一个代表全球22家最大银行的组织正在推动在美国广泛采用一种名为“令牌化”的支付卡技术,并指出未来两年计划向Europay MasterCard Visa智能卡标准迁移的缺陷。
一个代表全球22家最大银行的组织正在推动在美国广泛采用一种被称为“标记化”的支付卡技术,并指出未来两年计划迁移至Europay MasterCard Visa (EMV)智能卡标准存在的缺陷。
清算房屋付款公司(TCH),其业主包括美国银行,花旗银行,首都一和JP摩根大通,正在与会员银行合作,看看如何应用于在线和移动支付环境以防止欺诈。
该组织表示,这一努力源于需要解决EMV标准中涉及移动和在线交易的差距。
The Clearing House负责产品开发和管理的高级副总裁戴夫·福特尼(Dave Fortney)表示,“EMV已经存在了近20年”,并很好地发挥了其作用。
基于EMV技术的借记卡和信用卡使用嵌入式微芯片,而不是磁条来存储数据,被认为几乎不可能被复制用于欺诈目的。虽然世界其他国家在几年前就开始使用这一技术,但美国已经做到了由于各种原因而落后.
然而,最近之后违反目标暴露于40万次借记卡和信用卡的数据,呼吁采用美国的标准变得更加尖锐。万事达卡和签证已表示,他们希望商家和银行准备到2015年10月开始接受EMV卡。
福特尼说,虽然计划迁移有其好处,但EMV并不是许多人认为的灵丹妙药。EMV的缺点是,它是在没有互联网、没有电子商务的时候创建的智能手机和不平板电脑."
虽然EMV在确保销售点终端的银行卡交易方面非常有效,但它在在线支付和其他非银行卡交易方面用处不大。这是支付卡诈骗从销售点系统转移到欧洲和其他已经采用EMV的地方的在线渠道的主要原因之一。
Fortney指出,支付卡代币化是解决这一差距的一种方法。
令牌化是通过用唯一的随机生成的数字序列,字母数字字符或截断平移和随机字母数字序列的组合来保护卡数据来保护卡数据的方法。
令牌通常与原始平移的长度和格式相同,因此它看起来与后端交易处理系统,应用程序和应用程序的标准支付卡号没有不同存储.
随机序列或“令牌”作为实际PAN的替代值,而在处理事务时或者数据在零售商的系统内部静置时。令牌可以随时向其真实相关的PAN值逆转,右解密密钥。令牌可以是单一使用令牌或多用途标记。
Fortney表示,通证化消除了商家、电子商务网站和移动钱包运营商在其网络中存储敏感支付卡数据的需要。
通过令牌化,信用卡和借记卡数据在捕获并发送到商家的支付处理器的位置加密,其中数据被解密,并且交易被授权。然后,处理器发出代表整个事务的令牌回到零售商,而实际卡号本身被安全地存储在虚拟保管库中。
零售商可以使用令牌来跟踪交易并处理退款,返回,交换和其他事务。令牌本身对数据盗贼的价值很小,因为没有办法将令牌链接回平底锅,而没有解密密钥。
当顾客使用信用卡或借记卡付款时,他们的行为没有什么不同。当卡通过支付终端刷卡时,卡数据被加密,发送到处理器,在那里它被解密以进行交易批准过程,并向商户发出令牌,所有这些都没有让客户经历任何不同。
令牌化也可以通过托管解密和令牌发布的服务器来实现本身的内部部署。
Fortney表示,牌匾也为确保新兴移动支付应用提供了一种很好的方法。像PayPal等移动钱包运营商谷歌可以使用这种方法将一次性使用的代币存储在消费者的虚拟钱包中,而不是实际的信用卡和借记卡号码。他说,消费者可以使用代币进行购买,就像他们使用实际的支付卡一样,而商家可以在不接触或存储实际PAN数据的情况下完成交易。
Fortney表示,通证化的一个主要优势是,它不需要商户像EMV那样对其当前的支付接受系统进行重大改变。他说,代币的格式与信用卡信息相同,因此商家必须对其支付系统做相对较小的改变。
真正繁重的工作将发生在银行或其他存储PAN数据、生成令牌并通过整个交易链跟踪它们的实体。
标记化并不是什么新鲜事。支付卡行业安全管理支付系统安全标准的理事会建议将其作为减少公司必须做的工作成为PCI兼容的方法。
越来越多的零售商已经使用象征化作为减少PCI范围的一种方式,以及一些供应商销售标记产品和服务。
Fortney表示,清算房屋努力旨在促进支付行业中每个人都可以用来实施销量的标准。“我们的愿望是整个行业的开放标准,”他说。
清算所不是看牌照的唯一组织。
在塔吉特事件发生后,由美国运通、万事达、维萨和其他三家信用卡品牌拥有的EMVCo也宣布了开发通证化标准的计划,以确保通过手机、平板电脑和在线渠道进行的信用卡和借记卡支付安全。
EMVCO没有回应多个计算机上的努力评论。但是,1月份新闻稿表示,新规范将补充所有商家和银行所需的现有EMV智能卡规范,以至于明年年底。
声明指出,EMVCo的规范将描述一种“一致的方法来识别和验证token在支付处理(包括授权、捕获、清算和结算)期间的有效使用”。
令牌化的最大好处是它可以帮助商家从不需要它的系统中删除支付卡号码,电压安全性的主要技术官员,加密和其他数据掩蔽技术的提供商。
由于令牌化是以一种集中的方式完成的,只有一小部分网络知道如何生成和反向令牌。斯拜斯说,因此,银行和其他第三方更容易保护这一过程。他还是X9标准机构加密工具组的主席,负责为金融服务行业开发加密标准。
与EMVCo和The Clearing House一样,X9标准机构正在为美国支付行业开发标记化标准。他说,X9的工作重点是为标记化和生成和验证标记的过程开发标准定义。斯拜斯表示:“我们投入了大量精力来正确实现标记化。
本文,银行推动代币标准,以确保信用卡支付安全,最初发表在computerworld.com..
Jaikumar Vijayan.涵盖数据安全和隐私问题,金融服务安全和计算机世界的电子投票。在Twitter上关注jaikumar@jaivijayan或订阅Jaikumar的RSS提要.他的电子邮件地址是jvijayan@computerworld.com..
看更多作者Jaikumar Vijayan在Computerworld.com上.
阅读更多关于数据安全性的信息在计算机世界的数据安全主题中心。
这个故事,“银行推动令牌化标准,以确保信用卡支付”最初发布Computerworld. .