导航POS安全标准雷区的最佳方法
有没有安全标准短缺,当谈到保护支付交易的生命周期。
标准在销售终端(POS),例如点保护PIN码,已经到位了数年,但它是为了保护其他类型的持卡人数据同样重要,如在整个的主账号(PAN)交易过程。
有适用于该数据的保护和旨在提高在POS整个支付卡安全,POS机与收单银行和超越之间正在进行今天三大举措。
虽然POS安全标准看起来很复杂,但是当这些不同的方案被分解和分析时,可以确定共性。此外,单一安全技术(如端到端加密或标记化)的实现可以支持所有三个计划的遵从性。
鉴于支付安全标准,环境的复杂性,以符合实际需求相结合,需要进一步澄清,以确保POS供应商,零售商/商家和金融服务机构了解每个这些举措涉及到另一个,最终他们如何能帮助保护敏感信息的安全。那么,让我们来看看一些更详细的这三个不同的项目。
安全POS供应商联盟(SPVA)最近关于“端到端加密安全要求”的文件旨在帮助提高交易的安全性。SPVA是一个与支付价值链的多个利益相关者合作的非盈利组织。用它自己的话说,SPVA旨在开发一个端到端的安全框架,增强支付解决方案的安全元素,保护持卡人信息,保护商户和收单机构免受安全漏洞的侵害,同时减少欺诈,降低所有电子支付利益相关者的风险。其端到端安全准则与至少两个其他实体的其他建议重叠。对零售商来说幸运的是,跟踪它们所需的系统也一样。
SPVA的努力与ASC X9F6标准工作组的工作平行,后者正在制定一项旨在保护敏感支付数据的新标准。ASC X9是美国国家标准协会认可的标准委员会(ASC),由金融服务行业的成员组成。
与此同时,由美国运通(American Express)、JCB、Discover、万事达(MasterCard)和Visa等主要支付卡计划管理的支付卡行业安全标准委员会(PCI-SSC)最近发布了自己的修订要求。这些新的指南将PIN输入设备(包括POS设备)集合在一个称为PCI PTS-POI(PCI PIN事务安全交互点)的通用文档下。新文件现在还包括与开放网络接口的要求以及对持卡人账户数据的保护。这与PCI-SSC的另一组要求(称为PCI-DSS)有关,后者在支付交易过程中(不仅在POS内)处理持卡人数据安全。
识别共性
对于那些试图理解所有这些新准则的各方来说,好消息是,许多建议都与数据保护有关,目标是“端到端”加密或标记化。这里总结了这些计划之间的关系——以及它们实际上是如何完全互补的。
SPVA文件首先涵盖了端到端应加密的内容、应如何加密的一般要求以及POS的防篡改环境。尽管该文件是向前迈出的重要一步,但它在现阶段仅包含自愿准则。本标准涵盖以下领域:
*数据传输过程中被加密
*密钥管理
*防篡改安全模块及其关键部件的物理和逻辑安全
*加密监控和管理系统要求
新的PCI-PIN交易安全(PTS)交互点(POI)PCI-PTS-POI标准汇集了先前在POS-PIN输入设备、加密PIN pad和无人值守支付终端的三个单独文档中涵盖的要求。本标准通过为所有终端提供一个模块化安全评估程序和批准产品的单一参考清单,简化了测试过程并消除了文档的重叠。
PCI PTS-POI包含一个新的安全数据的读取和交换(SRED)需求模块,让POI厂商一套明确的安全标准帐户数据,他们必须建立和对测试的保护。供应商现在可以建立设备到一个定义的标准,用于当被读取,然后加密以用于交换保护数据。像SPVA文档,它涵盖了物理和逻辑环境中,加密可以使用,等等。这是在建立一个安全的“端 - 端”加密基础设施的重要的第一步,虽然标准不提供的方法或加密技术,POI供应商必须使用保护数据的具体细节。
ASC X9工作组是负责制定美国所有金融服务标准的标准组织的一部分。它由众多供应商组成,在银行业、经纪业和保险业开发和采用新技术方面发挥着关键作用。ASC X9打算提供一个标准(X9.119),其中包含使用加密和标记化方法保护敏感支付数据的特定安全要求。这对于定义哪些敏感信息2020欧洲杯夺冠热门以及如何保护这些信息不受来自金融服务行业广泛代表的标准机构的影响至关重要。标准将涵盖多种不同的方法,而不是指定一种保护数据的方法。这是一个实用的解决方案,因为有几种有效的方法可以保护数据,而且供应商已经在一起使用多种方法提供解决方案。
我们也许可以期待的SPVA文件(已经指前身为PCI PTS-POI规范)和PCI PTS-POI及时参考X9.119标准进行更新,因为他们都已经参考相关的其他X9标准密钥管理和加密技术,从而完成循环。
除上述标准外,Visa还在去年10月发布了数据字段加密的最佳实践指南。该指南是在Visa认识到数据字段加密是简化PCI DSS合规性的有用方法时制定的。虽然它不仅仅涵盖POS,但它在很大程度上是各种举措的一部分,因为Visa是ANSI X9F6标准工作组的主席,该工作组正在制定保护敏感持卡人数据的新标准。最佳做法基于以下安全目标:
*持卡人和身份验证数据应仅在加密和解密时可用。
*加密密钥管理解决方案应遵循国际和/或区域标准。
*密钥长度和加密算法应遵循国际和/或地区的标准。
*用于执行加密操作的设备应进行独立评估,以确保他们对妥协的保护
*如果在授权后需要持卡人数据(例如在处理经常性付款、客户忠诚度计划或欺诈管理时),则应使用交易ID或令牌,而不是数据本身。
最近,在2010年7月,签证还发布了针对此替代以保护持卡人数据的“最佳实践的符号化”给予高度的指导。有趣的是,请注意,并非所有迄今公布的数据安全文件的密钥和敏感的持卡人数据的敏感数据进行加密/解密的所有点的保护指定防篡改安全模块(TRSM)。
然而,最近研究委托Thales表示,合格的安全评估师(QSA)对零售商和收单机构遵守PCI-DSS法规的情况进行了审计,他们确实认识到硬件安全在满足法规方面的价值:81%的受访QSA建议或要求硬件安全模块来管理数据保护。
如果所有这些不同群体的行动似乎是矫枉过正,但要记住,最终目标是安全的支付卡信息,这是在消费者,商家和参与支付卡行业的所有其他实体的最佳利益是非常重要的。随着一点点了解有关如何每组的准则和标准重叠,适当的控制,可以实现以满足每个文档推荐的最佳实践,并防止那些参与从他们的努力增加了一倍实施这些标准。鉴于信用卡诈骗的威胁时刻存在,这样的努力是至关重要的。
Brunswick负责Thales e-Security的全球战略和营销,Diaz是技术和战略业务开发总监。泰利斯e-Security是全球领先的数据加密解决方案提供商,服务于金融服务、高科技制造、政府和技术部门。泰雷兹公司在保护公司和政府信息方面有着40年的历史,五大能源和航空公司中的四家、22个北约国家都在使用泰雷兹公司的解决方案,它们确保了全球70%以上的支付交易。泰勒斯电子保安公司在法国、香港、挪威、美国和英国设有办事处。有关详细信息,请访问2020欧洲杯夺冠热门www.thalesgroup.com/iss。