在过去的几个月里,PCI知识库一直在为商人风险委员会做关于PCI合规对欺诈和欺诈管理的影响的研究。我们了解到的一件事是,总的来说,pci强制控制在减少由于内部威胁造成的内部欺诈方面是最有效的。
许多控制措施侧重于限制授权访问信用卡数据的员工数量,而其他措施侧重于将大多数员工访问的系统与持卡人数据环境分离开来。但是支付安全方面最热门的趋势是两种技术,它们超越了目前编写的标准PCI。它们是记号化和端到端(E2E)加密。
E2E加密解决了一个主要的内部威胁。对于许多公司来说,加密不是集中管理的。这是一个很容易添加到应用程序的特性;它内置在操作系统、数据库、POS设备等中。即使在持卡人环境中,也经常会发现有六种不同的加密和多重密钥管理系统的实现。
在这种情况下,卡数据在到达接收银行或处理器的途中可能必须在内部通过多个系统。其结果是可怕的“加密、解密、再加密”的场景,这为未授权的内部人员打开了漏洞。
使用E2E加密技术,公司在入口点(销售点[POS]、电子商务支付软件和呼叫中心软件)对数据进行加密,数据在传递给收购者的整个过程中一直是加密的。卡号永远不会存储未经加密的商家。
有几种产品可用于POS渠道,许多产品可用于电子商务渠道,但如果公司坚持为其他应用程序存储和使用数据,这些产品中的任何一种都可能失效。
E2E的另一个关键点是,一些公司专注于端到端的企业视角,而不是将一个端点定义为收购者。此外,在一些公司中,退款的策略和处理往往会把端到端场景搞得一团糟。
关于加密,要记住的主要事情是,它只是12个pci强制控制之一,即使它是E2E。在2010年秋季发布的下一个版本中,对PCI DSS需求的更改似乎不太可能消除对其他11个主要PCI DSS控制的需求,因为有一个控制已经就绪。但是我们将会看到。
说起那些不再需要的东西,有一个关于标记化解决一切问题的讨论很多。符号化涉及通过一个代理号或“令牌”,然后集中(或外包)的卡数据,以减少(有人说是消除)内部威胁更换信用卡号码(或其他机密数据)。
在一个理想的世界里,这是很有可能的。然而,在我们的研究中,我们还没有发现任何大公司能够完全消除或外包卡片数据,即使他们实施了标记化。其中一些原因包括业务需求、更改生产应用程序的成本以及实际查找和清除所有卡数据的难度。
另一方面,一些较小的组织,它们是单通道的,拥有高度集中的数据体系结构,在将数据和遵从性问题交给标记化公司方面是最成功的。因此,这些公司仍然需要对保留下来的信用卡数据进行加密,以确保合规,并将内部威胁降到最低。
底线:我们的研究表明,端 - 端加密和标记化可能会存在并排侧几乎所有的大型和最中型企业在未来两到三年。这表明,人们可以采取其他的地方不考虑大的,多渠道的商户或服务提供商的现实。
如果您愿意评论或分享您的经验,请发送电子邮件至David.Taylor@KnowPCI.com。