珠宝零售商Helzberg钻石已经努力达到符合支付卡行业(PCI)数据-安全因此,它正在尝试一种新的策略:一种叫标记化的技术,它可以让零售商在显而易见的地方“隐藏”敏感的卡片数据。
一种总线标准规定了处理支付款卡信息的技术规则,而总部位于密苏里州北堪萨斯城的Helzberg Diamonds公司所面临的困难是找到一种方法来缩小整个公司网络中所谓的“一种总线标准区域”,该网络接收来自200多家珠宝店的银行卡信息。
在PCI调查:它如何影响网络安全
为了更有效地实现这一目标,黑尔茨伯格采取的措施之一是将支付卡数据转换为所谓的“标记化”数据,从而有效地将其从明文和“标记化”数据转换为“标记化”数据把它藏在眼前通过数字生成方案。
“我们正在努力满足PCI的要求,”Florian Yanez说,他是技术系统的经理,在Helzberg Diamonds负责信息安全。“我们有一些洞。”
有时为了业务目的必须共享客户数据,但是支付卡信息无论到哪里,都必须根据许多PCI指导原则进行处理。因此,有一个巨大的努力,必须作出减少敏感的PCI数据的“范围”的网络的最有限的一部分。
与珠宝零售商的银行要求改变关于PCI和PCI合格的安全评估员,威瑞森商业,聘请的意见权衡,Helzberg提出了一个不同的行动方针。
这家零售商已经从帧中继网络转移到AT&T的托管VPN服务,以便从数据处理中心连接到零售商店。为了保护它持有的PCI数据,Helzberg Diamonds考虑在其数据库中以加密的形式存储它,这将满足PCI标准。但亚涅斯说,存在一些技术障碍,包括需要对数据库字段大小进行大量更改。
Helzberg Diamonds没有使用加密方法,而是使用nuBridges提供的记号化方法,该方法允许珠宝零售商将常规PCI数据转换为生成的数字形式,而不会影响数据库字段的大小。
亚涅斯指出:“很少有程序需要原始信用卡号码。”但在有商业目的的情况下,nuBridges Protect产品包括一个令牌管理器,它需要个人进行身份验证来请求接收明文PCI数据。
海尔兹伯格钻石公司预计将在三月完成其转移到标记化。
据消息来源称,记号化作为一种限制PCI符合性努力范围的方法正在获得更多的接受,而且PCI理事会预计在4月份发布关于记号化的进一步指导。