快捷搜索:

利用标记化和交易加密减轻信用卡风险

要不了多久,信用卡资料就会一文不值,这确凿是件好事。信用卡安然正在从设置障碍防止信用卡资料被偷取转向使信用卡资料无法用于取利。经由过程对信用卡资料进行抽象化处置惩罚,使真正的信用卡资料无法随意马虎以致根本不能从抽象化的数据中推导出来,应用抽象的数据替代真正的信用卡资料,而抽象的数据只在单次买卖营业的特定高低文中有效。这种措施可能能更有效地保护信用卡资料和减轻信用卡风险。

这种保护信用卡资料的抱负措施的紧张根基是两种既互相关联又互相自力的技巧:

标记化(Tokenization)——标记化是指提取紧张的数据(例如信用卡号码)并对其进行抽象化处置惩罚,使其变为另一串无法用来取利的数值。

买卖营业加密(Transaction Encryption)——买卖营业加密是指在信用卡资料输入系统(例如POS终端或电子商务网站)时就对其加密,并将加密后的数据传输到其目标系统,直到为完成买卖营业而对其解密。买卖营业加密斩断了收集罪犯使用偷取的信用卡资料在开放市场中获利的道路。

从商家的角度来看,标记化和买卖营业加密的目的是经由过程打消真正的信用卡资料在商家环节的裸露,从而有效地保护信用卡资料,并减轻商家遵守支付卡行业数据安然标准(PCI DSS)的责任。只管标记化和买卖营业加密技巧还处于早期阶段,然则许多商家盼望现在就采纳这两项技巧。事实上,美国技巧和市场钻研公司Forrester Research Inc近来的一项钻研注解,支付卡行业供给成熟的、能够获得行业认可的标记化产品的能力还难以达到商家对采纳标记化技巧的期望。

抽象化和加密信用卡资料是一种有效的信用卡安然办理规划,有可能使支付卡行业发生厘革,并使买卖营业链条中的所有利益相关者从中受益。然而,这两项技巧还不太成熟。是以,Forrester公司建议,在评价标记化或买卖营业加密产品时,安然和风险专家应该遵照以下步骤:

1. 循规蹈矩——斟酌采纳标记化的安然和风险专家必然要在条约中约定,自己选择的供应商有使命应对支付生态系统的变更,而这种变更可能会影响供应商供给的产品。每个供应商供给的标记化产品可能各不相同。当一个系统吸收钻研职员和现实天下进击的验证时,它可能会在今后被证实是有问题的或不安然的。这种环境在其他安然领域已经发生过。例如,像WEP(有线等效协议)和LEAP(轻量级可扩展身份验证协议)等无线协议都被发明是不安然的。因为美国信用卡和支付卡行业安然标准委员会尚未充分斟酌这一问题,是以要留意,现有的任何标记化技巧产品都只是对实施标记化的适当要领的预测。

今朝,采纳标记化技巧的公司购买的是一种高度定制的产品。跟着光阴的推移,市场将会调剂实施标记化的资源并使其维持稳定。然则,早期采纳标记化技巧的公司应该做好交膏火的生理筹备。可以估计,吸收信用卡支付的公司很快将会采纳标记化和买卖营业加密技巧,由于与减轻数据泄露风险和满意客户的迫切要求比拟,这点短期资源是微不够道的。

2. 检察标记化系统获守信用卡资料的要领——紧张的是要懂得商家应用信用卡资料的两种不合要领:有卡买卖营业(Card-Present Transaction)和无卡买卖营业(Card-Not-Present Transaction)。每种类型的买卖营业都必要一个专门的产品,以采纳标记化技巧。只管有卡买卖营业将是标记化技巧的主要利用处合,然则无卡买卖营业(即在线买卖营业或电话买卖营业)也可以应用标记化技巧增强安然性。

PCI DSS对这一问题的要求很可能基于在有卡买卖营业中PIN码输入设备(PIN Entry Device,PED)获取和加密信用卡资料的要领。要确保信用卡资料永世不会以未加密的形式从PED设备传输到其他系统。因为支付卡行业和信用卡安然的监管机构尚未卖力斟酌这一问题,以是必然要审慎行事,将你的刷卡设备进级为支持加密的产品,在PED设备上应用硬件加密信用卡资料。

3. 扩展标记化和买卖营业加密技巧的代价——虽然大年夜多半公司斟酌采纳标记化和买卖营业加密技巧是为了相符PCI DSS服从性,但必要指出的是,其他数据也可能受益于这些技巧。假如你在公司内部实施了这些技巧,你就能够对其他敏感数据进行标记化处置惩罚,例如小我身份信息(Personally Identifiable Information)或受保护的康健信息(Protected Health Information)。是以,可以将在标记化信用卡资料上的投资代价扩展到险些任何其他类型的监管数据,从而减轻你的总体律例服从包袱。

您可能还会对下面的文章感兴趣: