基于硬件的点到点加密技术得到支付卡行业安全标准委员会(Payment Card Industry Security Standards Council,简称PCI SSC)的首肯,该委员会已经发布已更新要求和测试步骤,以确保设备满足最低程度的安全要求。

上个月该“PCI点到点加密解决方案要求及测试步骤”文档已经被修改,增加了新的指导意见,用于商户实施经过验证的点到点加密产品。该指导为加密提供商确立了测试步骤,它是用于验证或是证明点到点加密组件的名单的基础。版本1.1的文档也引入为合格安全评估员(Qualified Security Assessors,简称QSA)的培训计划,为那些能够正确地评估点到点加密部署方案的安全评估员们提供专门的标识。

“这个名单会朝着减少范围的方向走很长一段路,以便让参与正确地选择和实施点到点加密解决方案的每个人可以更容易地处理”,Diana Kelley说道。他是位于新罕布什尔州的咨询公司Security Curve的一名合伙人。

这个新发布的文档解决的是基于硬件的点到点加密,但是没有涉及到基于软件的加密。PCI SSC的CTO、Troy Leach谈到委员会打算解决混合方案的测试要求,混合方案中软件被用在硬件加密产品的某些组件中。Leach表示一个最终的文档将会解决使用软件作为解密机制用于所有加密密钥的问题。他补充道,目标是尽可能地彻底解决各种点到点加密技术实施中的问题。

在这个经过修订的文档内,商户被要求选择通过PCI DSS安全要求的交互点(point-of-interaction,简称POI,是POS机的组件)设备用于PIN码交易。该文档要求考虑用点到点加密方案部署的商户要负责与他们的收单银行(即商户合作银行)紧密地协作,以便判断可以实施哪些验证过的设备。

整个计划都是自愿性质的,Leach表示。但是之后这个指导会帮助商户们正确地减少他们系统PCI DSS评估的范围。他表示未来没有计划将点到点加密涵盖到PCI DSS合规当中。“这对于商户们来说不仅是让他们知道有解决方案、并且我们已经知道它们,”Leach表示。“实际上这些测试要求不是为了商户们,它们是用于开发产品的解决方案提供商。PCI委员会也在开发新的流水化自我评估问卷调查,以便让3级和4级商户更加容易地证明其环境满足PCI合规标准。”

今年夏天会发布一份已验证点到点加密组件名单。在这个测试要求下,加密硬件设备必须包含所有的信用卡交易数据,来隔离商户的持卡人数据环境。根据该文档要求,账户数据总是直接地输入到设备中、并且在传输前被加密。

该委员会的指导文档也声明所有与操作有关的账户数据将由通过验证的提供商管理。此外,该文档声明要求点到点加密提供商需要向商户们提供概述他们职责和控制措施的指导手册。

PCI点到点加密故障处理

PCI委员会还增加了在点到点设备发生故障情况下商户新的责任。如果商户继续接受信用卡支付,他必须与遵循与加密提供商之间专门的“选择性退出”过程,告知提供商该商户选择在没有点到点加密保护的情况下处理交易。Leach表示该过程让商户在设备发生故障情况下也能保持灵活。例如,某个零售店可能有数百名顾客排队等待结账,他可以决定尽管缺少加密手段,也处理这些交易。

“这个选择性退出是意识到有可能发生技术上的问题。提供该关键加密服务的解决方案提供商必须意识到这个变化,以及导致的流程规避问题。所以在标准中有变通性,因为可能发生技术上的回退方案”。

PCI点到点加密解决方案:短暂的历史、缓慢地采用

该PCI委员会在2011年9月发布了点到点加密文档的首个版本,表明正确实施的系统可以减少PCI DSS评估的范围。之前该委员会认为加密技术不太成熟,它希望最新的指导意见会让商户及加密服务提供商有办法评估设备,并且确保它们满足最小程度的安全要求,符合PCI DSS的精神。这些设备必须正确地与网络的其余部分隔离开来,并且信用卡数据从被输入的那一刻就必须加密,直到传输到处理方和银行系统。

这种技术的采用一直进展缓慢,Mark Akins表示。他是一名QSA,同时也是位于佛罗里达Coral Springs市的合规评估咨询公司 1st Secure IT的CEO。他表示要求QSA 进行PCI评估的组织已经在安全方面为了满足PCI DSS做出大量投入,并且尚未取消和替换他们的支付终端,以便支持点到点加密。大多数的大型商户在投资新的系统之前会一直等待到设备的使用期限为止。

“我认为点到点加密解决方案是一件好事,它取消了对商户的许多要求”,Akins说道。“它不是一种边缘技术,而是一种尖端技术,在它成为主流技术前,我不认为我们会看到太多的人寻找经过培训的QSA来评估它”。

其它商户依赖于服务提供商来处理信用卡,Akins谈到。采用标记化技术来去除信用卡数据已经被服务提供商当作一种SaaS选择推向他们的客户。咨询公司Security Curve的Kelley谈到,拥有较少支付终端的中小型企业很可能会首先使用点到点加密设备来确保支付数据的安全。如果使用它的话,小型商户也只有极少的IT职员,它们会依赖于他们的收单银行、支付处理器以及加密提供商的帮助和指导,Kelley表示。

这个新出炉的点到点加密验证计划将会极大依赖于其它的PCI标准。设备必须满足PIN码交易安全(PIN Transaction Security,简称PTS)要求。根据该文档,用于加密和解密环境的密钥操作使用源自PTS安全标准的密钥管理做法。设备上的应用必须满足来自支付应用数据安全标准( Payment Application Data Security Standard ,简称PA-DSS)的要求。并且最终该解密环境必须是满足PCI DSS合规要求。