利用標(biāo)記化和交易加密減輕信用卡風(fēng)險(xiǎn)
要不了多久,信用卡資料就會一文不值,這確實(shí)是件好事。信用卡安全正在從設(shè)置障礙防止信用卡資料被竊取轉(zhuǎn)向使信用卡資料無法用于牟利。通過對信用卡資料進(jìn)行抽象化處理,使真正的信用卡資料無法輕易甚至根本不能從抽象化的數(shù)據(jù)中推導(dǎo)出來,使用抽象的數(shù)據(jù)替代真正的信用卡資料,而抽象的數(shù)據(jù)只在單次交易的特定上下文中有效。這種方法可能能更有效地保護(hù)信用卡資料和減輕信用卡風(fēng)險(xiǎn)。
這種保護(hù)信用卡資料的理想方法的重要基礎(chǔ)是兩種既相互關(guān)聯(lián)又相互獨(dú)立的技術(shù):
1.標(biāo)記化(Tokenization)——標(biāo)記化是指提取重要的數(shù)據(jù)(例如信用卡號碼)并對其進(jìn)行抽象化處理,使其變?yōu)榱硪淮疅o法用來牟利的數(shù)值。
2.交易加密(Transaction Encryption)——交易加密是指在信用卡資料輸入系統(tǒng)(例如POS終端或電子商務(wù)網(wǎng)站)時(shí)就對其加密,并將加密后的數(shù)據(jù)傳輸?shù)狡淠繕?biāo)系統(tǒng),直到為完成交易而對其解密。交易加密斬?cái)嗔司W(wǎng)絡(luò)罪犯利用竊取的信用卡資料在開放市場中獲利的途徑。
從商家的角度來看,標(biāo)記化和交易加密的目的是通過消除真正的信用卡資料在商家環(huán)節(jié)的暴露,從而有效地保護(hù)信用卡資料,并減輕商家遵守支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)的責(zé)任。盡管標(biāo)記化和交易加密技術(shù)還處于早期階段,但是許多商家希望現(xiàn)在就采用這兩項(xiàng)技術(shù)。事實(shí)上,美國技術(shù)和市場研究公司Forrester Research Inc最近的一項(xiàng)研究表明,支付卡行業(yè)提供成熟的、能夠得到行業(yè)認(rèn)可的標(biāo)記化產(chǎn)品的能力還難以達(dá)到商家對采用標(biāo)記化技術(shù)的期望。
抽象化和加密信用卡資料是一種有效的信用卡安全解決方案,有可能使支付卡行業(yè)發(fā)生變革,并使交易鏈條中的所有利益相關(guān)者從中受益。然而,這兩項(xiàng)技術(shù)還不太成熟。因此,F(xiàn)orrester公司建議,在評價(jià)標(biāo)記化或交易加密產(chǎn)品時(shí),安全和風(fēng)險(xiǎn)專家應(yīng)該遵循以下步驟:
1. 循序漸進(jìn)——考慮采用標(biāo)記化的安全和風(fēng)險(xiǎn)專家一定要在合同中約定,自己選擇的供應(yīng)商有義務(wù)應(yīng)對支付生態(tài)系統(tǒng)的變化,而這種變化可能會影響供應(yīng)商提供的產(chǎn)品。每個(gè)供應(yīng)商提供的標(biāo)記化產(chǎn)品可能各不相同。當(dāng)一個(gè)系統(tǒng)接受研究人員和現(xiàn)實(shí)世界攻擊的驗(yàn)證時(shí),它可能會在以后被證明是有問題的或不安全的。這種情況在其他安全領(lǐng)域已經(jīng)發(fā)生過。例如,像WEP(有線等效協(xié)議)和LEAP(輕量級可擴(kuò)展身份驗(yàn)證協(xié)議)等無線協(xié)議都被發(fā)現(xiàn)是不安全的。由于美國信用卡和支付卡行業(yè)安全標(biāo)準(zhǔn)委員會尚未充分考慮這一問題,因此要注意,現(xiàn)有的任何標(biāo)記化技術(shù)產(chǎn)品都只是對實(shí)施標(biāo)記化的適當(dāng)方式的猜測。
目前,采用標(biāo)記化技術(shù)的公司購買的是一種高度定制的產(chǎn)品。隨著時(shí)間的推移,市場將會調(diào)整實(shí)施標(biāo)記化的成本并使其保持穩(wěn)定。但是,早期采用標(biāo)記化技術(shù)的公司應(yīng)該做好交學(xué)費(fèi)的心理準(zhǔn)備。可以預(yù)計(jì),接受信用卡支付的公司很快將會采用標(biāo)記化和交易加密技術(shù),因?yàn)榕c減輕數(shù)據(jù)泄露風(fēng)險(xiǎn)和滿足客戶的迫切要求相比,這點(diǎn)短期成本是微不足道的。
2. 審查標(biāo)記化系統(tǒng)獲取信用卡資料的方式——重要的是要了解商家使用信用卡資料的兩種不同方式:有卡交易(Card-Present Transaction)和無卡交易(Card-Not-Present Transaction)。每種類型的交易都需要一個(gè)專門的產(chǎn)品,以采用標(biāo)記化技術(shù)。盡管有卡交易將是標(biāo)記化技術(shù)的主要應(yīng)用場合,但是無卡交易(即在線交易或電話交易)也可以使用標(biāo)記化技術(shù)增強(qiáng)安全性。
PCI DSS對這一問題的要求很可能基于在有卡交易中PIN碼輸入設(shè)備(PIN Entry Device,PED)獲取和加密信用卡資料的方式。要確保信用卡資料永遠(yuǎn)不會以未加密的形式從PED設(shè)備傳輸?shù)狡渌到y(tǒng)。由于支付卡行業(yè)和信用卡安全的監(jiān)管機(jī)構(gòu)尚未認(rèn)真考慮這一問題,所以一定要謹(jǐn)慎行事,將你的刷卡設(shè)備升級為支持加密的產(chǎn)品,在PED設(shè)備上使用硬件加密信用卡資料。
3. 擴(kuò)展標(biāo)記化和交易加密技術(shù)的價(jià)值——雖然大多數(shù)公司考慮采用標(biāo)記化和交易加密技術(shù)是為了符合PCI DSS遵從性,但需要指出的是,其他數(shù)據(jù)也可能受益于這些技術(shù)。如果你在公司內(nèi)部實(shí)施了這些技術(shù),你就能夠?qū)ζ渌舾袛?shù)據(jù)進(jìn)行標(biāo)記化處理,例如個(gè)人身份信息(Personally Identifiable Information)或受保護(hù)的健康信息(Protected Health Information)。因此,可以將在標(biāo)記化信用卡資料上的投資價(jià)值擴(kuò)展到幾乎任何其他類型的監(jiān)管數(shù)據(jù),從而減輕你的總體法規(guī)遵從負(fù)擔(dān)。
【編輯推薦】
