenization)——标记化是指提取重要的数据(例如信用卡号码)并对其进行抽象化处理,使其变为另一串无法用来牟利的数值。
2.交易加密(Transaction Encryption)——交易加密是指在信用卡资料输入系统(例如POS终端或电子商务网站)时就对其加密,并将加密后的数据传输到其目标系统,直到为完成交易而对其解密。交易加密斩断了网络罪犯利用窃取的信用卡资料在开放市场中获利的途径。
从商家的角度来看,标记化和交易加密的目的是通过消除真正的信用卡资料在商家环节的暴露,从而有效地保护信用卡资料,并减轻商家遵守支付卡行业数据安全标准(PCI DSS)的责任。尽管标记化和交易加密技术还处于早期阶段,但是许多商家希望现在就采用这两项技术。事实上,美国技术和市场研究公司Forrester Research Inc最近的一项研究表明,支付卡行业提供成熟的、能够得到行业认可的标记化产品的能力还难以达到商家对采用标记化技术的期望。
抽象化和加密信用卡资料是一种有效的信用卡安全解决方案,有可能使支付卡行业发生变革,并使交易链条中的所有利益相关者从中受益。然而,这两项技术还不太成熟。因此,Forrester公司建议,在评价标记化或交易加密产品时,安全和风险专家应该遵循以下步骤:
1. 循序渐进——考虑采用标记化的安全和风险专家一定要在合同中约定,自己选择的供应商有义务应对支付生态系统的变化,而这种变化可能会影响供应商提供的产品。每个供应商提供的标记化产品可能各不相同。当一个系统接受研究人员和现实世界攻击的验证时,它可能会在以后被证明是有问题的或不安全的。这种情况在其他安全领域已经发生过。例如,像WEP(有线等效协议)和LEAP(轻量级可扩展身份验证协议)等无线协议都被发现是不安全的。由于美国信用卡和支付卡行业安全标准委员会尚未充分考虑这一问题,因此要注意,现有的任何标记化技术产品都只是对实施标记化的适当方式的猜测。
目前,采用标记化技术的公司购买的是一种高度定制的产品。随着时间的推移,市场将会调整实施标记化的成本并使其保持稳定。但是,早期采用标记化技术的公司应该做好交学费的心理准备。可以预计,接受信用卡支付的公司很快将会采用标记化和交易加密技术,因为与减轻数据泄露风险和满足客户的迫切要求相比,这点短期成本是微不足道的。
2. 审查标记化系统获取信用卡资料的方式——重要的是要了解商家使用信用卡资料的两种不同方式:有卡交易(Card-Present Transaction)和无卡交易(Card-Not-Present Transaction)。每种类型的交易都需要一个专门的产品,以采用标记化技术。尽管有卡交易将是标记化技术的主要应用场合,但是无卡交易(即在线交易或电话交易)也可以使用标记化技术增强安全性。
PCI DSS对这一问题的要求很可能基于在有卡交易中PIN码输入设备(PIN Entry Device,PED)获取和加密信用卡资料的方式。要确保信用卡资料永远不会以未加密的形式从PED设备传输到其他系统。由于支付卡行业和信用卡安全的监管机构尚未认真考虑这一问题,所以一定要谨慎行事,将你的刷卡设备升级为支持加密的产品,在PED设备上使用硬件加密信用卡资料。
3. 扩展标记化和交易加密技术的价值——虽然大多数公司考虑采用标记化和交易加密技术是为了符合PCI DSS遵从性,但需要指出的是,其他数据也可能受益于这些技术。如果你在公司内部实施了这些技术,你就能够对其他敏感数据进行标记化处理,例如个人身份信息(Personally Identifiable Information)或受保护的健康信息(Protected Health Information)。因此,可以将在标记化信用卡资料上的投资价值扩展到几乎任何其他类型的监管数据,从而减轻你的总体法规遵从负担。
【编辑推荐】
