支付卡行业安全标准委员会(PCI SSC)首次审核通过了基于硬件的点到点加密(P2PE)产品,该委员会领导层称,这是确保支付交易安全的重要一步。
总部设在英国的European Payment Services公司是第一家通过审核的销售点(PoS)供应商,其产品EPS托管支付平台被认定为P2PE认证产品。这种认证意味着企业不仅可以使用它来确保纯文本持卡人数据从其支付环境删除,也可以简化支付卡行业数据安全标准(PCI DSS )的评估工作。
如果使用经认证的P2PE产品来接受和处理支付款交易的话,商家可以减少PCI DSS评估的范围,通常避免了PCI QSA的审查及其要求的广泛归档工作。
在法国尼斯举行的2013年欧洲社区会议上,支付卡行业安全标准委员会宣布了这一消息,该委员会多年来都在致力于促进商家和收单银行之间的P2PE部署,这个消息是迄今为止最新的也许是最重要的举措。
PCI SSC主席Rob Russo表示,即将到来的P2PE认证产品将帮助商家了解P2PE的安全性和合规性优势,并激励所有支付处理技术供应商确保其PoS产品符合SSC的规范,以给我们带来更安全的产品。
“从商家方面来看,这绝对是好消息,”Russo表示,“这项技术将会使合规过程更容易,更重要的是,让银行卡数据更安全。”
基于硬件的PoS加密如何运作
该技术采用SSC在2012年5月制定的P2PE要求和测试标准,这个技术是作为商家使用的PoS系统以及收单银行使用的后端银行卡处理系统的一部分。当银行卡在PoS被读取时,银行卡数据会立即被加密,这里可能通过传统的刷卡方式,或者通过ATM机、加油站和自动售货机的“吞入式”系统。然后这些数据会以加密形式传输到收单银行,在那里这些数据会由符合类似要求的系统来解密。SSC计划到明年敲定解密技术要求。
EPS托管支付平台依赖于基于硬件的加密技术,这种技术位于PoS内PIN输入设备(PED)。每个商家都有独特的加密密钥和CA证书,它们在生成时就被构建到PED。随后这个EPS平台将管理每个交易以确保交易由预定的目标来路由和解密。这个EPS产品还利用了PED内置的证书来验证每个PED,这个控制可以用来识别卡略读设备以及其他流氓PED。
使用传统PoS技术的商家可能需要升级或者替换其系统来享受基于硬件加密的优势,但并非总是如此。PCI SSC的首席技术官Troy Leach表示,很多商家现有的PoS系统已经具备必备的技术来利用P2PE。
作为实现PoS基于硬件加密的规划工作和开发基础的一部分,Leach表示,在2010年,SSC推出了指导方针《安全读取和交换数据(SRED)》,其中描述了PoS系统的硬件加密最佳做法,很多供应商多年来都在使用SRED开发产品。
Russo拒绝透露有多少P2PE产品目前正在接受审核过程,这些产品将由特定PePE评估人员进行审核,他表示希望在未来两年内看到上百个甚至更多的产品出现在SSC的列表中。
“在宣布第一个产品后,想要出现在这个列表中的供应商们将会开始开展很多活动,”Russo表示,“供应商会觉得如果不在名单上,他们会显得很打眼。”
基于软件的加密:进展中的工作
Leach表示,现在的公告表明SSC正在努力将经过认证的基于硬件的P2PE技术推向市场,但这方面还有很多工作需要做。由70名成员组成的SSC任务组正在制定下一个版本的P2PE要求,这将会为基于软件的支付卡加密产品定义要求和部署指南。
基于软件的加密技术带来很大的挑战。因为加密专家表示,基于硬件的加密更不太容易受到破坏,因为密钥和证书可以被硬编码到设备,而软件则很容易被精明的攻击者攻破。
“我们需要有证据证明当软件解决方案部署在零售商处时,不会受到攻击,”Leach表示,“特别是当你面临独特挑战时,例如无人值守的交易—可能没有相关的收银员。”
Leach表示基于软件的加密产品指导将于2014年发布。