PCI令牌化問答:專家表示廠商需要化解分歧
PCI委員會已經(jīng)頒布了期盼已久的用來解決令牌化技術(shù)(PCI tokenization)使用的指南,以便淘汰來自廠商系統(tǒng)的主賬號(primary account numbers ,PANs)。據(jù)位于斯坦福的令牌化廠商Protegrity公司的CTO Ulf Mattson表示,盡管發(fā)布了該報告,令牌化市場還是受到許多問題的困擾。Mattson說,無數(shù)的令牌格式已經(jīng)造成廠商鎖定(vendor lock-in),限制商戶改變系統(tǒng)或使用多個支付處理器的能力。Mattson談到,其他的令牌化系統(tǒng)存在擴展性問題并且無法與別的形式的敏感數(shù)據(jù)類型交互。
Mattson是PCI令牌化特別興趣小組的成員,該組織幫助制定了最近的PCI令牌化指導(dǎo)文檔——“PCI令牌化指南(.pdf)”。他談到,該組織花了大概一年時間來規(guī)劃該文檔的細(xì)節(jié)。令牌化廠商長久以來對于許多細(xì)節(jié)包括支持的令牌格式和創(chuàng)建令牌的方法存在分歧。在訪談中Mattson解釋到,該PCI指導(dǎo)文檔是很好的***步,但是在該技術(shù)被全心全意地采用前,這個行業(yè)首先需要化解長久以來的爭議。
關(guān)于令牌化的新PCI指導(dǎo)文檔有多重要?
Ulf Mattson:我認(rèn)為這是十分必要的。雖然它來的有點晚。它是委員會關(guān)于令牌化的***確認(rèn),并且這是從PCI的角度證實令牌化道路的***步。除了這個附錄外,我們需要添加更多的步驟。不幸的是該補充說明包含了許多免責(zé)聲明。委員會和主要的信用卡品牌在***一刻添加了免責(zé)聲明。委員會還沒有計劃就此創(chuàng)建任何確認(rèn)。
提出一個可行的文檔有多困難?
Mattson:這是非常困難的,即使在大約一年前提出了關(guān)于Visa的建議。委員會表示想掌握領(lǐng)導(dǎo)權(quán),因為有太多的爭議。正由于有許多的波折才延緩了該文檔的最終定稿。
該文檔中缺少了什么?
Mattson:我認(rèn)為在最終階段許多具有爭議性的問題被遺留了下來。該指導(dǎo)文檔開始給技術(shù)一些權(quán)重(讓技術(shù)占文檔的一部分),但是這增加了比以前更多的問題。我認(rèn)為它缺少了廠商鎖定問題。當(dāng)你開始進(jìn)行令牌化時,替換令牌會更加困難。例如,如果你和某個外包合作伙伴或支付網(wǎng)關(guān)進(jìn)行令牌化,那你就真的無法脫身了。這些令牌是高度定制化的,且它們邊布你的應(yīng)用和數(shù)據(jù)庫。有時,它們緊密地集成到你的應(yīng)用中,因為某些應(yīng)用不會容許該令牌格式,所以必須有一些定制化和轉(zhuǎn)換。在這個文檔中應(yīng)該有一些關(guān)于鎖定方面的建議。
為什么這個市場的廠商不能夠團結(jié)起來并創(chuàng)建一個行業(yè)標(biāo)準(zhǔn),以便讓企業(yè)能更換令牌提供商?
Mattson:我目前在ASC X9標(biāo)準(zhǔn)機構(gòu)工作,該組織正在解決令牌化問題。我們正在朝著正確的方向前進(jìn),但是一些廠商正在推動他們的模型。例如,某個廠商正在使用一種加密格式并且他們稱之為令牌化。這是一個極端的例子,但是我們已經(jīng)看到了進(jìn)展。Visa的***實踐和PCI委員會的附錄都清晰地表明,想在范疇之外生成令牌是不能接受的方式。委員會解釋道,某個廠商的加密格式只不過是一個加密的主賬號,且是在PCI范疇內(nèi)加密的PAN。
還有其它問題延緩了標(biāo)準(zhǔn)出臺么?
Mattson:還有其它關(guān)于外包令牌化的爭議點。某些廠商主張如果你令牌化外包,你就真正地陷入到廠商鎖定的情形。所以,如果你需要兩個支付網(wǎng)關(guān)該怎么辦?你如何處理從一家支持解決方案提供商切換到另一家的問題?較大的商戶都想內(nèi)部完成該功能。如果我們觀察即將到來的數(shù)據(jù)泄漏法案,它不是只關(guān)于PAN的。這里有個關(guān)于PII數(shù)據(jù)、PHI數(shù)據(jù)和持卡人數(shù)據(jù)的問題,并且對于令牌化這些數(shù)據(jù)類型它們有類似的需要。對此(令牌化不同類型的數(shù)據(jù))奏效的唯一模型是自建(in-house)令牌化服務(wù)器。
該指導(dǎo)文檔說有可能減少令牌化的范圍,但是正如你所說,它里面有許多免責(zé)聲明。你怎么能充分地將組件從令牌化系統(tǒng)和持卡人數(shù)據(jù)環(huán)境中分離出來?
Mattson:如果去掉免責(zé)聲明,你會看到只有你的令牌服務(wù)器需要隔離。如果你有一個自建的令牌化服務(wù)器,你需要將它放在一個隔離的網(wǎng)段。這也是許多具有資格的安全顧問(Qualified Security Assessors,QSA)正在考慮的問題,哪些在范圍內(nèi)和哪些范圍外。
【編輯推薦】
