Visa和MasterCard正在向商家施压要求他们部署芯片密码(Chip and PIN)技术,虽然该技术将提高交易安全,但也会让PCI合规变得更加困难。
2015年可能会是Chip and Pin技术(也被称为EMV)突破性的一年,主要是因为零售商日益浓厚的兴趣以及即将到来的最后期限:届时还没有部署该技术的商家将承担新的责任。
SearchSecurity记者最近采访了Gartner研究公司副总裁兼著名分析师Avivah Litan有关她最近对芯片密码技术的安全和合规影响的研究。
对于EMV,请您向我们的读者介绍一下即将到来的2015年10月欺诈责任最后期限的相关信息。这个最后期限意味着什么,以及它将对EMV部署产生何种影响?
Avivah Litan:基本上来讲,2015年10月1日的EMV责任调整最后期限间接激励着商家和银行部署EMV芯片。在一些国家只有相关规定,但在美国市场和其他市场,这是责任调整。这意味着在这个日期之后,如果发生欺诈交易,在发卡行、收单银行、交易处理方以及商家中,谁的安全性最低,谁就需要承担责任。也就是说,如果有人拿着芯片卡进入零售商店,而商家没有相应的销售终端系统,该商家可能要为该交易导致的任何欺诈行为承担责任。
同样地,如果商家有芯片密码兼容的终端系统,而消费者没有芯片卡,那么发卡银行必须为刷卡交易中发生的任何欺诈行为负责。所以这间接激励着银行和商家部署基于芯片密码的系统。
美国EMV迁移论坛是智能卡供应商联盟,该组织估计,到明年年底将有900万台EMV功能的支付终端,以及多达9亿张芯片卡。首先,你同意这些预测吗,以及EMV技术最终将如何影响商家保护支付数据安全的能力?
Litan:我自己并没有作出预测,但你只要看看全球各地发生的情况就可以知道答案。如果你访问EMVCo网站,你会看到其中声称现在不到30%的交易涉及EMV,不到40%的支付终端支持EMV,所以这是相当缓慢的过程。虽然美国即将到来的最后期限将会在很大程度上改变这种现状,但在其他国家,EMV芯片交易不会进展那么顺利。这些系统需要一段时间才会推出。
我认为,还要过5到7年我们才会看到85%的芯片交易,即芯片密码卡用于芯片功能的终端。在那之前,商家仍然需要按照现在的方式保护它们的系统,这仍然会是针对磁卡,商家仍然需要接受这些卡,并且,很多犯罪分子也会从中受益。这种情况在短期内并不会发生太大的改变。
一直备受争论的话题是,未使用密码的EMV交易是否比磁卡交易更安全?你的观点是什么,从长期来看,你认为银行会避免广泛部署基于密码的信用卡吗?
Litan:我认为没有密码的EMV比磁卡要安全得多,但有密码的EMV更加安全。根据美国联邦储备委员会2013年报告的数据显示,基于密码的交易和基于签名的交易相比,欺诈行为减少了700%。这是一个巨大的改进,我不明白为什么美国不迁移到芯片密码,EMV交易显然要比磁卡安全得多。
按理来说,交易欺诈的减少应该会激励银行支持芯片密码,为什么他们在拖延?
Litan:对此我有两种观点。第一,他们不想要影响客户体验。他们担心客户不习惯为信用卡使用密码,他们可能记不住密码,而不得不重置密码等。我并不同意这些观点。在加拿大,银行不想支持密码芯片是因为他们有相同的担忧,但他们最终还是这样做了,而消费者在使用中也没有出现使用问题或者记不住密码的问题。
另一个问题是,如果消费者使用密码,银行害怕这些密码会被盗并用于执行ATM欺诈。银行最担心这一点,因为他们不能逆向ATM欺诈到任何商家;ATM是银行的,这是银行的钱,他们将需要赔偿消费者的损失。由于密码可能以很多不同的方式被盗(例如略读、肩窥等),我不认为银行想要承担芯片密码的广泛使用可能带来的ATM欺诈责任。
这使我想到你最新的研究报告,其中你提到攻击者利用糟糕部署的基于EMV芯片的支付应用,破坏EMV控制来执行广泛的欺诈行为。你最关注的是什么?
Litan:从安全的角度来看,EMV本身是一个非常强大的协议,但它的部署方式也很重要;愈强壮也容易暴露愈多的缺点。在有些情况下,银行不会验证发送给他们的EMV交易数据,他们认为这没问题,所以他们没有验证密码和一次性计数器,而罪犯就利用了这一点。他们重新布线交易系统,并发送虚拟和欺诈性交易。
在商家方面,在所有人都支持使用EMV之前,他们不太可能“关闭”磁卡交易。这也让犯罪分子创建了这样的恶意软件,即当用户试图进行芯片密码交易时,提示用户首先输入其磁卡数据,然后再提示他们输入密码。
请记住,这个恶意软件并没有“破坏”EMV;它只是利用支付应用的部署方式来破坏支付应用,让它们按照他们的指示去窃取客户的支付数据。这只是两个具体的例子,还可能有更多的情况。
EMV技术对商家的PCI DSS合规有什么影响?有什么好处?
Litan:对于支付卡数据安全,EMV肯定会带来好处。当EMV交易所占比率足够高时,犯罪分子将难以找到磁卡数据来创建假冒卡。另外,在短期内EMV并不会缓解PCI合规负担,但在长期内会缓解。希望有一天商家不再需要保护磁卡数据,而是保护EMV数据,这样会更简单。
在短期内,先不说责任问题,对于考虑投资额外技术来避免支付卡数据泄露事故的商家而言,EMV有意义吗?
Litan:是的,EMV对Visa和MasterCard都有意义。从安全的角度来看,该是比磁条卡使用的协议更强大的协议。
另外,我想问你关于Apple Pay的问题。有人认为Apple Pay会给支付数据安全带来改革,你同意吗?
Litan:我不认为它会改变游戏规则,因为它只是延续Visa/MasterCard支付系统,但它比磁条卡有着显著的改进。这种支付更加安全,也很便于消费者使用。
最后,今年你最关注的PCI DSS趋势是什么?
Litan:除了犯罪分子利用糟糕部署的EMV芯片支付应用,我还关注着一些其他趋势。EMV令牌最先由Apple Pay和支付网络部署,它基于的协议不同于令牌化系统商家用于限制PCI审计范围的协议—这可能导致令牌部署冲突。我希望看到令牌化标准的更多发展,并希望它可以很好地适用于商家、发卡行和所有支付系统参与方。我也希望商家对EMV令牌协议及其BIN范围提供的更多透明度,以及识别客户的可行方法,而不需要依靠卡号码。