令牌化技术对PCI DSS合规的影响是怎样的?

安全
我对身份验证和支付行业的令牌化技术概念感到困惑,请问作为一次性密码的令牌与Apple Pay使用的令牌有什么区别?同时,PCI DSS等合规机构如何看待令牌化技术?

我对身份验证和支付行业的令牌化技术概念感到困惑,请问作为一次性密码的令牌与Apple Pay使用的令牌有什么区别?同时,PCI DSS等合规机构如何看待令牌化技术?

[[157683]]

Mike Chapple:令牌化技术是我最喜欢的安全技术之一,特别是因为它可帮助减少PCI DSS合规范围。在深入研究该技术的工作原理之前,让我来解释一下让大家困惑的一个问题。在安全领域,“令牌”被用在两个概念中。大家熟悉的令牌可以是指人们携带的物理实体(通常在钥匙链上),它可以生成一次性密码,用在多因素身份验证系统中。但这并不是我们在令牌化技术中谈到的令牌。

令牌化技术中使用的令牌是指用于取代敏感数据的字母数字代码,令牌化技术(例如Apple Pay和很多较新的POS系统中使用的技术)使用这些代码来代替零售商记录中的信用卡号码。在正确部署的情况下,这种技术可以确保信用卡号码不会接触零售商的系统,帮助其减少PCI DSS合规范围。

例如,客户可能会在商店的收银台使用令牌化技术,他/她可通过自助服务读卡器刷信用卡,这张卡使用了只有银行知道的加密密钥,在这位客户刷卡时,该读卡器可能会使用点对点加密技术来加密敏感信用卡信息。随后,加密的信用卡号码会通过零售商系统发送到银行进行处理。与此同时,POS系统会在其记录中记录令牌值,银行可使用这个数值绑定到特定信用卡交易。POS系统永远不会看到未加密的信用卡号码,所以它并不在PCI DSS合规范围内。

支付卡行业安全标准委员会已经认识到令牌化技术的价值,并支持大家使用该技术来提高安全性以及减少合规工作范围。

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2021-06-02 08:37:33

HTTPSPCI DSS合安全检测

2011-12-06 13:23:00

2010-12-13 13:43:16

PCI DSS数据泄漏

2014-10-23 13:09:53

2009-06-05 08:39:12

PCI数据安全atsec

2014-01-23 09:36:12

云计算合规PCI DSS 3.0云计算

2014-12-05 10:21:15

谷歌谷歌云平台云服务

2014-10-13 10:46:57

PCI DSS 3.0法规遵从安全审计

2014-03-26 09:23:13

2010-12-16 11:03:07

2014-09-22 10:25:56

应用安全PCI DSSPA-DSS

2013-05-02 15:47:45

2015-01-05 11:00:46

2012-12-11 14:53:11

2022-06-10 13:58:22

数字化转型数字革命

2018-05-31 21:53:17

云合规云计算多云

2015-02-09 09:21:48

2019-07-09 14:12:13

漏洞评估风险

2009-09-25 11:03:35

PCI DSS数据完整数据安全

2014-07-22 09:25:48

LTEPTN4G
点赞
收藏

51CTO技术栈公众号