周四,PCI安全标准委员会发布了支付卡行业数据安全标准2.0版,该标准承认移动支付技术尚未得到解决。
今天下午,PCI安全标准委员会发布了支付卡行业(PCI)数据安全标准(DSS)的第二版,该标准为处理敏感持卡人数据的商家和服务提供商设定了网络和安全要求。
据该委员会总经理鲁索(Bob Russo)说,现有的PCI DSS 1.2标准没有重大变化。Russo还进一步澄清了“范围”,即确定组织内持卡人数据存储或传输的边界的过程。
然而,即使2.0安全标准上市,新的颠覆性移动支付技术似乎让议会措手不及。例如,Square是一种小型塑料读卡器,可以插入iPhone、iPad或Android手机,用户可以通过它签收银行卡付款。
“接受iPhone的信用卡支付——这方面没有规定,”鲁索承认。“移动支付将是未来的一个问题。”
Square是Twitter联合创始人的发明Jack Dorsey与旧金山地区的其他企业家合作,正逐渐形成一种信用卡支付方式。目前,该设备将被赠送,以换取信用卡交易的一定比例——此举可能会对现有的销售点设备供应商和销售人员造成颠覆性影响。
新的PCI DSS 2.0完全没有解决移动支付技术,如Square。“我们不知道它是否安全,”罗素谈到广场时说。但他补充说,也没有禁止使用它。“这是没有标准的。你正处于支付技术的最前沿。”他建议早期采用者“要非常小心”。
PCI DSS 2.0标准生效DSS 1.2将于2011年12月31日退休。Russo说,将会有一个指南解释DSS 1.2和DSS 2.0之间的区别,并澄清有关范围的问题。“关键在于找到你的数据在哪里,”鲁索说。
他说,法医小组在黑客入侵后进行的调查经常显示,商家或处理器并不真正知道敏感数据在哪里。
“他们发现了他们不知道的数据,”散落在意想不到的地方,罗素说。这就是为什么委员会在DSS 2.0中强调,人们必须能够通过自动化手段证明他们知道自己的数据在网络中的位置,或者“派16个人跑出去找”。为了进行PCI审计,确定范围是必要的。
Cenzic公司被授权提供PCI规则长期以来要求的安全扫描类型,该公司的首席营销官曼迪普·克拉(Mandeep Khera)说,他看到PCI DSS的主要变化之一。2.0是在应用程序安全方面,“他们希望您对漏洞有一个风险评分——他们希望您根据评分来确定优先级。”
但是对于像Square这样的移动支付技术能否适应PCI DSS 2.0,凯拉持乐观态度。“这是PCI的意图”,这很重要,Khera说,尽管他补充说支付卡行业的安全规则在移动支付方面“正在追赶”。
Protegrity的首席技术官Ulf Mattsson表示,令牌化安全技术的主题将首次作为PCI标准的参考技术出现。token化是一种通过随机替换值获取数据并隐藏其实际意义的方法,委员会打算在明年发布一份指导文件,Mattsson说。
他补充说,委员会还计划在明年出台一份有关端到端加密的指导文件。但当谈到移动支付技术,如Square或他提到的Bling Nation,他怀疑它们是否足够安全。他说:“它们只会增加财富。”