PCI委员会称没有规定移动支付使用P2P加密技术

支付卡行业安全标准委员会(PCI)建议：对于连接到移动设备的信用卡读卡器进行的信用卡支付业务，使用点到点加密技术。但是PCI SSC的总经理Bob Russo坚持认为PCI委员会并没有规定移动支付一定要使用该技术。

“我们并没有认可任何技术，而是说，‘如果你准备通过加密狗来刷卡，它们也需要进行加密，’”Russo在接受SearchSecurity.com的采访中称，“这是一个建议，如果你打算通过移动手机或者平板电脑来刷卡，那么当然我们要确保任何进入手机的数据都要进行加密。”

PCI 委员会已经明确表示，不会干涉PCI DSS规定使用特定产品。在2008年，PCI委员会被迫发出PCI DSS要求6.6(关于保护web应用程序免受攻击)的补充澄清。该标准要求至少每年进行一次代码漏洞审查，或者安装web应用程序防火墙。这造成了 web应用程序防火墙销量激增，因为商家发现安装防火墙要比执行年度审查更节约成本。澄清建议商家“两手都要抓”以确保合规性，但同时指出代码审查和某些防火墙部署对于某些商家而言并不可行。PCI委员会还警告商家在安装防火墙时，要进行正确的配置和监控。

两页的移动支付接受报告于5月 16日发布，其中呼吁使用P2P加密硬件(PCI委员会认证读卡器)来确保捕捉点的加密。该建议旨在针对小型企业，包括想在其移动设备使用读卡器的个人等。Russo表示，该文件还要商家参看PCI P2P加密报告，这是加密计划的基础。PCI委员会表示，将会公布认证P2P加密硬件清单。

“我们现在打开了一个从未有过的商业新领域，”Russo表示，现在信用卡已经应用到以前没有的领域。”

PCI委员会去年对移动支付应用程序发表了一份声明，该声明包括一份清单，确定哪些移动支付应用程序符合其PA DSS要求。另外，保护移动支付交易的最佳做法文件将于今年晚些时候发布。

PCI委员会正在准备云计算、电子商务和风险评估的指导文件

PCI委员会本周宣布将从6月1日开始接受对2013年研究领域的建议，目前已经有三个志愿特别兴趣小组(SIG)正在研究云计算、电子商务应用和风险评估，委员会将于今年晚些时候发布指导文件。

云计算特别兴趣小组为了保护支付数据和减小范围提出建议,在研究不同的云架构模型。指导文件还将解决如何维护和验证不同云计算对PCI DSS的合规情况。PCI委员会去年发布了一份保护虚拟环境中支付数据的报告，报告中警告说公共云、多租户环境正在挑战PCI合规，因为“租户间的物理隔离是不实际的”。该小组计划解决PCI DSS评估范围内的虚拟组件问题，相关报告将于10月发布。

电子商务特别兴趣小组正在审查常见电子商务支付应用程序部署情况,以研究如何降低信用卡数据被盗的风险。商家及其电子商务服务供应商的角色和责任同样是研究重点。目前，一些公司在整合 web应用程序支付功能与第三方支付处理器,以消除卡存储和减小PCI DSS范围。该小组计划在8月发布报告。

#p#

Russo表示：“基本上这是在解决如何在网络环境下安全操作。”风险评估特别兴趣小组则在解决如何适当地进行和记录年度风险评估，以及如何评估第三方(例如业务合作伙伴)或托管环境的影响。Russo表示，该小组已经完成了第一个草案，为分类和记录资产制定了一个标准方法，并提出了评估资产以抵御风险和漏洞的方法。Russo表示：“这些来自于需要遵守PCI 12.1.2的人们的反馈意见。”该小组同样计划在8月发布报告。

下面Russo解释了PCI委员会对移动安全采取的方法，并进一步解释了移动支付的最新指导文件，以及为什么没有特别兴趣小组研究移动安全问题：

去年我问了关于移动的问题，你提到移动专案小组将要启动。

Bob Russo：我们刚刚发布了关于移动的文件。我们现在打开了一个从未有过的商业新领域，我们有很多收购商希望增加几十万个商家。这个文件为计划使用信用卡支付的商家解释了各种他们需要了解的信息。

我认为该文件几乎认同了点到点加密。我知道PCI委员会在过去追捧Web应用程序防火墙(WAF)等技术，但在WAF销售量激增后，PCI委员会开始犹豫对特定技术的批准。是不是如此呢?

Russo：正是如此。我们这并不是追捧某个特定的技术，只是说，“如果你打算在加密狗上刷卡，它们需要加密。”

该文件建议使用点到点加密，以及点到点加密计划下认证的硬件。

Russo：是的，这只是一个建议。如果你打算通过移动手机或者平板电脑来刷卡，那么当然我们要确保任何进入手机的数据都要进行加密。

多年以来，移动一直是一个问题。为什么没有针对移动的特别兴趣小组?是否有特殊的原因?

Russo：移动存在很多固有的安全问题。从方便的因素来看，人们需要移动性，消费者当然也需要。但我认为当涉及移动时，商家会有些谨慎，只是因为移动非常不安全。如果这是简单的事情，肯定已经出现各种移动安全标准。这不是一个简单的领域，涉及很多不同的因素，例如设备本身在某种程度上并不安全，不足以保护信用卡数据。

通过近场通信(NFC)技术，PayPal和谷歌拥有移动支付技术，电信运营商正在推出他们的技术，信用卡品牌商也在推出自己的移动支付解决方案。这是不是让PCI难以妥当地解决这些产品的安全问题?因为他们又推动 PCI DSS，又受限于它，这让人感到困惑。

Russo：我要重提我的旧口头禅：如果你正在存储、处理或者传输信用卡数据，不管你是谁，你都要担心安全性以及应对这些标准。不管是收购商，还是供应商，如果他们想要进入这个领域，他们就不得不担心安全性问题，遵守我们的标准。没有人能例外。