自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

PCI令牌化問答:專家表示廠商需要化解分歧

作者:佚名
安全
盡管PCI令牌化指南已經(jīng)發(fā)布,但令牌化市場還是受許多問題的困擾。本文專家將同我們談談令牌化市場還面臨著哪些問題,以及這些問題該如何解決。

PCI委員會已經(jīng)頒布了期盼已久的用來解決令牌化技術(PCI tokenization)使用的指南,以便淘汰來自廠商系統(tǒng)的主賬號(primary account numbers ,PANs)。據(jù)位于斯坦福的令牌化廠商Protegrity公司的CTO Ulf Mattson表示,盡管發(fā)布了該報告,令牌化市場還是受到許多問題的困擾。Mattson說,無數(shù)的令牌格式已經(jīng)造成廠商鎖定(vendor lock-in),限制商戶改變系統(tǒng)或使用多個支付處理器的能力。Mattson談到,其他的令牌化系統(tǒng)存在擴展性問題并且無法與別的形式的敏感數(shù)據(jù)類型交互。

Mattson是PCI令牌化特別興趣小組的成員,該組織幫助制定了最近的PCI令牌化指導文檔——“PCI令牌化指南(.pdf)”。他談到,該組織花了大概一年時間來規(guī)劃該文檔的細節(jié)。令牌化廠商長久以來對于許多細節(jié)包括支持的令牌格式和創(chuàng)建令牌的方法存在分歧。在訪談中Mattson解釋到,該PCI指導文檔是很好的***步,但是在該技術被全心全意地采用前,這個行業(yè)首先需要化解長久以來的爭議。

關于令牌化的新PCI指導文檔有多重要?

Ulf Mattson:我認為這是十分必要的。雖然它來的有點晚。它是委員會關于令牌化的***確認,并且這是從PCI的角度證實令牌化道路的***步。除了這個附錄外,我們需要添加更多的步驟。不幸的是該補充說明包含了許多免責聲明。委員會和主要的信用卡品牌在***一刻添加了免責聲明。委員會還沒有計劃就此創(chuàng)建任何確認。

提出一個可行的文檔有多困難?

Mattson:這是非常困難的,即使在大約一年前提出了關于Visa的建議。委員會表示想掌握領導權,因為有太多的爭議。正由于有許多的波折才延緩了該文檔的最終定稿。

該文檔中缺少了什么?

Mattson:我認為在最終階段許多具有爭議性的問題被遺留了下來。該指導文檔開始給技術一些權重(讓技術占文檔的一部分),但是這增加了比以前更多的問題。我認為它缺少了廠商鎖定問題。當你開始進行令牌化時,替換令牌會更加困難。例如,如果你和某個外包合作伙伴或支付網(wǎng)關進行令牌化,那你就真的無法脫身了。這些令牌是高度定制化的,且它們邊布你的應用和數(shù)據(jù)庫。有時,它們緊密地集成到你的應用中,因為某些應用不會容許該令牌格式,所以必須有一些定制化和轉換。在這個文檔中應該有一些關于鎖定方面的建議。

為什么這個市場的廠商不能夠團結起來并創(chuàng)建一個行業(yè)標準,以便讓企業(yè)能更換令牌提供商?

Mattson:我目前在ASC X9標準機構工作,該組織正在解決令牌化問題。我們正在朝著正確的方向前進,但是一些廠商正在推動他們的模型。例如,某個廠商正在使用一種加密格式并且他們稱之為令牌化。這是一個極端的例子,但是我們已經(jīng)看到了進展。Visa的***實踐和PCI委員會的附錄都清晰地表明,想在范疇之外生成令牌是不能接受的方式。委員會解釋道,某個廠商的加密格式只不過是一個加密的主賬號,且是在PCI范疇內加密的PAN。

還有其它問題延緩了標準出臺么?

Mattson:還有其它關于外包令牌化的爭議點。某些廠商主張如果你令牌化外包,你就真正地陷入到廠商鎖定的情形。所以,如果你需要兩個支付網(wǎng)關該怎么辦?你如何處理從一家支持解決方案提供商切換到另一家的問題?較大的商戶都想內部完成該功能。如果我們觀察即將到來的數(shù)據(jù)泄漏法案,它不是只關于PAN的。這里有個關于PII數(shù)據(jù)、PHI數(shù)據(jù)和持卡人數(shù)據(jù)的問題,并且對于令牌化這些數(shù)據(jù)類型它們有類似的需要。對此(令牌化不同類型的數(shù)據(jù))奏效的唯一模型是自建(in-house)令牌化服務器。

該指導文檔說有可能減少令牌化的范圍,但是正如你所說,它里面有許多免責聲明。你怎么能充分地將組件從令牌化系統(tǒng)和持卡人數(shù)據(jù)環(huán)境中分離出來?

Mattson:如果去掉免責聲明,你會看到只有你的令牌服務器需要隔離。如果你有一個自建的令牌化服務器,你需要將它放在一個隔離的網(wǎng)段。這也是許多具有資格的安全顧問(Qualified Security Assessors,QSA)正在考慮的問題,哪些在范圍內和哪些范圍外。

【編輯推薦】

  1. 微軟***發(fā)布IE 10兼容性補丁
  2. 瞻博網(wǎng)絡云計算防御平臺擴展殺毒保護功能
  3. 盜竊QQ號碼或判刑?“兩高”頒法量化網(wǎng)絡犯罪
  4. 摩寶公司獲得央行第三方支付牌照
  5. 賽諾2011Q2手機安全調研 網(wǎng)秦市場份額排名***
責任編輯:Writer 來源: tt網(wǎng)絡
PCI令牌化PCI令牌化令牌化市場
相關推薦

2013-04-11 09:21:46

PaaS平臺即服務PaaS產(chǎn)品

2015-12-01 11:12:15

令牌化技術PCI DSS合規(guī)

2009-11-06 14:05:11

全國網(wǎng)管技能水平考試金牌網(wǎng)管師

2009-08-15 11:20:33

支付安全信息化信息安全

2018-09-03 14:52:00

2010-06-28 17:26:02

UML類圖關系

2009-05-04 15:02:38

信息化

2018-10-25 15:22:30

AI攻擊網(wǎng)絡安全

2013-04-19 09:10:23

SDN大數(shù)據(jù)Internet2

2013-06-03 09:50:27

虛擬化虛擬化解決方案

2013-05-27 09:21:05

虛擬化IT企業(yè)應用

2009-11-23 19:47:57

ibmdwLinux

2010-12-16 11:03:07

2013-09-16 09:49:58

云手機AndroidiPhone

2011-07-21 10:20:39

2011-09-25 10:33:22

2011-06-03 10:14:13

虛擬化網(wǎng)絡

2013-06-06 10:19:23

虛擬化解決方案虛擬化

2011-12-12 19:36:30

微軟

2010-06-02 19:47:41

點贊
收藏

51CTO技術棧公眾號