支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)(PCI)建議：對(duì)于連接到移動(dòng)設(shè)備的信用卡讀卡器進(jìn)行的信用卡支付業(yè)務(wù)，使用點(diǎn)到點(diǎn)加密技術(shù)。但是PCI SSC的總經(jīng)理Bob Russo堅(jiān)持認(rèn)為PCI委員會(huì)并沒有規(guī)定移動(dòng)支付一定要使用該技術(shù)。

“我們并沒有認(rèn)可任何技術(shù)，而是說，‘如果你準(zhǔn)備通過加密狗來刷卡，它們也需要進(jìn)行加密，’”Russo在接受SearchSecurity.com的采訪中稱，“這是一個(gè)建議，如果你打算通過移動(dòng)手機(jī)或者平板電腦來刷卡，那么當(dāng)然我們要確保任何進(jìn)入手機(jī)的數(shù)據(jù)都要進(jìn)行加密。”

PCI 委員會(huì)已經(jīng)明確表示，不會(huì)干涉PCI DSS規(guī)定使用特定產(chǎn)品。在2008年，PCI委員會(huì)被迫發(fā)出PCI DSS要求6.6(關(guān)于保護(hù)web應(yīng)用程序免受攻擊)的補(bǔ)充澄清。該標(biāo)準(zhǔn)要求至少每年進(jìn)行一次代碼漏洞審查，或者安裝web應(yīng)用程序防火墻。這造成了 web應(yīng)用程序防火墻銷量激增，因?yàn)樯碳野l(fā)現(xiàn)安裝防火墻要比執(zhí)行年度審查更節(jié)約成本。澄清建議商家“兩手都要抓”以確保合規(guī)性，但同時(shí)指出代碼審查和某些防火墻部署對(duì)于某些商家而言并不可行。PCI委員會(huì)還警告商家在安裝防火墻時(shí)，要進(jìn)行正確的配置和監(jiān)控。

兩頁的移動(dòng)支付接受報(bào)告于5月 16日發(fā)布，其中呼吁使用P2P加密硬件(PCI委員會(huì)認(rèn)證讀卡器)來確保捕捉點(diǎn)的加密。該建議旨在針對(duì)小型企業(yè)，包括想在其移動(dòng)設(shè)備使用讀卡器的個(gè)人等。Russo表示，該文件還要商家參看PCI P2P加密報(bào)告，這是加密計(jì)劃的基礎(chǔ)。PCI委員會(huì)表示，將會(huì)公布認(rèn)證P2P加密硬件清單。

“我們現(xiàn)在打開了一個(gè)從未有過的商業(yè)新領(lǐng)域，”Russo表示，現(xiàn)在信用卡已經(jīng)應(yīng)用到以前沒有的領(lǐng)域。”

PCI委員會(huì)去年對(duì)移動(dòng)支付應(yīng)用程序發(fā)表了一份聲明，該聲明包括一份清單，確定哪些移動(dòng)支付應(yīng)用程序符合其PA DSS要求。另外，保護(hù)移動(dòng)支付交易的最佳做法文件將于今年晚些時(shí)候發(fā)布。

PCI委員會(huì)正在準(zhǔn)備云計(jì)算、電子商務(wù)和風(fēng)險(xiǎn)評(píng)估的指導(dǎo)文件

PCI委員會(huì)本周宣布將從6月1日開始接受對(duì)2013年研究領(lǐng)域的建議，目前已經(jīng)有三個(gè)志愿特別興趣小組(SIG)正在研究云計(jì)算、電子商務(wù)應(yīng)用和風(fēng)險(xiǎn)評(píng)估，委員會(huì)將于今年晚些時(shí)候發(fā)布指導(dǎo)文件。

云計(jì)算特別興趣小組為了保護(hù)支付數(shù)據(jù)和減小范圍提出建議,在研究不同的云架構(gòu)模型。指導(dǎo)文件還將解決如何維護(hù)和驗(yàn)證不同云計(jì)算對(duì)PCI DSS的合規(guī)情況。PCI委員會(huì)去年發(fā)布了一份保護(hù)虛擬環(huán)境中支付數(shù)據(jù)的報(bào)告，報(bào)告中警告說公共云、多租戶環(huán)境正在挑戰(zhàn)PCI合規(guī)，因?yàn)?ldquo;租戶間的物理隔離是不實(shí)際的”。該小組計(jì)劃解決PCI DSS評(píng)估范圍內(nèi)的虛擬組件問題，相關(guān)報(bào)告將于10月發(fā)布。

電子商務(wù)特別興趣小組正在審查常見電子商務(wù)支付應(yīng)用程序部署情況,以研究如何降低信用卡數(shù)據(jù)被盜的風(fēng)險(xiǎn)。商家及其電子商務(wù)服務(wù)供應(yīng)商的角色和責(zé)任同樣是研究重點(diǎn)。目前，一些公司在整合 web應(yīng)用程序支付功能與第三方支付處理器,以消除卡存儲(chǔ)和減小PCI DSS范圍。該小組計(jì)劃在8月發(fā)布報(bào)告。

#p#

Russo表示：“基本上這是在解決如何在網(wǎng)絡(luò)環(huán)境下安全操作。”風(fēng)險(xiǎn)評(píng)估特別興趣小組則在解決如何適當(dāng)?shù)剡M(jìn)行和記錄年度風(fēng)險(xiǎn)評(píng)估，以及如何評(píng)估第三方(例如業(yè)務(wù)合作伙伴)或托管環(huán)境的影響。Russo表示，該小組已經(jīng)完成了第一個(gè)草案，為分類和記錄資產(chǎn)制定了一個(gè)標(biāo)準(zhǔn)方法，并提出了評(píng)估資產(chǎn)以抵御風(fēng)險(xiǎn)和漏洞的方法。Russo表示：“這些來自于需要遵守PCI 12.1.2的人們的反饋意見。”該小組同樣計(jì)劃在8月發(fā)布報(bào)告。

下面Russo解釋了PCI委員會(huì)對(duì)移動(dòng)安全采取的方法，并進(jìn)一步解釋了移動(dòng)支付的最新指導(dǎo)文件，以及為什么沒有特別興趣小組研究移動(dòng)安全問題：

去年我問了關(guān)于移動(dòng)的問題，你提到移動(dòng)專案小組將要啟動(dòng)。

Bob Russo：我們剛剛發(fā)布了關(guān)于移動(dòng)的文件。我們現(xiàn)在打開了一個(gè)從未有過的商業(yè)新領(lǐng)域，我們有很多收購商希望增加幾十萬個(gè)商家。這個(gè)文件為計(jì)劃使用信用卡支付的商家解釋了各種他們需要了解的信息。

我認(rèn)為該文件幾乎認(rèn)同了點(diǎn)到點(diǎn)加密。我知道PCI委員會(huì)在過去追捧Web應(yīng)用程序防火墻(WAF)等技術(shù)，但在WAF銷售量激增后，PCI委員會(huì)開始猶豫對(duì)特定技術(shù)的批準(zhǔn)。是不是如此呢?

Russo：正是如此。我們這并不是追捧某個(gè)特定的技術(shù)，只是說，“如果你打算在加密狗上刷卡，它們需要加密。”

該文件建議使用點(diǎn)到點(diǎn)加密，以及點(diǎn)到點(diǎn)加密計(jì)劃下認(rèn)證的硬件。

Russo：是的，這只是一個(gè)建議。如果你打算通過移動(dòng)手機(jī)或者平板電腦來刷卡，那么當(dāng)然我們要確保任何進(jìn)入手機(jī)的數(shù)據(jù)都要進(jìn)行加密。

多年以來，移動(dòng)一直是一個(gè)問題。為什么沒有針對(duì)移動(dòng)的特別興趣小組?是否有特殊的原因?

Russo：移動(dòng)存在很多固有的安全問題。從方便的因素來看，人們需要移動(dòng)性，消費(fèi)者當(dāng)然也需要。但我認(rèn)為當(dāng)涉及移動(dòng)時(shí)，商家會(huì)有些謹(jǐn)慎，只是因?yàn)橐苿?dòng)非常不安全。如果這是簡單的事情，肯定已經(jīng)出現(xiàn)各種移動(dòng)安全標(biāo)準(zhǔn)。這不是一個(gè)簡單的領(lǐng)域，涉及很多不同的因素，例如設(shè)備本身在某種程度上并不安全，不足以保護(hù)信用卡數(shù)據(jù)。

通過近場(chǎng)通信(NFC)技術(shù)，PayPal和谷歌擁有移動(dòng)支付技術(shù)，電信運(yùn)營商正在推出他們的技術(shù)，信用卡品牌商也在推出自己的移動(dòng)支付解決方案。這是不是讓PCI難以妥當(dāng)?shù)亟鉀Q這些產(chǎn)品的安全問題?因?yàn)樗麄冇滞苿?dòng) PCI DSS，又受限于它，這讓人感到困惑。

Russo：我要重提我的舊口頭禪：如果你正在存儲(chǔ)、處理或者傳輸信用卡數(shù)據(jù)，不管你是誰，你都要擔(dān)心安全性以及應(yīng)對(duì)這些標(biāo)準(zhǔn)。不管是收購商，還是供應(yīng)商，如果他們想要進(jìn)入這個(gè)領(lǐng)域，他們就不得不擔(dān)心安全性問題，遵守我們的標(biāo)準(zhǔn)。沒有人能例外。