的组织负责为支付卡行业的商家和服务提供商定义安全性的负责人周二发布了两份指导文件,第一份是关于端到端加密的,第二份是关于在欧洲使用比美国更普遍的支付卡技术的。雷竞技比分
有相当大的兴趣使用某种形式的点对点加密来更好地保护持卡人的敏感数据,而PCI安全标准委员会的初始路线图:点对点加密技术和PCI DSS遵从性旨在帮助商人了解委员会目前对这一话题的想法。该论文建议委员会正在考虑建立一个pci定义的评估过程,与支持持卡人数据环境中的点对点加密的产品相关。
根据点对点加密路线图,委员会计划发布另一份暂定名为“点对点加密验证要求”的文件,该文件将寻求定义有效验证用于保护持卡人数据的点对点加密解决方案的要求和过程。该委员会的总经理鲍勃·鲁索(Bob Russo)表示,这份文件预计将于明年发布。
点对点加密说:“需要明确定义,罗威指出,安理会将决定一个通向实验室验证的产品,此外,提供信息如何使用点对点加密的持卡人数据可能影响PCI遵从性的范围是如何在一个组织应确定。
所谓的范围一直是一个有争议的问题PCI遵从性因为它要求在一个组织的网络和与处理支付卡相关的流程中设置某种界限,这可能很难做到。
每年,任何接受支付卡的企业必须证明符合PCI数据安全标准(DSS),以及点对点加密的使用可能最终会改变对PCI范围的考虑方式。
该委员会的点对点指导文件指出,“点对点加密的假设是,当加密到仅拥有密文的实体无法逆转加密过程的程度时,持卡人在传输中的数据是受保护的。”
然而,该文件指出,点对点加密的使用带来了有关适当的密钥管理系统和其他复杂技术因素的新问题,这些技术因素可能与点对点加密技术的使用有关。委员会还注意到人们对“厂商锁定”的担忧。
该委员会的首席标准架构师Troy Leach表示,其目标是“尽可能不考虑技术”,研究点对点加密是如何支持的,重点放在理解产品如何影响PCI合规的范围和评估上。
EMV文档发布
理事会今天发布的第二份指导文件与EMV这种支付卡技术在欧洲的使用率超过了美国,不过美国对采用EMV的兴趣也越来越大。
Leach指出,EMV是一个已经存在多年的全球标准,为减少信用卡欺诈提供了机会。
但有了EMV,敏感信息仍然是畅通无阻的。因此,在委员会的“PCI DSS在EMV环境中的适用性”文件中,EMV并不能自动满足PCI DSS在保护持卡人和敏感身份验证数据方面的所有要求。
“我们基本上是说,它们是互补的技术,单靠EMV是不够的,”鲁索说。