PCI安全標準委員會新出爐點到點加密指導概述測試步驟(1)
基于硬件的點到點加密技術得到支付卡行業安全標準委員會(Payment Card Industry Security Standards Council,簡稱PCI SSC)的首肯,該委員會已經發布已更新要求和測試步驟,以確保設備滿足最低程度的安全要求。
上個月該“PCI點到點加密解決方案要求及測試步驟”文檔已經被修改,增加了新的指導意見,用于商戶實施經過驗證的點到點加密產品。該指導為加密提供商確立了測試步驟,它是用于驗證或是證明點到點加密組件的名單的基礎。版本1.1的文檔也引入為合格安全評估員(Qualified Security Assessors,簡稱QSA)的培訓計劃,為那些能夠正確地評估點到點加密部署方案的安全評估員們提供專門的標識。
“這個名單會朝著減少范圍的方向走很長一段路,以便讓參與正確地選擇和實施點到點加密解決方案的每個人可以更容易地處理”,Diana Kelley說道。他是位于新罕布什爾州的咨詢公司Security Curve的一名合伙人。
這個新發布的文檔解決的是基于硬件的點到點加密,但是沒有涉及到基于軟件的加密。PCI SSC的CTO、Troy Leach談到委員會打算解決混合方案的測試要求,混合方案中軟件被用在硬件加密產品的某些組件中。Leach表示一個最終的文檔將會解決使用軟件作為解密機制用于所有加密密鑰的問題。他補充道,目標是盡可能地徹底解決各種點到點加密技術實施中的問題。
在這個經過修訂的文檔內,商戶被要求選擇通過PCI DSS安全要求的交互點(point-of-interaction,簡稱POI,是POS機的組件)設備用于PIN碼交易。該文檔要求考慮用點到點加密方案部署的商戶要負責與他們的收單銀行(即商戶合作銀行)緊密地協作,以便判斷可以實施哪些驗證過的設備。
整個計劃都是自愿性質的,Leach表示。但是之后這個指導會幫助商戶們正確地減少他們系統PCI DSS評估的范圍。他表示未來沒有計劃將點到點加密涵蓋到PCI DSS合規當中。“這對于商戶們來說不僅是讓他們知道有解決方案、并且我們已經知道它們,”Leach表示。“實際上這些測試要求不是為了商戶們,它們是用于開發產品的解決方案提供商。PCI委員會也在開發新的流水化自我評估問卷調查,以便讓3級和4級商戶更加容易地證明其環境滿足PCI合規標準。”
今年夏天會發布一份已驗證點到點加密組件名單。在這個測試要求下,加密硬件設備必須包含所有的信用卡交易數據,來隔離商戶的持卡人數據環境。根據該文檔要求,賬戶數據總是直接地輸入到設備中、并且在傳輸前被加密。
該委員會的指導文檔也聲明所有與操作有關的賬戶數據將由通過驗證的提供商管理。此外,該文檔聲明要求點到點加密提供商需要向商戶們提供概述他們職責和控制措施的指導手冊。#p#
PCI點到點加密故障處理
PCI委員會還增加了在點到點設備發生故障情況下商戶新的責任。如果商戶繼續接受信用卡支付,他必須與遵循與加密提供商之間專門的“選擇性退出”過程,告知提供商該商戶選擇在沒有點到點加密保護的情況下處理交易。Leach表示該過程讓商戶在設備發生故障情況下也能保持靈活。例如,某個零售店可能有數百名顧客排隊等待結賬,他可以決定盡管缺少加密手段,也處理這些交易。
“這個選擇性退出是意識到有可能發生技術上的問題。提供該關鍵加密服務的解決方案提供商必須意識到這個變化,以及導致的流程規避問題。所以在標準中有變通性,因為可能發生技術上的回退方案”。
PCI點到點加密解決方案:短暫的歷史、緩慢地采用
該PCI委員會在2011年9月發布了點到點加密文檔的首個版本,表明正確實施的系統可以減少PCI DSS評估的范圍。之前該委員會認為加密技術不太成熟,它希望最新的指導意見會讓商戶及加密服務提供商有辦法評估設備,并且確保它們滿足最小程度的安全要求,符合PCI DSS的精神。這些設備必須正確地與網絡的其余部分隔離開來,并且信用卡數據從被輸入的那一刻就必須加密,直到傳輸到處理方和銀行系統。
這種技術的采用一直進展緩慢,Mark Akins表示。他是一名QSA,同時也是位于佛羅里達Coral Springs市的合規評估咨詢公司 1st Secure IT的CEO。他表示要求QSA 進行PCI評估的組織已經在安全方面為了滿足PCI DSS做出大量投入,并且尚未取消和替換他們的支付終端,以便支持點到點加密。大多數的大型商戶在投資新的系統之前會一直等待到設備的使用期限為止。
“我認為點到點加密解決方案是一件好事,它取消了對商戶的許多要求”,Akins說道。“它不是一種邊緣技術,而是一種尖端技術,在它成為主流技術前,我不認為我們會看到太多的人尋找經過培訓的QSA來評估它”。
其它商戶依賴于服務提供商來處理信用卡,Akins談到。采用標記化技術來去除信用卡數據已經被服務提供商當作一種SaaS選擇推向他們的客戶。咨詢公司Security Curve的Kelley談到,擁有較少支付終端的中小型企業很可能會首先使用點到點加密設備來確保支付數據的安全。如果使用它的話,小型商戶也只有極少的IT職員,它們會依賴于他們的收單銀行、支付處理器以及加密提供商的幫助和指導,Kelley表示。
這個新出爐的點到點加密驗證計劃將會極大依賴于其它的PCI標準。設備必須滿足PIN碼交易安全(PIN Transaction Security,簡稱PTS)要求。根據該文檔,用于加密和解密環境的密鑰操作使用源自PTS安全標準的密鑰管理做法。設備上的應用必須滿足來自支付應用數據安全標準( Payment Application Data Security Standard ,簡稱PA-DSS)的要求。并且最終該解密環境必須是滿足PCI DSS合規要求。
