交易加密是指在信用卡资料输入系统(例如POS终端或电子商务网站)时就对其加密,并将加密后的数据传输到其目标系统,直到为完成交易而对其解密。交易加密斩断了网络罪犯利用窃取的信用卡资料在开放市场中获利的途径。
从商家的角度来看,交易加密的目的是通过消除真正的信用卡资料在商家环节的暴露,从而有效地保护信用卡资料,并减轻商家遵守支付卡行业数据安全标准(PCI DSS)的责任。事实上,美国技术和市场研究公司Forrester Research Inc最近的一项研究表明,支付卡行业提供成熟的、能够得到行业认可的标记化产品的能力还难以达到商家对采用标记化技术的期望。
抽象化和加密信用卡资料是一种有效的信用卡安全解决方案,有可能使支付卡行业发生变革,并使交易链条中的所有利益相关者从中受益。然而,这两项技术还不太成熟。因此,Forrester公司建议,在评价标记化或交易加密产品时,安全和风险专家应该遵循以下步骤:
循序渐进——考虑采用标记化的安全和风险专家一定要在合同中约定,自己选择的供应商有义务应对支付生态系统的变化,而这种变化可能会影响供应商提供的产品。每个供应商提供的标记化产品可能各不相同。当一个系统接受研究人员和现实世界攻击的验证时,它可能会在以后被证明是有问题的或不安全的。这种情况在其他安全领域已经发生过。例如,像WEP(有线等效协议)和LEAP(轻量级可扩展身份验证协议)等无线协议都被发现是不安全的。由于美国信用卡和支付卡行业安全标准委员会尚未充分考虑这一问题,因此要注意,现有的任何标记化技术产品都只是对实施标记化的适当方式的猜测。
目前,采用标记化技术的公司购买的是一种高度定制的产品。随着时间的推移,市场将会调整实施标记化的成本并使其保持稳定。但是,早期采用标记化技术的公司应该做好交学费的心理准备。可以预计,接受信用卡支付的公司很快将会采用标记化和交易加密技术,因为与减轻数据泄露风险和满足客户的迫切要求相比,这点短期成本是微不足道的。
审查标记化系统获取信用卡资料的方式——重要的是要了解商家使用信用卡资料的两种不同方式:有卡交易(Card-Present Transaction)和无卡交易(Card-Not-Present Transaction)。每种类型的交易都需要一个专门的产品,以采用标记化技术。尽管有卡交易将是标记化技术的主要应用场合,但是无卡交易(即在线交易或电话交易)也可以使用标记化技术增强安全性。
PCI DSS对这一问题的要求很可能基于在有卡交易中PIN码输入设备(PIN Entry Device,PED)获取和加密信用卡资料的方式。要确保信用卡资料永远不会以未加密的形式从PED设备传输到其他系统。由于支付卡行业和信用卡安全的监管机构尚未认真考虑这一问题,所以一定要谨慎行事,将你的刷卡设备升级为支持加密的产品,在PED设备上使用硬件加密信用卡资料。