PCI委员会已经颁布了期盼已久的用来解决令牌化技术(PCI tokenization)使用的指南,以便淘汰来自厂商系统的主账号(primary account numbers ,PANs)。据位于斯坦福的令牌化厂商Protegrity公司的CTO Ulf Mattson表示,尽管发布了该报告,令牌化市场还是受到许多问题的困扰。Mattson说,无数的令牌格式已经造成厂商锁定(vendor lock-in),限制商户改变系统或使用多个支付处理器的能力。Mattson谈到,其他的令牌化系统存在扩展性问题并且无法与别的形式的敏感数据类型交互。
Mattson是PCI令牌化特别兴趣小组的成员,该组织帮助制定了最近的PCI令牌化指导文档——“PCI令牌化指南(.pdf)”。他谈到,该组织花了大概一年时间来规划该文档的细节。令牌化厂商长久以来对于许多细节包括支持的令牌格式和创建令牌的方法存在分歧。在访谈中Mattson解释到,该PCI指导文档是很好的第一步,但是在该技术被全心全意地采用前,这个行业首先需要化解长久以来的争议。
关于令牌化的新PCI指导文档有多重要?
Ulf Mattson:我认为这是十分必要的。虽然它来的有点晚。它是委员会关于令牌化的首次确认,并且这是从PCI的角度证实令牌化道路的第一步。除了这个附录外,我们需要添加更多的步骤。不幸的是该补充说明包含了许多免责声明。委员会和主要的信用卡品牌在最后一刻添加了免责声明。委员会还没有计划就此创建任何确认。
提出一个可行的文档有多困难?
Mattson:这是非常困难的,即使在大约一年前提出了关于Visa的建议。委员会表示想掌握领导权,因为有太多的争议。正由于有许多的波折才延缓了该文档的最终定稿。
该文档中缺少了什么?
Mattson:我认为在最终阶段许多具有争议性的问题被遗留了下来。该指导文档开始给技术一些权重(让技术占文档的一部分),但是这增加了比以前更多的问题。我认为它缺少了厂商锁定问题。当你开始进行令牌化时,替换令牌会更加困难。例如,如果你和某个外包合作伙伴或支付网关进行令牌化,那你就真的无法脱身了。这些令牌是高度定制化的,且它们边布你的应用和数据库。有时,它们紧密地集成到你的应用中,因为某些应用不会容许该令牌格式,所以必须有一些定制化和转换。在这个文档中应该有一些关于锁定方面的建议。
为什么这个市场的厂商不能够团结起来并创建一个行业标准,以便让企业能更换令牌提供商?
Mattson:我目前在ASC X9标准机构工作,该组织正在解决令牌化问题。我们正在朝着正确的方向前进,但是一些厂商正在推动他们的模型。例如,某个厂商正在使用一种加密格式并且他们称之为令牌化。这是一个极端的例子,但是我们已经看到了进展。Visa的最佳实践和PCI委员会的附录都清晰地表明,想在范畴之外生成令牌是不能接受的方式。委员会解释道,某个厂商的加密格式只不过是一个加密的主账号,且是在PCI范畴内加密的PAN。
还有其它问题延缓了标准出台么?
Mattson:还有其它关于外包令牌化的争议点。某些厂商主张如果你令牌化外包,你就真正地陷入到厂商锁定的情形。所以,如果你需要两个支付网关该怎么办?你如何处理从一家支持解决方案提供商切换到另一家的问题?较大的商户都想内部完成该功能。如果我们观察即将到来的数据泄漏法案,它不是只关于PAN的。这里有个关于PII数据、PHI数据和持卡人数据的问题,并且对于令牌化这些数据类型它们有类似的需要。对此(令牌化不同类型的数据)奏效的唯一模型是自建(in-house)令牌化服务器。
该指导文档说有可能减少令牌化的范围,但是正如你所说,它里面有许多免责声明。你怎么能充分地将组件从令牌化系统和持卡人数据环境中分离出来?
Mattson:如果去掉免责声明,你会看到只有你的令牌服务器需要隔离。如果你有一个自建的令牌化服务器,你需要将它放在一个隔离的网段。这也是许多具有资格的安全顾问(Qualified Security Assessors,QSA)正在考虑的问题,哪些在范围内和哪些范围外。