PCI委员会发布PCI令牌化规则遵从指南

据支付卡行业安全标准委员会(PCI SSC)近期的一个新报告称,使用令牌化技术来淘汰信用卡数据可以减小支付卡行业数据安全标准评估的范围,但是商家必须小心避免与这个技术相关的许多陷阱。

期待已久的PCI DSS令牌化指南(.pdf)阐述了如何在商业系统中使用令牌,以及部署这个技术适当的方法,它用令牌取代主账号(primary account numbers ,PANs),以此来限制持卡人数据在环境中的流动。据这个报告称,一个在特定商业环境中适当部署的系统可以“潜在地”减小商家实现PCI DSS要求所需的工作量。

PCI委员会强调,企业的整个令牌化系统,以及与其连接和工作的所有组件,仍然在PCI的范围内,并且需要对所有PCI DSS控制进行一个全面的评估。PCI SSC的总经理Bob Russo表示,如果把令牌化引入包含了更加复杂的支付系统和流程的大型企业中,那么评估范围可能不会有显著的减小。本地的令牌化系统在减小范围方面潜力最小,而混合的和外包的系统可以显著地减小PCI范围。“通过购买一个或者多个这些技术,你并不会违反PCI DSS遵从规则的要求,”Russo说道。“如果你正在研究这些东西,那么你需要考虑到这样一个事实:一旦令牌被窃取,那么令牌自身必须变成不可用的。”

这个令牌化文档与去年夏天发布的Visa卡令牌化最佳实践(.pdf)报告遥相呼应。在商业分析系统以及支付应用中使用的令牌可能不需要这样的安全保护级别。Russo还说道,一个适当部署的系统需要最低的访问控制和监测级别,以确保它的完整性。

“让委员会表示令牌化‘可以’减小范围是重要的,” 位于新罕布什尔州阿莫斯特的咨询公司SecurityCurve 的创始人和合伙人Diana Kelley说,“我惊讶的是委员会花了这么长的时间来宣布它。我知道他们需要仔细权衡各种陈述,但是它实在是花了很长的时间,距Visa卡最佳实践发布已经整整一年了。”

虽然Russo不排除创立一个认证过程,但是现在并没有创立令牌化系统认证的计划。该委员会是在其支付应用数据安全标准架构下监管对支付应用的验证。它还会验证密码键盘设备从而帮助商家更好地评估软件和设备。

这个令牌化报告还揭示了评估市场上众多令牌化供应商的方法。据PCI SSC首席技术官Troy Leach称(他负责监管创建这个指南的特别兴趣小组(special interest group ,SIG)),企业需要评估一个供应商如何保护其系统,以及所使用的支持和令牌算法是什么,因为每个供应商都会使用其特有的方案。

Leach表示,制定这个文档花了很长的时间,因为特别兴趣小组的成员是由一些商家和许多令牌化供应商组成,他们对这个提案的某些部分存在很大分歧。分歧涉及到全部范围,因为每一个供应商都有一个处理同样问题的不同办法,他补充道。

供应商很难在所支持的令牌格式和令牌加密方面达成共识。所有供应商系统都使用“令牌”这个术语,Leach说,“但它们对此概念的理解差别过大,有时我们甚至怀疑我们是在一个方法或技术领域内开展讨论吗?而实际上,虽然多元化,但我们是在解决同样的问题,即试图使得持卡人信息不可读。但所面对的是不同的两个或者三个领域。”

Leach表示,这个特别兴趣小组有四个反馈周期,并且最终文档已更新。他还说道,在制定文档的过程中,有时会在特别兴趣小组各个成员之间发生“重大的冲突”。

“供应商留下了许多大问题,它们在某些方面就是无法达成一致,这只能让PCI委员会来解决这些问题并达成一些共同点,”他说道。“我们不打算在每一件事情上都达成一致,但是这个文档表明了所有参与者都做出了一定的贡献。”