預(yù)計(jì)在今年晚些時(shí)候，支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)（PCI SSC）將發(fā)布一項(xiàng)關(guān)于使用標(biāo)記（tokens）來(lái)代替信用卡數(shù)據(jù)的指南，這次轉(zhuǎn)變可能會(huì)有利于那些出售“使用加密和標(biāo)記化以屏蔽卡上敏感數(shù)據(jù)”技術(shù)的支付處理商。

PCI SSC的總經(jīng)理Bob Russo在最近的一次采訪中表示，他并不希望看到PCI DDS會(huì)經(jīng)歷什么重大的改變，因?yàn)镻CI DDS在今年正經(jīng)歷著一次修訂。但是，這些正在制訂的指南文件可以幫助商家做出決定，即投資加密技術(shù)或者PCI標(biāo)記化技術(shù)是否是明智之舉。

Russo表示，“我們正在創(chuàng)建一個(gè)合適的框架，詳細(xì)地描述這些技術(shù)，并且把它們作為以后將要發(fā)布的標(biāo)準(zhǔn)，所以如果有人使用其中一種技術(shù)，這個(gè)框架就會(huì)讓他們知道他們是否符合某些特定要求?！?/P>

一些支付處理商和加密技術(shù)供應(yīng)商聯(lián)合起來(lái)，共同開(kāi)發(fā)了一種加密與標(biāo)記化技術(shù)相結(jié)合的軟件。當(dāng)支付卡在支付終端進(jìn)行刷卡時(shí)，此軟件可以保護(hù)卡的數(shù)據(jù)。EMC公司的安全部門RSA正在與First Data公司合作，以便在First Data公司出售給商家的加密服務(wù)中添加標(biāo)記化技術(shù)。Voltage Security公司目前在銷售一種與標(biāo)記化相結(jié)合的加密技術(shù)，并正與Heartland支付系統(tǒng)公司緊密合作，以提供加密和標(biāo)記化產(chǎn)品服務(wù)。

根據(jù)行業(yè)的不同，有些商家能夠在他們自己的服務(wù)器上存儲(chǔ)加密數(shù)據(jù)、或者用標(biāo)記去代替數(shù)據(jù)；有些則把數(shù)據(jù)發(fā)送到支付處理商的系統(tǒng)上，在那里存儲(chǔ)起來(lái)以備日后使用。一位業(yè)內(nèi)專家指出，此PCI指南很清楚的表明，如果商家沒(méi)有訪問(wèn)敏感數(shù)據(jù)的能力，他們也可以獲得PCI認(rèn)證。

Heartland公司推出了它的E3系統(tǒng)。Homeport是一家家庭裝飾商店，該商店的所有者M(jìn)ark Bouchett一直在對(duì)HeartLand E3系統(tǒng)中的一個(gè)加密終端進(jìn)行測(cè)試。他的商店里運(yùn)行了一個(gè)單一終端，這個(gè)終端的處理能力比較低，一年內(nèi)最多只能處理三萬(wàn)份信息卡交易，但是Bouchett表示他看到了給用戶提供更多保護(hù)所帶來(lái)的好處。

Bouchett表示，“我們是家庭生意，所以我不想讓我的客戶受到損失，只想他們稱心如意?！?/P>

Bouchett表示，在HeartLand E3系統(tǒng)中，交易在加密終端被立即加密，并且傳回HeartLand。Bouchett曾經(jīng)使用過(guò)HeartLand公司的一種基于電話的系統(tǒng)，這種系統(tǒng)需要他把卡數(shù)據(jù)在自己的系統(tǒng)上存儲(chǔ)24小時(shí)。

他表示，“如果它不妨礙交易過(guò)程并且消除了風(fēng)險(xiǎn)，那么這對(duì)任何人來(lái)說(shuō)都有好處?！?/P>

Bouchett表示，E3終端可以完全加密刷卡信息，并且速度很快，但是它缺少一個(gè)PIN鍵盤，并且可視化界面也非常陳舊。HeartLand的一位發(fā)言人表示，目前版本的產(chǎn)品具有相同的加密能力，但是具有更多的新功能。

Voltage公司的首席技術(shù)官Terence Spies表示，Voltage公司可以提供與眾不同的基于身份識(shí)別的加密技術(shù)，這是一種公共密鑰技術(shù)，可以讓Voltage在密鑰服務(wù)器上產(chǎn)生公共密鑰，然后再產(chǎn)生與之相匹配的私人密鑰。這讓商家能夠在售貨點(diǎn)對(duì)數(shù)據(jù)進(jìn)行加密，而不必?fù)碛兴饺嗣荑€，從而避免訪問(wèn)敏感的信用卡數(shù)據(jù)。

Spies表示，“采用這種加密方式以后，即便是攻擊者控制了售貨點(diǎn)并訪問(wèn)里面的數(shù)據(jù)，他也不能獲得任何有用的數(shù)據(jù)?！?

Spies指出，基于身份識(shí)別的加密技術(shù)能夠讓商家們繼續(xù)在交易系統(tǒng)中使用信用卡卡號(hào)的一

部分?jǐn)?shù)字，從而防止欺詐或?qū)⑵溆迷谄渌奶幚磉^(guò)程上。他還指出，小型企業(yè)可以將這些工作外包給支付處理商，但是那些需要在自己服務(wù)器上存儲(chǔ)永久賬戶號(hào)碼（PAN）數(shù)據(jù)的大型企業(yè)則可能需要在公司內(nèi)部設(shè)置密鑰管理功能。

Spies表示，“這更像是技術(shù)架構(gòu)的決定，而不是讓你去選擇一個(gè)現(xiàn)成的技術(shù)?！?/P>

支付處理商ProPay公司專注于不需要銀行卡的交易以及電子商務(wù)交易。該公司的執(zhí)行副總裁Chris Mark（他以前是一位QSA）表示，他估計(jì)許多商家會(huì)采用更多的外包服務(wù)，這些服務(wù)能夠讓他們要求支付處理商去處理與資費(fèi)統(tǒng)計(jì)、退貨以及其他交易問(wèn)題相關(guān)的各種數(shù)據(jù)。

Mark指出，“你無(wú)法對(duì)整個(gè)行業(yè)做出整體評(píng)論，因?yàn)槊總€(gè)商家在市場(chǎng)中都有自己特殊的處理過(guò)程。旅館行業(yè)就是一個(gè)很典型的例子，在旅館中消除卡的數(shù)據(jù)就非常棘手，因?yàn)槿藗兛倳?huì)在逗留期間持續(xù)地使用信用卡，對(duì)各種物品或者服務(wù)進(jìn)行支付?！?/P>

【編輯推薦】

1. 銀行賬戶數(shù)據(jù)應(yīng)該加入PCI安全要求嗎？
2. 由PCI保障持卡人數(shù)據(jù)安全看國(guó)內(nèi)支付安全