在过去的的好多个月里,PCI Knowledge Base一直在对商业服务风险联合会相关诈骗和欺诈管理方法的支付卡领域法律规定规范的危害开展专业化科学研究。大家所认识的一点是,总体来说支付卡领域操纵在降低内部结构诈骗层面是最有效的。
有一些控制方法是紧紧围绕限定有权利使用信用卡数据的职工总数,有的对策则是重视将大部分职工应用的体系与用户数据自然环境相分离。但是安全支付行业的最受欢迎发展趋势是二种做为规范应用的技术性。她们便是令牌网和端到端加密。
端到端加密现阶段处理的主要是内部结构风险问题。针对许多企业而言,加密并不是集中化开展监管的。它是一种可以简单提升到系统软件中的特点;它可以存有于电脑操作系统,数据库,POS机器设备这些当中。乃至在用户自然环境中,布署各种各样不一样加密和多种双因素认证系统软件的情形也很普遍。
在这样的情况下,支付卡数据很有可能务必根据里面的多种系统软件才可以抵达规定的金融机构或是CPU。結果便是让人深恶痛疾的"加密,破译,再加密"的各种各样阶段,这也为没经认证的内部结构风险生产制造了空缺。
应用端到端加密的企业对进到点数据开展加密(例如POS,电商物流支付工具和客服中心手机软件),随后将加密的数据根据传送步骤传送到接受方。支付卡号不容易以没经加密的情况储存在零售方机器设备上。
几类用以POS方式和五花八门商品的设施还可以用以电商物流方式,可是要是公司坚持不懈将这种数据储存和应用于别的系统软件,那麼这种机器设备中的任意一种都很有可能没法充分发挥。
端到端的此外一个关键环节是,一些公司关心于公司对端到端的观点,而不是将终端设备做为接受方来界定。此外,在一些公司中用于解决返钱的协议书可以会在端到端阶段中深陷错乱。
有关加密必须牢记的是端到端加密是12种支付卡领域控制措施中的一种。看上去在2010年秋天发布的PCI DSS要求新一代版本号中不大可能会删掉别的11种PCI DSS操纵,缘故是每一种操纵都是有其采用的地区。
此外,有关动态口令能处理任何问题的讨论各不相同。令牌网是根据代理商号或是动态口令来更换信用卡号码或是别的商业秘密数据,随后将这种支付卡数据集中化(或是业务外包)来降低内部结构风险。
在梦想的全世界里这类设计构思是很有可能的。但是在人们的分析之中,大家发觉沒有一家一切知名企业可以彻底将支付卡数据删掉或是业务外包,即使她们布署了令牌网。导致这类客观事实的缘故包含公司要求,变更她们生产制造系统软件需要的成本费用和具体搜索和消除全部支付卡数据的难度系数。
另一方面,一些方式单一或是选用集中精力数据管理体系构架的中小型企业在解决动态口令数据解决和政策法规遵循难点层面是最顺利的。因而无论储存哪种银行信用卡数据,这种公司都必须选用加密来合乎政策法规要求和降低内部结构风险。
大家的科学研究预测分析,在未来两到三年内端到端加密和令牌网将在几乎任何的大中型和中小型企业中共存。一方替代另一方都必须将大中型的,多种渠道零售商或是服务提供商考虑到以内。