代表世界上最大的银行的22 A组中称为标记化支付卡技术的美国推动广泛采用,理由是在未来两年在计划迁移到EUROPAY维萨万事达智能卡标准的缺点。
代表世界上最大的银行的22 A组中称为标记化支付卡技术的美国推动广泛采用,理由是在计划迁移到EUROPAY万事达卡签证(EMV)在未来两年智能卡标准的缺点。
清算所支付公司(TCH)的所有者包括美国银行、花旗银行、第一资本银行和摩根大通银行,该公司正在与成员银行合作,研究如何将标记化应用到在线和移动支付环境中,以防止欺诈。
这种努力源于什么组织表示,在涉及移动和在线交易的EMV标准,需要解决的差距。
“EMV已经在那里了近20年”,并曾担任其目的还有,高级副总裁,产品开发和管理的清算所戴夫福特尼说。
基于EMV的技术使用嵌入式芯片借记卡和信用卡,而不是磁条,存储数据和被认为是几乎不可能克隆用于欺诈目的。尽管世界其他地区年前搬到技术,美国有落后出于各种原因。
不过,经过近期目标断裂这一丑闻暴露了4,000万张借记卡和信用卡的数据,要求美国采用这一标准的呼声越来越高。万事达和Visa表示,他们希望商户和银行在2015年10月之前做好接受EMV卡的准备。
虽然计划的迁移有它的好处,EMV是不太灵丹妙药许多人认为它是,福特尼说。“与EMV的缺点是,当时没有互联网,没有在线商务,它没有创建智能手机也没有平板电脑“。
虽然EMV是伟大的,在点销售终端固定卡交易,它是在线支付和其他卡不在场交易的那么有用。这就是为什么支付卡欺诈已经从点销售系统迁移到欧洲的在线渠道,已经采用EMV等地的重要原因之一。
支付卡标记化是解决这一差距的一种方式,福特尼指出。
记号化是一种保护卡片数据的方法,它使用唯一的、随机生成的数字序列、字母数字字符或截断的字母数字序列和随机字母数字序列的组合来替换卡片的主帐户号(PAN)。
令牌通常与原始PAN具有相同的长度和格式,因此对于后端事务处理系统、应用程序和存储。
当处理事务或数据在零售商的系统中处于静止状态时,随机序列或“令牌”充当实际PAN的替代值。使用正确的解密密钥,令牌可以在任何时候反转到它真正的关联PAN值。令牌可以是单次使用的令牌,也可以是多次使用的令牌。
符号化省去了商家,电子商务网站和手机钱包的运营商来存储他们的网络上敏感的支付卡数据,福特尼说。
使用标记化,信用卡和借记卡数据在捕获并发送到商家的支付处理器时被加密,在那里数据被解密,交易被授权。处理器然后向零售商发出表示整个交易的令牌,而实际的卡号本身被安全地存储在虚拟保险箱中。
零售商可以使用令牌来跟踪交易并处理退款、退货、交换和其他交易。令牌本身对数据盗窃者来说没有什么价值,因为如果没有解密密钥,就没有办法将令牌链接回PAN。
对于使用信用卡或借记卡支付购买时,客户会做什么不同。当卡通过支付终端,发送到它被解密的交易审批程序处理器刷卡卡上的数据进行加密,并且所有未经客户体验有什么不同的令牌发放给商家。
记号化也可以在本地实现,商家本身拥有执行解密和令牌发布的服务器。
Fortney说,标记化还提供了一种保护新兴移动支付应用程序安全的好方法。移动钱包运营商,如贝宝或谷歌可以使用的方法来店里一次性使用令牌消费者的虚拟钱包,而不是实际的信用卡和借记卡号码。消费者可以使用代币进行购买,如他们会与实际支付卡,而商人们能够在不接触或存储的实际数据PAN完成交易,他说。
与符号化的一个主要优点是,它不要求商家做出他们目前的支付系统的接受发生重大变化,像EMV呢,福特尼说。令牌相同的方式为卡信息格式,因此商家必须做出相对最小的改变自己的支付系统,他说。
真正的繁重会发生在银行或其他实体店PAN数据,生成令牌和在整个交易链跟踪它们。
符号化是不是新的。支付卡行业安全委员会,管理一套安全标准的支付系统,建议它作为一种方法,以减少工作,公司必须成为PCI兼容。
越来越多的零售商已经使用标记化作为减少PCI范围的一种方式,并且一些供应商销售标记化产品和服务。
Fortney说,清算所的努力旨在培养支付行业中的每个人都可以使用的标准,以一致的方式实施标记化。“我们的愿望是在整个行业中建立一个开放的标准,”他说。
票据交换所不是唯一关注标记化的组织。
继目标突破口,EMVCo标准,美国运通,万事达,维萨等三大信用卡品牌所拥有的实体,也宣布计划开发用于保护通过手机,平板电脑和上网通道进行信用卡和借记卡支付标记化标准。
EMVCo没有回应记者的置评请求多个计算机世界的努力。但1月份的一份新闻稿称,新的规范将补充现有的EMV智能卡规范,所有商家和银行都必须在明年年底之前迁移到该规范。
EMVCo标准的规范将描述一个“一致的方法来识别和支付过程中验证有效使用令牌的处理包括授权,捕获,清算和结算,”该声明说。
提供加密和其他数据屏蔽技术的电压安全公司(Voltage Security)的首席技术官特伦斯斯(Terrence Spies)说,标记化的最大好处是,它可以帮助商家从不需要的系统中删除支付卡号。
由于标记化在中心的方式进行,仅在网络的一小部分知道如何生成和反向令牌。其结果是,它是银行和其他第三方,以保护过程更容易,间谍说。他也是加密工具集团董事长于X9标准机构,负责制定对金融服务行业的密码标准。
像EMVCo标准和清算行,在X9标准组织正在开发符号化标准,为美国支付行业,间谍说。该X9精力集中于开发用于标记化和用于生成和验证令牌的过程的标准定义,他说。“有大量的能量被投入越来越符号化权,”间谍说。
这篇文章中,银行推动令牌标准,安全的信用卡支付,最初发表于Computerworld.com。
Jaikumar Vijayan为计算机世界涵盖数据安全和隐私问题,金融服务安全和电子投票。在推特上关注Jaikumar@jaivijayan或订阅Jaikumar的RSS提要。他的电子邮件地址是jvijayan@computerworld.com。
看到Jaikumar Vijayan在Computerworld.com报道更多内容。
阅读更多关于数据安全的内容在Computerworld的数据安全主题中心。
这个故事,“银行推动标记化标准的安全信用卡付款”最初发表《计算机世界》 。