要不了多久，信用卡資料就會一文不值，這確實是件好事。信用卡安全正在從設(shè)置障礙防止信用卡資料被竊取轉(zhuǎn)向使信用卡資料無法用于牟利。通過對信用卡資料進行抽象化處理，使真正的信用卡資料無法輕易甚至根本不能從抽象化的數(shù)據(jù)中推導(dǎo)出來，使用抽象的數(shù)據(jù)替代真正的信用卡資料，而抽象的數(shù)據(jù)只在單次交易的特定上下文中有效。這種方法可能能更有效地保護信用卡資料和減輕信用卡風(fēng)險。

這種保護信用卡資料的理想方法的重要基礎(chǔ)是兩種既相互關(guān)聯(lián)又相互獨立的技術(shù)：

1.標(biāo)記化（Tokenization）——標(biāo)記化是指提取重要的數(shù)據(jù)（例如信用卡號碼）并對其進行抽象化處理，使其變?yōu)榱硪淮疅o法用來牟利的數(shù)值。

2.交易加密（Transaction Encryption）——交易加密是指在信用卡資料輸入系統(tǒng)（例如POS終端或電子商務(wù)網(wǎng)站）時就對其加密，并將加密后的數(shù)據(jù)傳輸?shù)狡淠繕?biāo)系統(tǒng)，直到為完成交易而對其解密。交易加密斬斷了網(wǎng)絡(luò)罪犯利用竊取的信用卡資料在開放市場中獲利的途徑?！　?/P>

從商家的角度來看，標(biāo)記化和交易加密的目的是通過消除真正的信用卡資料在商家環(huán)節(jié)的暴露，從而有效地保護信用卡資料，并減輕商家遵守支付卡行業(yè)數(shù)據(jù)安全標(biāo)準（PCI DSS）的責(zé)任。盡管標(biāo)記化和交易加密技術(shù)還處于早期階段，但是許多商家希望現(xiàn)在就采用這兩項技術(shù)。事實上，美國技術(shù)和市場研究公司Forrester Research Inc最近的一項研究表明，支付卡行業(yè)提供成熟的、能夠得到行業(yè)認可的標(biāo)記化產(chǎn)品的能力還難以達到商家對采用標(biāo)記化技術(shù)的期望。

抽象化和加密信用卡資料是一種有效的信用卡安全解決方案，有可能使支付卡行業(yè)發(fā)生變革，并使交易鏈條中的所有利益相關(guān)者從中受益。然而，這兩項技術(shù)還不太成熟。因此，F(xiàn)orrester公司建議，在評價標(biāo)記化或交易加密產(chǎn)品時，安全和風(fēng)險專家應(yīng)該遵循以下步驟：

1. 循序漸進——考慮采用標(biāo)記化的安全和風(fēng)險專家一定要在合同中約定，自己選擇的供應(yīng)商有義務(wù)應(yīng)對支付生態(tài)系統(tǒng)的變化，而這種變化可能會影響供應(yīng)商提供的產(chǎn)品。每個供應(yīng)商提供的標(biāo)記化產(chǎn)品可能各不相同。當(dāng)一個系統(tǒng)接受研究人員和現(xiàn)實世界攻擊的驗證時，它可能會在以后被證明是有問題的或不安全的。這種情況在其他安全領(lǐng)域已經(jīng)發(fā)生過。例如，像WEP（有線等效協(xié)議）和LEAP（輕量級可擴展身份驗證協(xié)議）等無線協(xié)議都被發(fā)現(xiàn)是不安全的。由于美國信用卡和支付卡行業(yè)安全標(biāo)準委員會尚未充分考慮這一問題，因此要注意，現(xiàn)有的任何標(biāo)記化技術(shù)產(chǎn)品都只是對實施標(biāo)記化的適當(dāng)方式的猜測。

目前，采用標(biāo)記化技術(shù)的公司購買的是一種高度定制的產(chǎn)品。隨著時間的推移，市場將會調(diào)整實施標(biāo)記化的成本并使其保持穩(wěn)定。但是，早期采用標(biāo)記化技術(shù)的公司應(yīng)該做好交學(xué)費的心理準備?？梢灶A(yù)計，接受信用卡支付的公司很快將會采用標(biāo)記化和交易加密技術(shù)，因為與減輕數(shù)據(jù)泄露風(fēng)險和滿足客戶的迫切要求相比，這點短期成本是微不足道的。

2. 審查標(biāo)記化系統(tǒng)獲取信用卡資料的方式——重要的是要了解商家使用信用卡資料的兩種不同方式：有卡交易（Card-Present Transaction）和無卡交易（Card-Not-Present Transaction）。每種類型的交易都需要一個專門的產(chǎn)品，以采用標(biāo)記化技術(shù)。盡管有卡交易將是標(biāo)記化技術(shù)的主要應(yīng)用場合，但是無卡交易（即在線交易或電話交易）也可以使用標(biāo)記化技術(shù)增強安全性。

PCI DSS對這一問題的要求很可能基于在有卡交易中PIN碼輸入設(shè)備（PIN Entry Device，PED）獲取和加密信用卡資料的方式。要確保信用卡資料永遠不會以未加密的形式從PED設(shè)備傳輸?shù)狡渌到y(tǒng)。由于支付卡行業(yè)和信用卡安全的監(jiān)管機構(gòu)尚未認真考慮這一問題，所以一定要謹慎行事，將你的刷卡設(shè)備升級為支持加密的產(chǎn)品，在PED設(shè)備上使用硬件加密信用卡資料。

3. 擴展標(biāo)記化和交易加密技術(shù)的價值——雖然大多數(shù)公司考慮采用標(biāo)記化和交易加密技術(shù)是為了符合PCI DSS遵從性，但需要指出的是，其他數(shù)據(jù)也可能受益于這些技術(shù)。如果你在公司內(nèi)部實施了這些技術(shù)，你就能夠?qū)ζ渌舾袛?shù)據(jù)進行標(biāo)記化處理，例如個人身份信息（Personally Identifiable Information）或受保護的健康信息（Protected Health Information）。因此，可以將在標(biāo)記化信用卡資料上的投資價值擴展到幾乎任何其他類型的監(jiān)管數(shù)據(jù)，從而減輕你的總體法規(guī)遵從負擔(dān)。

【編輯推薦】

1. 權(quán)衡“端到端加密技術(shù)”和“標(biāo)記化技術(shù)”的優(yōu)缺點
2. 專家答疑：如何利用端到端加密保護數(shù)據(jù)