基于硬件的點(diǎn)到點(diǎn)加密技術(shù)得到支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)（Payment Card Industry Security Standards Council，簡(jiǎn)稱PCI SSC）的首肯，該委員會(huì)已經(jīng)發(fā)布已更新要求和測(cè)試步驟，以確保設(shè)備滿足最低程度的安全要求。

上個(gè)月該“PCI點(diǎn)到點(diǎn)加密解決方案要求及測(cè)試步驟”文檔已經(jīng)被修改，增加了新的指導(dǎo)意見，用于商戶實(shí)施經(jīng)過驗(yàn)證的點(diǎn)到點(diǎn)加密產(chǎn)品。該指導(dǎo)為加密提供商確立了測(cè)試步驟，它是用于驗(yàn)證或是證明點(diǎn)到點(diǎn)加密組件的名單的基礎(chǔ)。版本1.1的文檔也引入為合格安全評(píng)估員（Qualified Security Assessors，簡(jiǎn)稱QSA）的培訓(xùn)計(jì)劃，為那些能夠正確地評(píng)估點(diǎn)到點(diǎn)加密部署方案的安全評(píng)估員們提供專門的標(biāo)識(shí)。

“這個(gè)名單會(huì)朝著減少范圍的方向走很長(zhǎng)一段路，以便讓參與正確地選擇和實(shí)施點(diǎn)到點(diǎn)加密解決方案的每個(gè)人可以更容易地處理”，Diana Kelley說道。他是位于新罕布什爾州的咨詢公司Security Curve的一名合伙人。

這個(gè)新發(fā)布的文檔解決的是基于硬件的點(diǎn)到點(diǎn)加密，但是沒有涉及到基于軟件的加密。PCI SSC的CTO、Troy Leach談到委員會(huì)打算解決混合方案的測(cè)試要求，混合方案中軟件被用在硬件加密產(chǎn)品的某些組件中。Leach表示一個(gè)最終的文檔將會(huì)解決使用軟件作為解密機(jī)制用于所有加密密鑰的問題。他補(bǔ)充道，目標(biāo)是盡可能地徹底解決各種點(diǎn)到點(diǎn)加密技術(shù)實(shí)施中的問題。

在這個(gè)經(jīng)過修訂的文檔內(nèi)，商戶被要求選擇通過PCI DSS安全要求的交互點(diǎn)（point-of-interaction，簡(jiǎn)稱POI，是POS機(jī)的組件）設(shè)備用于PIN碼交易。該文檔要求考慮用點(diǎn)到點(diǎn)加密方案部署的商戶要負(fù)責(zé)與他們的收單銀行（即商戶合作銀行）緊密地協(xié)作，以便判斷可以實(shí)施哪些驗(yàn)證過的設(shè)備。

整個(gè)計(jì)劃都是自愿性質(zhì)的，Leach表示。但是之后這個(gè)指導(dǎo)會(huì)幫助商戶們正確地減少他們系統(tǒng)PCI DSS評(píng)估的范圍。他表示未來沒有計(jì)劃將點(diǎn)到點(diǎn)加密涵蓋到PCI DSS合規(guī)當(dāng)中。“這對(duì)于商戶們來說不僅是讓他們知道有解決方案、并且我們已經(jīng)知道它們，”Leach表示。“實(shí)際上這些測(cè)試要求不是為了商戶們，它們是用于開發(fā)產(chǎn)品的解決方案提供商。PCI委員會(huì)也在開發(fā)新的流水化自我評(píng)估問卷調(diào)查，以便讓3級(jí)和4級(jí)商戶更加容易地證明其環(huán)境滿足PCI合規(guī)標(biāo)準(zhǔn)。”

今年夏天會(huì)發(fā)布一份已驗(yàn)證點(diǎn)到點(diǎn)加密組件名單。在這個(gè)測(cè)試要求下，加密硬件設(shè)備必須包含所有的信用卡交易數(shù)據(jù)，來隔離商戶的持卡人數(shù)據(jù)環(huán)境。根據(jù)該文檔要求，賬戶數(shù)據(jù)總是直接地輸入到設(shè)備中、并且在傳輸前被加密。

該委員會(huì)的指導(dǎo)文檔也聲明所有與操作有關(guān)的賬戶數(shù)據(jù)將由通過驗(yàn)證的提供商管理。此外，該文檔聲明要求點(diǎn)到點(diǎn)加密提供商需要向商戶們提供概述他們職責(zé)和控制措施的指導(dǎo)手冊(cè)。#p#

PCI點(diǎn)到點(diǎn)加密故障處理

PCI委員會(huì)還增加了在點(diǎn)到點(diǎn)設(shè)備發(fā)生故障情況下商戶新的責(zé)任。如果商戶繼續(xù)接受信用卡支付，他必須與遵循與加密提供商之間專門的“選擇性退出”過程，告知提供商該商戶選擇在沒有點(diǎn)到點(diǎn)加密保護(hù)的情況下處理交易。Leach表示該過程讓商戶在設(shè)備發(fā)生故障情況下也能保持靈活。例如，某個(gè)零售店可能有數(shù)百名顧客排隊(duì)等待結(jié)賬，他可以決定盡管缺少加密手段，也處理這些交易。

“這個(gè)選擇性退出是意識(shí)到有可能發(fā)生技術(shù)上的問題。提供該關(guān)鍵加密服務(wù)的解決方案提供商必須意識(shí)到這個(gè)變化，以及導(dǎo)致的流程規(guī)避問題。所以在標(biāo)準(zhǔn)中有變通性，因?yàn)榭赡馨l(fā)生技術(shù)上的回退方案”。

PCI點(diǎn)到點(diǎn)加密解決方案：短暫的歷史、緩慢地采用

該P(yáng)CI委員會(huì)在2011年9月發(fā)布了點(diǎn)到點(diǎn)加密文檔的首個(gè)版本，表明正確實(shí)施的系統(tǒng)可以減少PCI DSS評(píng)估的范圍。之前該委員會(huì)認(rèn)為加密技術(shù)不太成熟，它希望最新的指導(dǎo)意見會(huì)讓商戶及加密服務(wù)提供商有辦法評(píng)估設(shè)備，并且確保它們滿足最小程度的安全要求，符合PCI DSS的精神。這些設(shè)備必須正確地與網(wǎng)絡(luò)的其余部分隔離開來，并且信用卡數(shù)據(jù)從被輸入的那一刻就必須加密，直到傳輸?shù)教幚矸胶豌y行系統(tǒng)。

這種技術(shù)的采用一直進(jìn)展緩慢，Mark Akins表示。他是一名QSA，同時(shí)也是位于佛羅里達(dá)Coral Springs市的合規(guī)評(píng)估咨詢公司 1st Secure IT的CEO。他表示要求QSA 進(jìn)行PCI評(píng)估的組織已經(jīng)在安全方面為了滿足PCI DSS做出大量投入，并且尚未取消和替換他們的支付終端，以便支持點(diǎn)到點(diǎn)加密。大多數(shù)的大型商戶在投資新的系統(tǒng)之前會(huì)一直等待到設(shè)備的使用期限為止。

“我認(rèn)為點(diǎn)到點(diǎn)加密解決方案是一件好事，它取消了對(duì)商戶的許多要求”，Akins說道。“它不是一種邊緣技術(shù)，而是一種尖端技術(shù)，在它成為主流技術(shù)前，我不認(rèn)為我們會(huì)看到太多的人尋找經(jīng)過培訓(xùn)的QSA來評(píng)估它”。

其它商戶依賴于服務(wù)提供商來處理信用卡，Akins談到。采用標(biāo)記化技術(shù)來去除信用卡數(shù)據(jù)已經(jīng)被服務(wù)提供商當(dāng)作一種SaaS選擇推向他們的客戶。咨詢公司Security Curve的Kelley談到，擁有較少支付終端的中小型企業(yè)很可能會(huì)首先使用點(diǎn)到點(diǎn)加密設(shè)備來確保支付數(shù)據(jù)的安全。如果使用它的話，小型商戶也只有極少的IT職員，它們會(huì)依賴于他們的收單銀行、支付處理器以及加密提供商的幫助和指導(dǎo)，Kelley表示。

這個(gè)新出爐的點(diǎn)到點(diǎn)加密驗(yàn)證計(jì)劃將會(huì)極大依賴于其它的PCI標(biāo)準(zhǔn)。設(shè)備必須滿足PIN碼交易安全（PIN Transaction Security，簡(jiǎn)稱PTS）要求。根據(jù)該文檔，用于加密和解密環(huán)境的密鑰操作使用源自PTS安全標(biāo)準(zhǔn)的密鑰管理做法。設(shè)備上的應(yīng)用必須滿足來自支付應(yīng)用數(shù)據(jù)安全標(biāo)準(zhǔn)（ Payment Application Data Security Standard ，簡(jiǎn)稱PA-DSS）的要求。并且最終該解密環(huán)境必須是滿足PCI DSS合規(guī)要求。