支付卡行業安全標準委員會(PCI SSC)首次審核通過了基于硬件的點到點加密(P2PE)產品，該委員會領導層稱，這是確保支付交易安全的重要一步。

總部設在英國的European Payment Services公司是第一家通過審核的銷售點(PoS)供應商，其產品EPS托管支付平臺被認定為P2PE認證產品。這種認證意味著企業不僅可以使用它來確保純文本持卡人數據從其支付環境刪除，也可以簡化支付卡行業數據安全標準(PCI DSS )的評估工作。

如果使用經認證的P2PE產品來接受和處理支付款交易的話，商家可以減少PCI DSS評估的范圍，通常避免了PCI QSA的審查及其要求的廣泛歸檔工作。

在法國尼斯舉行的2013年歐洲社區會議上，支付卡行業安全標準委員會宣布了這一消息，該委員會多年來都在致力于促進商家和收單銀行之間的P2PE部署，這個消息是迄今為止最新的也許是最重要的舉措。

PCI SSC主席Rob Russo表示，即將到來的P2PE認證產品將幫助商家了解P2PE的安全性和合規性優勢，并激勵所有支付處理技術供應商確保其PoS產品符合SSC的規范，以給我們帶來更安全的產品。

“從商家方面來看，這絕對是好消息，”Russo表示，“這項技術將會使合規過程更容易，更重要的是，讓銀行卡數據更安全。”

基于硬件的PoS加密如何運作

該技術采用SSC在2012年5月制定的P2PE要求和測試標準，這個技術是作為商家使用的PoS系統以及收單銀行使用的后端銀行卡處理系統的一部分。當銀行卡在PoS被讀取時，銀行卡數據會立即被加密，這里可能通過傳統的刷卡方式，或者通過ATM機、加油站和自動售貨機的“吞入式”系統。然后這些數據會以加密形式傳輸到收單銀行，在那里這些數據會由符合類似要求的系統來解密。SSC計劃到明年敲定解密技術要求。

EPS托管支付平臺依賴于基于硬件的加密技術，這種技術位于PoS內PIN輸入設備(PED)。每個商家都有獨特的加密密鑰和CA證書，它們在生成時就被構建到PED。隨后這個EPS平臺將管理每個交易以確保交易由預定的目標來路由和解密。這個EPS產品還利用了PED內置的證書來驗證每個PED，這個控制可以用來識別卡略讀設備以及其他流氓PED。

使用傳統PoS技術的商家可能需要升級或者替換其系統來享受基于硬件加密的優勢，但并非總是如此。PCI SSC的首席技術官Troy Leach表示，很多商家現有的PoS系統已經具備必備的技術來利用P2PE。

作為實現PoS基于硬件加密的規劃工作和開發基礎的一部分，Leach表示，在2010年，SSC推出了指導方針《安全讀取和交換數據(SRED)》，其中描述了PoS系統的硬件加密最佳做法，很多供應商多年來都在使用SRED開發產品。

Russo拒絕透露有多少P2PE產品目前正在接受審核過程，這些產品將由特定PePE評估人員進行審核，他表示希望在未來兩年內看到上百個甚至更多的產品出現在SSC的列表中。

“在宣布第一個產品后，想要出現在這個列表中的供應商們將會開始開展很多活動，”Russo表示，“供應商會覺得如果不在名單上，他們會顯得很打眼。”

基于軟件的加密：進展中的工作

Leach表示，現在的公告表明SSC正在努力將經過認證的基于硬件的P2PE技術推向市場，但這方面還有很多工作需要做。由70名成員組成的SSC任務組正在制定下一個版本的P2PE要求，這將會為基于軟件的支付卡加密產品定義要求和部署指南。

基于軟件的加密技術帶來很大的挑戰。因為加密專家表示，基于硬件的加密更不太容易受到破壞，因為密鑰和證書可以被硬編碼到設備，而軟件則很容易被精明的攻擊者攻破。

“我們需要有證據證明當軟件解決方案部署在零售商處時，不會受到攻擊，”Leach表示，“特別是當你面臨獨特挑戰時，例如無人值守的交易—可能沒有相關的收銀員。”

Leach表示基于軟件的加密產品指導將于2014年發布。