預(yù)計在今年晚些時候，支付卡行業(yè)安全標(biāo)準(zhǔn)委員會（PCI SSC）將發(fā)布一項關(guān)于使用標(biāo)記（tokens）來代替信用卡數(shù)據(jù)的指南，這次轉(zhuǎn)變可能會有利于那些出售“使用加密和標(biāo)記化以屏蔽卡上敏感數(shù)據(jù)”技術(shù)的支付處理商。

PCI SSC的總經(jīng)理Bob Russo在最近的一次采訪中表示，他并不希望看到PCI DDS會經(jīng)歷什么重大的改變，因為PCI DDS在今年正經(jīng)歷著一次修訂。但是，這些正在制訂的指南文件可以幫助商家做出決定，即投資加密技術(shù)或者PCI標(biāo)記化技術(shù)是否是明智之舉。

Russo表示，“我們正在創(chuàng)建一個合適的框架，詳細地描述這些技術(shù)，并且把它們作為以后將要發(fā)布的標(biāo)準(zhǔn)，所以如果有人使用其中一種技術(shù)，這個框架就會讓他們知道他們是否符合某些特定要求?！?/P>

一些支付處理商和加密技術(shù)供應(yīng)商聯(lián)合起來，共同開發(fā)了一種加密與標(biāo)記化技術(shù)相結(jié)合的軟件。當(dāng)支付卡在支付終端進行刷卡時，此軟件可以保護卡的數(shù)據(jù)。EMC公司的安全部門RSA正在與First Data公司合作，以便在First Data公司出售給商家的加密服務(wù)中添加標(biāo)記化技術(shù)。Voltage Security公司目前在銷售一種與標(biāo)記化相結(jié)合的加密技術(shù)，并正與Heartland支付系統(tǒng)公司緊密合作，以提供加密和標(biāo)記化產(chǎn)品服務(wù)。

根據(jù)行業(yè)的不同，有些商家能夠在他們自己的服務(wù)器上存儲加密數(shù)據(jù)、或者用標(biāo)記去代替數(shù)據(jù)；有些則把數(shù)據(jù)發(fā)送到支付處理商的系統(tǒng)上，在那里存儲起來以備日后使用。一位業(yè)內(nèi)專家指出，此PCI指南很清楚的表明，如果商家沒有訪問敏感數(shù)據(jù)的能力，他們也可以獲得PCI認(rèn)證。

Heartland公司推出了它的E3系統(tǒng)。Homeport是一家家庭裝飾商店，該商店的所有者Mark Bouchett一直在對HeartLand E3系統(tǒng)中的一個加密終端進行測試。他的商店里運行了一個單一終端，這個終端的處理能力比較低，一年內(nèi)最多只能處理三萬份信息卡交易，但是Bouchett表示他看到了給用戶提供更多保護所帶來的好處。

Bouchett表示，“我們是家庭生意，所以我不想讓我的客戶受到損失，只想他們稱心如意?！?/P>

Bouchett表示，在HeartLand E3系統(tǒng)中，交易在加密終端被立即加密，并且傳回HeartLand。Bouchett曾經(jīng)使用過HeartLand公司的一種基于電話的系統(tǒng)，這種系統(tǒng)需要他把卡數(shù)據(jù)在自己的系統(tǒng)上存儲24小時。

他表示，“如果它不妨礙交易過程并且消除了風(fēng)險，那么這對任何人來說都有好處?！?/P>

Bouchett表示，E3終端可以完全加密刷卡信息，并且速度很快，但是它缺少一個PIN鍵盤，并且可視化界面也非常陳舊。HeartLand的一位發(fā)言人表示，目前版本的產(chǎn)品具有相同的加密能力，但是具有更多的新功能。

Voltage公司的首席技術(shù)官Terence Spies表示，Voltage公司可以提供與眾不同的基于身份識別的加密技術(shù)，這是一種公共密鑰技術(shù)，可以讓Voltage在密鑰服務(wù)器上產(chǎn)生公共密鑰，然后再產(chǎn)生與之相匹配的私人密鑰。這讓商家能夠在售貨點對數(shù)據(jù)進行加密，而不必?fù)碛兴饺嗣荑€，從而避免訪問敏感的信用卡數(shù)據(jù)。

Spies表示，“采用這種加密方式以后，即便是攻擊者控制了售貨點并訪問里面的數(shù)據(jù)，他也不能獲得任何有用的數(shù)據(jù)。”

Spies指出，基于身份識別的加密技術(shù)能夠讓商家們繼續(xù)在交易系統(tǒng)中使用信用卡卡號的一

部分?jǐn)?shù)字，從而防止欺詐或?qū)⑵溆迷谄渌奶幚磉^程上。他還指出，小型企業(yè)可以將這些工作外包給支付處理商，但是那些需要在自己服務(wù)器上存儲永久賬戶號碼（PAN）數(shù)據(jù)的大型企業(yè)則可能需要在公司內(nèi)部設(shè)置密鑰管理功能。

Spies表示，“這更像是技術(shù)架構(gòu)的決定，而不是讓你去選擇一個現(xiàn)成的技術(shù)。”

支付處理商ProPay公司專注于不需要銀行卡的交易以及電子商務(wù)交易。該公司的執(zhí)行副總裁Chris Mark（他以前是一位QSA）表示，他估計許多商家會采用更多的外包服務(wù)，這些服務(wù)能夠讓他們要求支付處理商去處理與資費統(tǒng)計、退貨以及其他交易問題相關(guān)的各種數(shù)據(jù)。

Mark指出，“你無法對整個行業(yè)做出整體評論，因為每個商家在市場中都有自己特殊的處理過程。旅館行業(yè)就是一個很典型的例子，在旅館中消除卡的數(shù)據(jù)就非常棘手，因為人們總會在逗留期間持續(xù)地使用信用卡，對各種物品或者服務(wù)進行支付。”

【編輯推薦】

1. 銀行賬戶數(shù)據(jù)應(yīng)該加入PCI安全要求嗎？
2. 由PCI保障持卡人數(shù)據(jù)安全看國內(nèi)支付安全