POS安全标准雷区导航的最佳方法
在保护支付事务生命周期方面,不缺乏安全标准。
例如,在销售点(POS)保护pin的标准已经存在多年,但在整个交易过程中保护其他类型的持卡人数据(如主帐户号码(PAN))也同样重要。
目前有三个主要的措施来保护这些数据,旨在提高POS机、POS机和收单银行之间以及更远的地方支付卡的整体安全性。
虽然POS安全标准的前景可能看起来很复杂,但当这些不同的计划被分解和分析时,可以确定共性。而且,单个安全技术的实现,如端到端加密或令牌化,可以支持跨所有三个计划的遵从性。
考虑到支付安全标准环境的复杂性,结合遵守的实际要求,需要进一步澄清,以确保POS供应商,零售商/商户和金融服务组织了解这些计划如何相互关联,以及最终如何帮助保持敏感信息的安全。那么,让我们更详细地看看这三个不同的项目。
安全POS供应商联盟(SPVA)最近关于“端到端加密安全要求”的文档旨在帮助使交易更加安全。SPVA是一个与支付价值链的多个利益相关者合作的非营利组织。SPVA的目标是开发端到端安全框架,增强支付解决方案的安全要素,保护持卡人信息,保护商家和收购方免受安全漏洞的侵害,同时减少欺诈,降低所有电子支付利益相关者的风险。它的端到端安全指南与至少两个其他实体的其他建议重叠。对零售商来说,幸运的是,遵循它们的系统也是如此。
SPVA的努力与ASC X9F6标准工作组(ASC X9F6 Standards Working Group)的工作并行,后者正在制定一项旨在保护敏感支付数据的新标准。ASC X9是由来自金融服务业的成员组成的ANSI认可标准委员会(ASC)。
与此同时,由美国运通、JCB、Discover、MasterCard和Visa等主要支付卡计划管理的支付卡行业安全标准委员会(PCI-SSC)最近发布了自己的修订要求。这些新的指南将PIN输入设备(包括POS设备)放在一个称为PCI PTS-POI (PCI PIN交易安全交互点)的共同文件之下。新文件现在还包括与开放网络接口的要求,以及对持卡人账户数据的保护。它与PCI-SSC的另一组要求(称为PCI-DSS)有关,该要求处理支付交易过程中的持卡人数据安全(不仅仅在POS中)。
识别的共性
对于那些试图理解所有这些新准则的各方来说,好消息是,许多建议都与以“端到端”加密或令牌化为目标的数据保护有关。以下是对这些举措之间联系的总结,以及它们实际上是如何相互补充的。
SPVA文件是第一个涵盖端到端的加密内容、加密方式的一般要求以及POS的防篡改环境的文件。尽管该文件是向前迈出的重要一步,但在现阶段它只包含自愿指南。该标准涵盖以下领域:
*传输过程中需要加密的数据
*密钥管理
*防篡改安全模块和关键组件的物理和逻辑安全
*加密监控和管理系统的要求
新的PCI PIN交易安全(PTS)交互点(POI) PCI PTS-POI标准将之前在POS PIN输入设备、加密PIN pad和无人值勤支付终端的三个独立文档中涵盖的要求整合在一起。该标准通过为所有终端提供一个模块化安全评估程序和批准产品的单一参考清单,简化了测试过程,消除了文档重叠。
PCI PTS-POI包含了一个新的安全数据读取和交换(SRED)需求模块,该模块为POI供应商提供了一组清晰的安全标准,用于保护它们必须针对的帐户数据进行构建和测试。供应商现在可以根据已定义的标准构建设备,以在读取数据时保护数据,然后对数据进行加密以进行交换。与SPVA文档一样,它涵盖了物理和逻辑环境、可以使用的加密,等等。这是建立安全的“端到端”加密基础设施的关键的第一步,尽管该标准没有提供POI供应商为保护数据而必须使用的方法或加密技术的具体细节。
ASC X9工作组是负责制定美国所有金融服务标准的标准组织的一部分。雷竞技比分它由众多的供应商组成,在银行、经纪和保险行业的新技术的开发和采用中发挥着关键作用。ASC X9打算发布一个标准(X9.119),该标准具有使用加密和令牌化方法保护敏感支付数据的特定安全要求。这是一个至关重要的部分,它定义了应该保护哪些敏感信息,以及如何保护这些敏感信息,而该标准机构的代表来自广泛的金融服务行业。该标准将涵盖许多不同的方法,而不是指定一种保护数据的方法。这是一个实用的解决方案,因为有几种有效的方法来保护数据,而且供应商已经合作使用多种方法来提供解决方案。
我们也许可以期待SPVA文档(这已经是指前身PCI PTS-POI规范)和PCI PTS-POI及时更新引用X9.119标准,因为他们都已经引用其他X9标准相关的密钥管理和加密技术,从而完成循环。
除上述标准外,Visa还于去年10月发布了数据字段加密的最佳实践指南。制定该指南是因为Visa认识到数据字段加密是一种有用的方法,可以简化PCI DSS的遵从性。虽然它涵盖的不仅仅是POS,它是各种倡议的重要组成部分,因为Visa是ANSI X9F6标准工作组的主席,该工作组正在研究保护敏感持卡人数据的新标准。最佳实践基于以下安全目标:
*持卡人及认证资料只可在加密及解密处索取。
*加密密钥管理解决方案应遵循国际和/或地区标准。
*密钥长度和加密算法应遵循国际和/或地区标准。
*用于执行加密操作的设备应独立评估,以确保它们不受损害
*如果授权后需要使用持卡人数据(例如在处理重复付款、客户忠诚度计划或欺诈管理时),应使用交易ID或令牌而不是数据本身。
最近,在2010年7月,Visa还发布了“token化最佳实践”,为保护持卡人数据的替代方案提供了高层次的指导。值得注意的是,到目前为止,并不是所有发布的数据安全文档都指定了防篡改安全模块(TRSM),用于在敏感数据加密/解密的所有点上保护密钥和敏感持卡人数据。
然而,最近研究委托通过对零售商和收购者的PCI-DSS法规的符合性进行审计,合格的安全评估人员(QSAs)确实认识到硬件安全在符合法规方面的价值:81%接受调查的QSAs建议或要求硬件安全模块来管理数据保护。
如果所有这些不同的团体的行动似乎是过度的,重要的是要记住,最终目标是保护支付卡信息,这符合消费者、商家和支付卡行业中所有其他实体的最大利益。通过了解每一组指导原则和标准的重叠,就可以实现适当的控制,以满足每个文档推荐的最佳实践,并防止参与实现这些标准的人加倍努力。鉴于信用卡欺诈的威胁一直存在,这些努力至关重要。
布伦瑞克管理泰利斯电子安全公司的全球战略和营销,迪亚兹是技术和战略业务发展总监。泰利斯电子安全公司是全球领先的数据加密解决方案提供商,服务于金融服务、高科技制造业、政府和技术部门。泰利斯公司拥有40年的企业和政府信息保护记录,五大能源和航空公司中的四家、22个北约国家都在使用泰利斯的解决方案,它们确保了全球70%以上的支付交易。泰利斯电子安全公司在法国、香港、挪威、美国和英国设有办事处。雷竞技比分欲了解更多信息,请访问www.thalesgroup.com/iss.