PCI委員會稱沒有規定移動支付使用P2P加密技術
支付卡行業安全標準委員會(PCI)建議:對于連接到移動設備的信用卡讀卡器進行的信用卡支付業務,使用點到點加密技術。但是PCI SSC的總經理Bob Russo堅持認為PCI委員會并沒有規定移動支付一定要使用該技術。
“我們并沒有認可任何技術,而是說,‘如果你準備通過加密狗來刷卡,它們也需要進行加密,’”Russo在接受SearchSecurity.com的采訪中稱,“這是一個建議,如果你打算通過移動手機或者平板電腦來刷卡,那么當然我們要確保任何進入手機的數據都要進行加密。”
PCI 委員會已經明確表示,不會干涉PCI DSS規定使用特定產品。在2008年,PCI委員會被迫發出PCI DSS要求6.6(關于保護web應用程序免受攻擊)的補充澄清。該標準要求至少每年進行一次代碼漏洞審查,或者安裝web應用程序防火墻。這造成了 web應用程序防火墻銷量激增,因為商家發現安裝防火墻要比執行年度審查更節約成本。澄清建議商家“兩手都要抓”以確保合規性,但同時指出代碼審查和某些防火墻部署對于某些商家而言并不可行。PCI委員會還警告商家在安裝防火墻時,要進行正確的配置和監控。
兩頁的移動支付接受報告于5月 16日發布,其中呼吁使用P2P加密硬件(PCI委員會認證讀卡器)來確保捕捉點的加密。該建議旨在針對小型企業,包括想在其移動設備使用讀卡器的個人等。Russo表示,該文件還要商家參看PCI P2P加密報告,這是加密計劃的基礎。PCI委員會表示,將會公布認證P2P加密硬件清單。
“我們現在打開了一個從未有過的商業新領域,”Russo表示,現在信用卡已經應用到以前沒有的領域。”
PCI委員會去年對移動支付應用程序發表了一份聲明,該聲明包括一份清單,確定哪些移動支付應用程序符合其PA DSS要求。另外,保護移動支付交易的最佳做法文件將于今年晚些時候發布。
PCI委員會正在準備云計算、電子商務和風險評估的指導文件
PCI委員會本周宣布將從6月1日開始接受對2013年研究領域的建議,目前已經有三個志愿特別興趣小組(SIG)正在研究云計算、電子商務應用和風險評估,委員會將于今年晚些時候發布指導文件。
云計算特別興趣小組為了保護支付數據和減小范圍提出建議,在研究不同的云架構模型。指導文件還將解決如何維護和驗證不同云計算對PCI DSS的合規情況。PCI委員會去年發布了一份保護虛擬環境中支付數據的報告,報告中警告說公共云、多租戶環境正在挑戰PCI合規,因為“租戶間的物理隔離是不實際的”。該小組計劃解決PCI DSS評估范圍內的虛擬組件問題,相關報告將于10月發布。
電子商務特別興趣小組正在審查常見電子商務支付應用程序部署情況,以研究如何降低信用卡數據被盜的風險。商家及其電子商務服務供應商的角色和責任同樣是研究重點。目前,一些公司在整合 web應用程序支付功能與第三方支付處理器,以消除卡存儲和減小PCI DSS范圍。該小組計劃在8月發布報告。
#p#
Russo表示:“基本上這是在解決如何在網絡環境下安全操作。”風險評估特別興趣小組則在解決如何適當地進行和記錄年度風險評估,以及如何評估第三方(例如業務合作伙伴)或托管環境的影響。Russo表示,該小組已經完成了第一個草案,為分類和記錄資產制定了一個標準方法,并提出了評估資產以抵御風險和漏洞的方法。Russo表示:“這些來自于需要遵守PCI 12.1.2的人們的反饋意見。”該小組同樣計劃在8月發布報告。
下面Russo解釋了PCI委員會對移動安全采取的方法,并進一步解釋了移動支付的最新指導文件,以及為什么沒有特別興趣小組研究移動安全問題:
去年我問了關于移動的問題,你提到移動專案小組將要啟動。
Bob Russo:我們剛剛發布了關于移動的文件。我們現在打開了一個從未有過的商業新領域,我們有很多收購商希望增加幾十萬個商家。這個文件為計劃使用信用卡支付的商家解釋了各種他們需要了解的信息。
我認為該文件幾乎認同了點到點加密。我知道PCI委員會在過去追捧Web應用程序防火墻(WAF)等技術,但在WAF銷售量激增后,PCI委員會開始猶豫對特定技術的批準。是不是如此呢?
Russo:正是如此。我們這并不是追捧某個特定的技術,只是說,“如果你打算在加密狗上刷卡,它們需要加密。”
該文件建議使用點到點加密,以及點到點加密計劃下認證的硬件。
Russo:是的,這只是一個建議。如果你打算通過移動手機或者平板電腦來刷卡,那么當然我們要確保任何進入手機的數據都要進行加密。
多年以來,移動一直是一個問題。為什么沒有針對移動的特別興趣小組?是否有特殊的原因?
Russo:移動存在很多固有的安全問題。從方便的因素來看,人們需要移動性,消費者當然也需要。但我認為當涉及移動時,商家會有些謹慎,只是因為移動非常不安全。如果這是簡單的事情,肯定已經出現各種移動安全標準。這不是一個簡單的領域,涉及很多不同的因素,例如設備本身在某種程度上并不安全,不足以保護信用卡數據。
通過近場通信(NFC)技術,PayPal和谷歌擁有移動支付技術,電信運營商正在推出他們的技術,信用卡品牌商也在推出自己的移動支付解決方案。這是不是讓PCI難以妥當地解決這些產品的安全問題?因為他們又推動 PCI DSS,又受限于它,這讓人感到困惑。
Russo:我要重提我的舊口頭禪:如果你正在存儲、處理或者傳輸信用卡數據,不管你是誰,你都要擔心安全性以及應對這些標準。不管是收購商,還是供應商,如果他們想要進入這個領域,他們就不得不擔心安全性問題,遵守我們的標準。沒有人能例外。
