PCI安全标准委员会在10月28日下午发布了PCI DSS(支付卡行业数据安全标准)第二版。PCI安全标准委员会负责制定商家和服务提供商处理敏感的持卡人数据的网络和安全标准。
据PCI安全标准委员会总经理Bob Russo说,新标准对于目前的PCI DSS 1.2版标准没有重大的修改。Russo说,还在进一步澄清“辖域”(scoping),就是明确持卡人数据在一个机构内部存储或者传输的边界的过程。
然而,就在2.0安全标准推出的时候,新的颠覆性移动支付技术似乎令委员会感到意外。例如,有一种名为“Square”的小型塑料读卡器可以插入到iPhone、iPad或者Android手机中,允许用户进行信用卡支付。
Russo承认,现在还没有用iPhone接受信用卡支付的标准。移动支付是未来要解决的问题。
Square是Twitter共同创始人Jack Dorsey与旧金山地区的一位企业家共同发明的,正在成为一种信用卡支付方式。这种设备目前是按照信用卡支付交易的比例免费赠送的。此举对销售点设备厂商和销售人员将产生颠覆性的影响。
新的PCI DSS 2.0标准根本没有解决Square等移动支付技术问题。Russo在谈到Square时说,我们不知道这个技术是否安全。但是,他补充说,也没有禁止使用这种技术。他劝告早期的应用者要谨慎行事。
PCI DSS 2.0标准将在2011年1月1日开始生效。PCI DSS 1.2标准将在2011年12月31日作废。Russo说,将有一个指南说明DSS 1.2和DSS 2.0之间的区别,并且明确有关“辖域”的问题。他说,就是你的数据在什么地方。
Russo说,在发生信用卡盗用后的法庭调查表明,商家或者服务提供商确实不知道敏感数据在什么地方。
Russo说,他们寻找不知道是否存在的数据,分散在意想不到的地方。这正是委员会在DSS 2.0中强调人们必须能够证明他们知道自己的数据在什么地方的原因。“辖域”对于执行PCI审计是必要的。
授权安全扫描提供商Cenzic的首席营销官Mandeep Khera说,他认为PCI DSS 2.0标准的主要变化之一是在应用安全方面。他们要求你有一个安全漏洞风险评级,并且根据这个评级优先处理事情。
但是,至于说Square等移动支付技术是否会加入到PCI DSS 2.0标准,Khera说,他对此表示乐观。他说,这是PCI的意图,那个事情很重要。不过,他补充说,拥有自己的安全规则的支付卡行业在移动支付方面正在赶上来。
Protegrity首席技术官Ulf Mattsson说,被称为标记化(Tokenization)的安全技术将作为参考技术首次出现在PCI标准中。标记化是提取数据并且用随机替换值隐藏数据真正含义的一种方法。PCI安全标准委员会打算在明年为此发布一个指南文件。
Mattsson补充说,PCI安全标准委员会明年还计划推出一个与端对端加密有关的指南文件。至于移动支付技术,如Square或他提到的Bling Nation的另一种设备,Mattsson说,他怀疑这些技术是否足够安全。
原文链接:http://www.cnw.com.cn/news-international/htm2010/20101029_210379.shtml
