2011年，支付产业在安全领域特别给予了以下几个方面的最新指导： EMV、基于电话线路的持卡人数据的保护、虚拟化技术、Tokenization、无线、支付应用和移动支付。下面笔者将逐一简要介绍其趋势和情况。

　　EMV

　　EMV和PCI DSS均是应对支付卡欺诈和数据泄露的重要基础，EMV降低了针对现场面对面交易环境的伪造卡片的风险，而PCI DSS依然是EMV环境中降低欺诈风险的必要要求，故而EMV和PCI DSS的有效结合将是减少欺诈并提高安全的有力途径。PCI SSC在2010年10月份已率先发布了EMV指导的初步版本。

　　基于电话线路的持卡人数据的保护要点

　　针对基于电话线路的持卡人数据，需要识别持卡人信息获取的位置和方式，制定明确的方法禁止存储语音记录中的敏感认证数据，针对禁止/消除数据存储的控制措施应进行文档化记录，并进行验证。

　　作为商户，应该对其合作的呼叫中心进行监管，查看其如何实现PCI DSS的合规。

　　虚拟化

　　今年6月份，PCI SSC发布了虚拟化指导。PCI SSC提出了虚拟化技术的指导，识别了针对PCI DSS控制领域特殊相关的虚拟化技术的特性。

　　总体来讲，目前并没有一个单一的方法或者解决方案可以安全地进行虚拟化环境的配置。虚拟化技术具有诸多的应用，适用于某一个实现的安全控制可能不能够很好的满足其他应用的要求。每一个环境将需要根据特定的设计和配置，进行单独地评估。

　　该指导给出了一系列针对虚拟化环境的安全考虑，并识别了在同一主机范围内和范围外的组件合理分隔维护工作的挑战。由于这些挑战的存在，我们鼓励机构可以考虑在整个虚拟化环境内使用PCI DSS，因为该标准提供了针对整体保护环境的安全基线和分层方法。

　　针对云架构，根据不同的云服务和/或实现，职责将会有所不同。公共的云环境需要关注复杂度的增加、动态边界、底层架构受限的可见性或控制。

　　Tokenization

　　Tokenization技术解决方案的主要目的是将敏感的PAN数据替换为非敏感的Token值。Tokenization技术可能无法从根本上规避PCI DSS合规的需要，该技术能够帮助减少PCI DSS合规建设范围的系统数量，并能简化QSA验证的工作量。Tokenization解决方案根据不同的实现可能具有非常大的差异，比如不同的开发模式、Tokenization方法和技术。

　　如果机构考虑使用Tokenization的解决方案，我们鼓励机构针对该方案彻底地执行业务影响分析的评估和持卡人数据环境引来变更的风险评估，从而确定特定的环境需要和特性，包括支付过程。该技术对于持卡人数据安全的分层实现方法具有价值。

　　机构应考虑Tokenization部署的类型是否能够最好的满足其精简持卡人数据环境和业务运转的要求，并且决定方案管理职责的相关细节。

　　Tokenization解决方案提供商（TSP：Tokenization solution provider）应比较其方案如何满足PCI SSC提出的指导，并确定如何帮助其客户实施方案以满足PCI DSS的合规要求。

　　总体来讲，TSP应负责设计有效的Tokenization解决方案，商户最终负责确保其环境满足PCI DSS的要求，而且范围内所有的组件都是年度PCI DSS合规评估的一部分。

　　某个系统如果仅仅包括了Token，它并不是自动地会被排除于持卡人数据环境（CDE）范围之外。机构必须合理的分隔Tokenization系统和CDE，且必须确保Tokenization系统不具有从Token到PAN的转换能力。

　　PCI SSC和评估机构atsec均鼓励机构能够尽可能的精简持卡人数据环境范围，比如在尽可能多的位置使用Token替换PAN的存储；对现有PAN的捕获点和数据值进行限制；将Tokenization与P2PE相结合，使得商户任何情况下都看不到持卡人数据；确保所有PAN数据在源系统上安全删除；选择解决方案确保商户一旦获取Token，不能抽取出PAN的信息。

　　最后，当我们审核Tokenization解决方案时，机构应充分考虑该方案是否满足适用的PCI DSS的要求，这有助于机构PCI DSS的合规建设，且生成Token之后可以消除机构存储或者访问持卡人数据的需要。

　　无线

　　谈及无线安全，无线特别工作组（Wireless SIG）和PCI SSC早在2009年就发布了针对于该领域的补充说明，并于近日进行了更新。更新的版本更好的与PCI DSS v2.0版本相一致，且包括了针对安全蓝牙技术的额外指导。

　　出于物理层面对无线访问点的安全性考虑，机构应特别关注维护相关的最新硬件资产清单。

　　该更新指导也给出了一系列的方法，从而满足PCI DSS的要求11.1，包括自动扫描工具（如无线扫描和分析、无线IDS和NAC控制），详细组件和网络的物理和逻辑审查，以及恶意设备检测的建议。

　　人员培训和安全意识教育对于识别恶意无线设备是非常重要的环节，根据环境的大小和复杂度、授权的无线技术以及其他环境特定因素和检测的方法可能有所不同。

　　支付应用以及移动支付

　　支付应用（PA：Payment Application）和移动支付的安全性一直是笔者所关注的领域。

　　针对PA DSS标准，和PCI DSS类似，2011年12月31日PA DSS旧版本v1.2.1正式过期而不在使用（针对新的评估验证），对于已有的已经通过PA DSS v1.2.1验证的支付应用将于2013年过期需要进行重新评估。

　　2011年6月，PCI SSC发布了针对PA DSS和移动支付安全相关的指导。

　　该指导识别了目前针对不同类型的移动应用支付产业的接受情况。简而言之，目前移动支付接受类别1或类别2的应用进行PA DSS的评估，包括PTS认可设备上设计的应用和其他专有POS功能的设备。而类别3的应用（一般目的的智能设备）目前还不能被PCI产业接受，也不能执行PA DSS验证。而PCI标委会和产业也正在积极调研这类应用支持PCI DSS合规环境的能力，相关设备、指导和潜在的标准也正在研究。

　　对于移动支付，PCI标准委员会设置了一个任务组进行该产业专项的协调和调研工作，并推动相关产业指导的发展，比如OWASP移动项目、Global platform、GSMA、BITS、NIST和ANSI/ISO。
 

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。