利用標記化和交易加密減輕信用卡風險
要不了多久,信用卡資料就會一文不值,這確實是件好事。信用卡安全正在從設置障礙防止信用卡資料被竊取轉向使信用卡資料無法用于牟利。通過對信用卡資料進行抽象化處理,使真正的信用卡資料無法輕易甚至根本不能從抽象化的數據中推導出來,使用抽象的數據替代真正的信用卡資料,而抽象的數據只在單次交易的特定上下文中有效。這種方法可能能更有效地保護信用卡資料和減輕信用卡風險。
這種保護信用卡資料的理想方法的重要基礎是兩種既相互關聯又相互獨立的技術:
1.標記化(Tokenization)——標記化是指提取重要的數據(例如信用卡號碼)并對其進行抽象化處理,使其變為另一串無法用來牟利的數值。
2.交易加密(Transaction Encryption)——交易加密是指在信用卡資料輸入系統(例如POS終端或電子商務網站)時就對其加密,并將加密后的數據傳輸到其目標系統,直到為完成交易而對其解密。交易加密斬斷了網絡罪犯利用竊取的信用卡資料在開放市場中獲利的途徑。
從商家的角度來看,標記化和交易加密的目的是通過消除真正的信用卡資料在商家環節的暴露,從而有效地保護信用卡資料,并減輕商家遵守支付卡行業數據安全標準(PCI DSS)的責任。盡管標記化和交易加密技術還處于早期階段,但是許多商家希望現在就采用這兩項技術。事實上,美國技術和市場研究公司Forrester Research Inc最近的一項研究表明,支付卡行業提供成熟的、能夠得到行業認可的標記化產品的能力還難以達到商家對采用標記化技術的期望。
抽象化和加密信用卡資料是一種有效的信用卡安全解決方案,有可能使支付卡行業發生變革,并使交易鏈條中的所有利益相關者從中受益。然而,這兩項技術還不太成熟。因此,Forrester公司建議,在評價標記化或交易加密產品時,安全和風險專家應該遵循以下步驟:
1. 循序漸進——考慮采用標記化的安全和風險專家一定要在合同中約定,自己選擇的供應商有義務應對支付生態系統的變化,而這種變化可能會影響供應商提供的產品。每個供應商提供的標記化產品可能各不相同。當一個系統接受研究人員和現實世界攻擊的驗證時,它可能會在以后被證明是有問題的或不安全的。這種情況在其他安全領域已經發生過。例如,像WEP(有線等效協議)和LEAP(輕量級可擴展身份驗證協議)等無線協議都被發現是不安全的。由于美國信用卡和支付卡行業安全標準委員會尚未充分考慮這一問題,因此要注意,現有的任何標記化技術產品都只是對實施標記化的適當方式的猜測。
目前,采用標記化技術的公司購買的是一種高度定制的產品。隨著時間的推移,市場將會調整實施標記化的成本并使其保持穩定。但是,早期采用標記化技術的公司應該做好交學費的心理準備。可以預計,接受信用卡支付的公司很快將會采用標記化和交易加密技術,因為與減輕數據泄露風險和滿足客戶的迫切要求相比,這點短期成本是微不足道的。
2. 審查標記化系統獲取信用卡資料的方式——重要的是要了解商家使用信用卡資料的兩種不同方式:有卡交易(Card-Present Transaction)和無卡交易(Card-Not-Present Transaction)。每種類型的交易都需要一個專門的產品,以采用標記化技術。盡管有卡交易將是標記化技術的主要應用場合,但是無卡交易(即在線交易或電話交易)也可以使用標記化技術增強安全性。
PCI DSS對這一問題的要求很可能基于在有卡交易中PIN碼輸入設備(PIN Entry Device,PED)獲取和加密信用卡資料的方式。要確保信用卡資料永遠不會以未加密的形式從PED設備傳輸到其他系統。由于支付卡行業和信用卡安全的監管機構尚未認真考慮這一問題,所以一定要謹慎行事,將你的刷卡設備升級為支持加密的產品,在PED設備上使用硬件加密信用卡資料。
3. 擴展標記化和交易加密技術的價值——雖然大多數公司考慮采用標記化和交易加密技術是為了符合PCI DSS遵從性,但需要指出的是,其他數據也可能受益于這些技術。如果你在公司內部實施了這些技術,你就能夠對其他敏感數據進行標記化處理,例如個人身份信息(Personally Identifiable Information)或受保護的健康信息(Protected Health Information)。因此,可以將在標記化信用卡資料上的投資價值擴展到幾乎任何其他類型的監管數據,從而減輕你的總體法規遵從負擔。
【編輯推薦】
