预计在今年晚些时候,支付卡行业安全标准委员会(PCI SSC)将发布一项关于使用标记(tokens)来代替信用卡数据的指南,这次转变可能会有利于那些出售“使用加密和标记化以屏蔽卡上敏感数据”技术的支付处理商。
PCI SSC的总经理Bob Russo在最近的一次采访中表示,他并不希望看到PCI DDS会经历什么重大的改变,因为PCI DDS在今年正经历着一次修订。但是,这些正在制订的指南文件可以帮助商家做出决定,即投资加密技术或者PCI标记化技术是否是明智之举。
Russo表示,“我们正在创建一个合适的框架,详细地描述这些技术,并且把它们作为以后将要发布的标准,所以如果有人使用其中一种技术,这个框架就会让他们知道他们是否符合某些特定要求。”
一些支付处理商和加密技术供应商联合起来,共同开发了一种加密与标记化技术相结合的软件。当支付卡在支付终端进行刷卡时,此软件可以保护卡的数据。EMC公司的安全部门RSA正在与First Data公司合作,以便在First Data公司出售给商家的加密服务中添加标记化技术。Voltage Security公司目前在销售一种与标记化相结合的加密技术,并正与Heartland支付系统公司紧密合作,以提供加密和标记化产品服务。
根据行业的不同,有些商家能够在他们自己的服务器上存储加密数据、或者用标记去代替数据;有些则把数据发送到支付处理商的系统上,在那里存储起来以备日后使用。一位业内专家指出,此PCI指南很清楚的表明,如果商家没有访问敏感数据的能力,他们也可以获得PCI认证。
Heartland公司推出了它的E3系统。Homeport是一家家庭装饰商店,该商店的所有者Mark Bouchett一直在对HeartLand E3系统中的一个加密终端进行测试。他的商店里运行了一个单一终端,这个终端的处理能力比较低,一年内最多只能处理三万份信息卡交易,但是Bouchett表示他看到了给用户提供更多保护所带来的好处。
Bouchett表示,“我们是家庭生意,所以我不想让我的客户受到损失,只想他们称心如意。”
Bouchett表示,在HeartLand E3系统中,交易在加密终端被立即加密,并且传回HeartLand。Bouchett曾经使用过HeartLand公司的一种基于电话的系统,这种系统需要他把卡数据在自己的系统上存储24小时。
他表示,“如果它不妨碍交易过程并且消除了风险,那么这对任何人来说都有好处。”
Bouchett表示,E3终端可以完全加密刷卡信息,并且速度很快,但是它缺少一个PIN键盘,并且可视化界面也非常陈旧。HeartLand的一位发言人表示,目前版本的产品具有相同的加密能力,但是具有更多的新功能。
Voltage公司的首席技术官Terence Spies表示,Voltage公司可以提供与众不同的基于身份识别的加密技术,这是一种公共密钥技术,可以让Voltage在密钥服务器上产生公共密钥,然后再产生与之相匹配的私人密钥。这让商家能够在售货点对数据进行加密,而不必拥有私人密钥,从而避免访问敏感的信用卡数据。
Spies表示,“采用这种加密方式以后,即便是攻击者控制了售货点并访问里面的数据,他也不能获得任何有用的数据。”
Spies指出,基于身份识别的加密技术能够让商家们继续在交易系统中使用信用卡卡号的一
部分数字,从而防止欺诈或将其用在其他的处理过程上。他还指出,小型企业可以将这些工作外包给支付处理商,但是那些需要在自己服务器上存储永久账户号码(PAN)数据的大型企业则可能需要在公司内部设置密钥管理功能。
Spies表示,“这更像是技术架构的决定,而不是让你去选择一个现成的技术。”
支付处理商ProPay公司专注于不需要银行卡的交易以及电子商务交易。该公司的执行副总裁Chris Mark(他以前是一位QSA)表示,他估计许多商家会采用更多的外包服务,这些服务能够让他们要求支付处理商去处理与资费统计、退货以及其他交易问题相关的各种数据。
Mark指出,“你无法对整个行业做出整体评论,因为每个商家在市场中都有自己特殊的处理过程。旅馆行业就是一个很典型的例子,在旅馆中消除卡的数据就非常棘手,因为人们总会在逗留期间持续地使用信用卡,对各种物品或者服务进行支付。”
【编辑推荐】
