技术讨论——信用卡数据安全:谁该对此负责呢?

  • 在Facebook上分享
  • 在Twitter上分享
  • 分享在LinkedIn
  • 在Reddit分享
  • 通过电子邮件分享
  • 印刷资源

大约一年前安全哈特兰支付系统公司。突破和信息影响超过1亿张信用卡被盗。是中心地带的错,还是信用卡公司承担更大的责任?

专家们
菲尔·利伯曼
菲尔·利伯曼

CEO Liberman软件利伯曼认为中心遇到了其法律义务和违约并不是公司的错,而是由于缺少智能卡技术,信用卡发行商拒绝在美国发行的观点辩论

亨利Helgeson
亨利Helgeson

CEO商人仓库商人仓库认为商家帐户提供商的工作像他的公司(中心),采取必要的安全措施来防止违反,不管信用卡公司提供的安全技术。的观点辩论

菲尔·利伯曼

信用卡发卡机构需要加强

去年臭名昭著的腹地违反应该是时候敲响了警钟,信用卡发卡机构加强和地址安全问题存在于这个国家对保护客户信息。

一个完美的解决方案是使用在其他国家减少卡不存在(CNP)欺诈和卡克隆:智能卡。这个解决方案是不可用的美国消费者,商家或信用卡处理器因为发卡机构没有规定美国政府来实现它。

当前环境下对商人和信用卡处理器对安全和责任代表“第22条军规”。反常的一组矛盾的议程和不成比例的力量创造了一个不安全的金融环境进行信用卡处理。发卡机构能够转移所有信用卡损失责任商人和处理器,即使他们有能力阻止几乎所有损失欺诈和账户信息披露。

因为信用卡发行商不承担损失源于使用静态卡比智能卡(便宜),他们选择不现代化卡基础设施。惩罚商人和处理器等公司的中心地带,可以什么都不做来保护不能保护:静态信用卡号码和静态CVV码(三或四位数数字印在卡片)。

商人和处理器,缺乏投资智能卡技术通过发卡机构使得每个人都“希望”的不健全的安全战略。

每天商人和处理器黑客和网络犯罪分子不希望的目标,他们的系统,或者员工,知道如果希望耗尽他们会支付任何漏洞,即使没有可用的基本和长久的解决办法反击。信用卡发行者不关心妥协信用卡的成本,因为他们可以简单地好别人武断的判断和没有政府监管。

在腹地违约的情况下,入侵者侵入系统用于处理175000年的每月1亿支付卡的交易商人和记录信用卡和CVV数字从一个内部数据流,智能卡技术会使得整个努力没用了。

智能卡生成惟一的一次性只响应来自银行的金融交易请求问题,所以窃取的数据将不再是有效的。可能也与PIN密码锁定,所以即使卡片的有形损失是乏人问津。数据传输应该是加密的,但它不需要,因为数据流只适合一个事务。第二次尝试使用相同的数据根本不工作。

虽然整个行业都接受了pci dss安全标准,以保护敏感的客户信用卡信息,不幸的是pci dss不处理复杂的攻击,也不提供任何形式的安全港,实现它。

防止复杂的攻击,所有组织进行信用卡交易必须实现更复杂的安全策略和技术,如网络传感器、启发式流量分析,并进行持续的安全审计系统,交通和人员。即使所有这些努力正在进行,仍然没有安全港。

Heartland-type问题的解决方案很简单。首先,规定所有信用卡交易和智能卡技术让美国顺应各国对阻止欺诈在其来源:静态信用卡号码。雷竞技比分

第二,转移回信用卡发卡机构责任,除非商人和处理器由于渎职行为是违反有罪的。责任应由法庭决定。让政府,而不是信用卡发行者,决定是否罚款商人和处理器是正确的行动。这将会消除反常激励制度,允许信用卡发卡机构运行不安全系统和负债转让给他人。

如果美国政府要求信用卡发卡机构负责损失欺诈,本质上源于使用静态信用卡、智能卡技术的过渡将是一个事实上的决定,这种类型的犯罪和责任可以在不到一年的时间来消除。直到政府授权责任的改变和改善技术,殴打无辜(腹地和其他人)将继续下去。

Lieberman软件,首席执行官菲尔·利伯曼认为中心遇到了其法律义务和违约并不是公司的错,而是由于缺少智能卡技术,信用卡发行商拒绝在美国发行。雷竞技比分

亨利Helgeson

信用卡处理公司不应该进一步的责任

一个数据泄露信用卡处理公司造成巨大的经济和品牌伤害,所以没有必要对受害者造成更大的伤害。政府需要做的就是将其努力集中在罪犯和停止villianizing受害者。说,政府更容易处理违反和公司在业务上能够而且必须做得更好保护数据。

信用卡处理公司努力工作来保护数据。中心地带是不幸的,但不是重大过失。当中心违反它肯定有足够的问题没有政府罚款和惩罚他们。但一线希望是,这和其他违反推动了整个行业向前发展。

考虑数据违反通知行为(S.139),这是在众议院提出的中心地带违反和最近通过了。法律要求“所有联邦机构和人员从事州际贸易,拥有数据包含敏感的个人身份信息,披露任何违反这些信息”。这意味着我们必须回答一个监管机构而不是51(所有的州和华盛顿特区)。如果你必须遵循51套规定,你花更多的时间在规定比你发展你的业务。

当腹地走我们都说,“哇,这可能发生在我们身上。我们需要锁定下来。”The good news is there are solutions out there – such as end-to-end encryption – that can help. My company, Merchant Warehouse, was one of the first companies to deploy end-to-end encryption. With E2E encryption, cardholder data is encrypted at the point of swipe, transmitted over the network and securely stored in off-site servers. The data is tokenized, ensuring it is not usable if someone's network is breached.

还有一个技术我相信将来会帮助极大,MagTek MagnaPrint技术。它是便宜的,有效的和非常有效的。它的工作原理是这样的:铁粒子喷到磁条卡的背面一个随机模式,本质上是给每个卡自己的指纹。

MagTek说检查卡号的指纹,结合这些信息可以确定它是原卡或重复。当你把这两个方面,对罪犯来说几乎是不可能做任何事情但盗取实体卡。使用MagnaPrint技术将我们从创建大规模杀伤性的刑事黑客窃取1亿卡号,提交面对面的轻微刑事犯罪我们真的什么都做不了

没有什么被在美国芯片密码卡。我们尝试这项技术与几个试点项目,包括在1996年亚特兰大奥运会,这不是成功。第一,它很贵,第二,它需要一个巨大的变化:新的、更昂贵的卡片发行,商人需要购买新的硬件,消费者需要改变行为,和网络处理器,如商人仓库,需要适应。

有效地实现芯片密码卡的发行与交易本身,你谈论的大规模系统的改革。

芯片密码卡工作的原因在世界的其他地方而不是在美国是双重的。首先,美国已经接受了超级条码行业标准而其他国家仍在发展他们的信用卡基础设施。第二,电信在美国很便宜,无处不在,非常可靠。雷竞技比分芯片密码卡在世界其他地方很受欢迎,因为他们使你处理事务的地区可能无法访问拨号。

信用卡处理组织和商人,根据数据违反通知法案》,将在报告违反现在好一些,因为他们只需要监督报告。现在的行业开始采用这项技术可用为了更安全地锁定敏感,每天交易的个人信息。采用这些技术将允许更有效率和无缝的业务和加强对金融体系的信心。

Helgeson CEO商人仓库,总理商人帐户和信用卡处理解决方案的提供者。

想要更多的科技辩论?看看我们的档案页面

加入网络社区有个足球雷竞技app脸谱网LinkedIn上面的评论主题思想。
相关:

版权©2010 IDG通信公司。Raybet2