支付卡行業(yè)安全標準委員會(PCI SSC)首次審核通過了基于硬件的點到點加密(P2PE)產(chǎn)品，該委員會領導層稱，這是確保支付交易安全的重要一步。

總部設在英國的European Payment Services公司是第一家通過審核的銷售點(PoS)供應商，其產(chǎn)品EPS托管支付平臺被認定為P2PE認證產(chǎn)品。這種認證意味著企業(yè)不僅可以使用它來確保純文本持卡人數(shù)據(jù)從其支付環(huán)境刪除，也可以簡化支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS )的評估工作。

如果使用經(jīng)認證的P2PE產(chǎn)品來接受和處理支付款交易的話，商家可以減少PCI DSS評估的范圍，通常避免了PCI QSA的審查及其要求的廣泛歸檔工作。

在法國尼斯舉行的2013年歐洲社區(qū)會議上，支付卡行業(yè)安全標準委員會宣布了這一消息，該委員會多年來都在致力于促進商家和收單銀行之間的P2PE部署，這個消息是迄今為止最新的也許是最重要的舉措。

PCI SSC主席Rob Russo表示，即將到來的P2PE認證產(chǎn)品將幫助商家了解P2PE的安全性和合規(guī)性優(yōu)勢，并激勵所有支付處理技術供應商確保其PoS產(chǎn)品符合SSC的規(guī)范，以給我們帶來更安全的產(chǎn)品。

“從商家方面來看，這絕對是好消息，”Russo表示，“這項技術將會使合規(guī)過程更容易，更重要的是，讓銀行卡數(shù)據(jù)更安全。”

基于硬件的PoS加密如何運作

該技術采用SSC在2012年5月制定的P2PE要求和測試標準，這個技術是作為商家使用的PoS系統(tǒng)以及收單銀行使用的后端銀行卡處理系統(tǒng)的一部分。當銀行卡在PoS被讀取時，銀行卡數(shù)據(jù)會立即被加密，這里可能通過傳統(tǒng)的刷卡方式，或者通過ATM機、加油站和自動售貨機的“吞入式”系統(tǒng)。然后這些數(shù)據(jù)會以加密形式傳輸?shù)绞諉毋y行，在那里這些數(shù)據(jù)會由符合類似要求的系統(tǒng)來解密。SSC計劃到明年敲定解密技術要求。

EPS托管支付平臺依賴于基于硬件的加密技術，這種技術位于PoS內PIN輸入設備(PED)。每個商家都有獨特的加密密鑰和CA證書，它們在生成時就被構建到PED。隨后這個EPS平臺將管理每個交易以確保交易由預定的目標來路由和解密。這個EPS產(chǎn)品還利用了PED內置的證書來驗證每個PED，這個控制可以用來識別卡略讀設備以及其他流氓PED。

使用傳統(tǒng)PoS技術的商家可能需要升級或者替換其系統(tǒng)來享受基于硬件加密的優(yōu)勢，但并非總是如此。PCI SSC的首席技術官Troy Leach表示，很多商家現(xiàn)有的PoS系統(tǒng)已經(jīng)具備必備的技術來利用P2PE。

作為實現(xiàn)PoS基于硬件加密的規(guī)劃工作和開發(fā)基礎的一部分，Leach表示，在2010年，SSC推出了指導方針《安全讀取和交換數(shù)據(jù)(SRED)》，其中描述了PoS系統(tǒng)的硬件加密最佳做法，很多供應商多年來都在使用SRED開發(fā)產(chǎn)品。

Russo拒絕透露有多少P2PE產(chǎn)品目前正在接受審核過程，這些產(chǎn)品將由特定PePE評估人員進行審核，他表示希望在未來兩年內看到上百個甚至更多的產(chǎn)品出現(xiàn)在SSC的列表中。

“在宣布第一個產(chǎn)品后，想要出現(xiàn)在這個列表中的供應商們將會開始開展很多活動，”Russo表示，“供應商會覺得如果不在名單上，他們會顯得很打眼。”

基于軟件的加密：進展中的工作

Leach表示，現(xiàn)在的公告表明SSC正在努力將經(jīng)過認證的基于硬件的P2PE技術推向市場，但這方面還有很多工作需要做。由70名成員組成的SSC任務組正在制定下一個版本的P2PE要求，這將會為基于軟件的支付卡加密產(chǎn)品定義要求和部署指南。

基于軟件的加密技術帶來很大的挑戰(zhàn)。因為加密專家表示，基于硬件的加密更不太容易受到破壞，因為密鑰和證書可以被硬編碼到設備，而軟件則很容易被精明的攻擊者攻破。

“我們需要有證據(jù)證明當軟件解決方案部署在零售商處時，不會受到攻擊，”Leach表示，“特別是當你面臨獨特挑戰(zhàn)時，例如無人值守的交易—可能沒有相關的收銀員。”

Leach表示基于軟件的加密產(chǎn)品指導將于2014年發(fā)布。