在過去的幾個月里，PCI Knowledge Base一直在對商業風險委員會有關欺詐和欺詐管理的支付卡行業法規標準的影響進行系統化研究。我們所了解的一點是，總的來說支付卡行業控制在減少內部欺詐方面是最有效的。

有些控制措施是著眼于限制有權使用信用卡數據的員工數量，有的措施則是注重將多數員工使用的系統與持卡人數據環境相分離。不過支付安全領域的最熱門趨勢是兩種作為標準使用的技術。他們就是令牌網和端到端加密。

端到端加密目前解決的主要是內部風險問題。對于很多公司來說，加密不是集中進行管理的。它是一種可以輕松增加到應用軟件中的特性;它可以存在于操作系統，數據庫，POS設備等等之中。甚至在持卡人環境中，部署各種不同加密和多重密鑰管理系統的情況也很常見。

在這種情況下，支付卡數據可能必須通過內部的多重系統才能到達要求的銀行或者處理器。結果就是令人不勝其煩的"加密，解密，再加密"的各種環節，這也為未經授權的內部風險制造了缺口。

使用端到端加密的公司對進入點數據進行加密(比如說POS，電子商務支付軟件和呼叫中心軟件)，然后將加密的數據通過傳遞流程傳遞到接收方。支付卡號碼不會以未經加密的狀態存儲在零售方設備上。

幾種用于POS渠道和五花八門產品的設備也可以用于電子商務渠道，但是如果企業堅持將這些數據存儲和使用于其他應用軟件，那么這些設備中的任何一種都可能無法發揮作用。

端到端的另外一個關鍵點是，一些企業關注于企業對端到端的看法，而不是將終端作為接收方來定義。另外，在一些企業中用來處理返款的協議可以會在端到端環節中陷入混亂。

關于加密需要謹記的是端到端加密是12種支付卡行業控制方法中的一種。看起來在2010年秋季推出的PCI DSS需求新一代版本中不太可能會刪除其他11種PCI DSS控制，原因是每種控制都有其使用的地方。

另外，關于令牌能解決所有問題的探討眾說紛紜。令牌網是通過代理號碼或者令牌來替換信用卡號碼或者其他機密數據，然后將這些支付卡數據集中(或者外包)來減少內部風險。

在理想的世界里這種構思是可能的。不過在我們的研究當中，我們發現沒有一家任何大型企業能夠完全將支付卡數據刪除或者外包，即使他們部署了令牌網。造成這種事實的原因包括企業需求，更改他們生產型應用軟件所需的成本和實際查找和清除所有支付卡數據的難度。

另一方面，一些渠道單一或者采用高度集中數據體系架構的小型企業在應對令牌數據處理和法規遵從難題方面是最成功的。因此無論保存何種信用卡數據，這些企業都需要采用加密來符合法規需求和減少內部風險。

我們的研究預測，在未來兩到三年內端到端加密和令牌網將在幾乎所有的大型和中型企業中并存。一方取代另一方都需要將大型的，多渠道零售商或者服務提供商考慮在內。