利用标记化和交易加密减轻信用卡风险

　2010-05-28 00:00:00　来源：WEB开发网　闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾剧懓顪冪€ｎ亜顒㈡い鎰Г閹便劌顫滈崱妤€骞婄紓鍌氬€瑰銊╁箟缁嬫鍚嬮柛顐線缂冩洟姊婚崒娆戭槮婵犫偓闁秵鎯為幖娣妼缁愭鏌″搴′簽濞戞挸绉甸妵鍕冀椤愵澀娌梺缁樻尪閸庣敻寮婚敐澶婂嵆闁绘劖绁撮崑鎾诲捶椤撴稑浜炬慨妯煎亾鐎氾拷

闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾剧懓顪冪€ｎ亝鎹ｉ柣顓炴閵嗘帒顫濋敐鍛婵°倗濮烽崑娑⑺囬悽绋挎瀬闁瑰墽绮崑鎰版煙缂佹ê绗ч柍褜鍓﹂崣鍐潖閸濆嫅褔宕惰娴犲ジ姊虹拠鑼闁煎綊绠栭幃楣冩倻閽樺鎽曢梺闈涱檧婵″洭宕㈤悽鍛娾拺閻熸瑥瀚烽崯蹇涙煕閻樺磭澧甸柕鍡楀€圭缓浠嬪川婵犲嫬骞堥梺纭呭閹活亞妲愰弴鐔哄ⅰ闂傚倷绶氬ḿ褍煤閵堝洠鍋撳顐㈠祮闁绘侗鍣ｉ獮鎺懳旈埀顒傜不閿濆棛绡€闂傚牊绋戦弳娆徝瑰⿰鍫㈢暫闁哄矉缍佹慨鈧柍鎯版硾濠€杈ㄧ珶閺囩喓绡€婵﹩鍘鹃崢鐢告⒑缂佹ê濮﹂柛鎾村哺閹ɑ娼忛妸銈囩畾闂佸湱绮敮鐐存櫠濞戞氨纾肩紓浣贯缚濞插鈧娲栧畷顒冪亙闂佸憡鍔曢崯鐘诲礈濠靛牊宕叉繛鎴炨缚閺嗗棗鈹戦悩杈厡闁轰焦鐗滅槐鎾存媴娴犲鎽甸梺鍦嚀濞层倝鎮鹃悜钘夌闁规惌鍘介崓鐢告⒑閻熸澘鎮侀柣鎺炵畵閹骞栨担鍏夋嫽婵炶揪绲块崕銈夊吹閳ь剟姊洪幖鐐测偓鏍偋閻樿崵宓侀煫鍥ㄧ⊕閺呮悂鏌ㄩ悤鍌涘

濠电姷鏁告慨鐑藉极閸涘﹥鍙忛柣鎴ｆ閺嬩線鏌涘☉姗堟敾闁告瑥绻戦妵鍕箻閸楃偟浠肩紓浣哄閸ㄥ爼寮诲☉銏犵疀闂傚牊绋掗悘鍫ユ倵閻熺増鍟炵紒璇插暣婵＄敻宕熼姘鳖啋闁诲酣娼ч幗婊堟偩婵傚憡鈷戠痪顓炴媼濞兼劖绻涢懠顒€鏋庢い顐㈢箳缁辨帒螣閼测晜鍤岄梻渚€鈧偛鑻晶顔肩暆閿濆牆鍔垫い锔界叀閹繝濡舵径瀣帾闂佸壊鍋呯换鍐磻椤忓懐绠剧€瑰壊鍠曠花濠氬箚閻斿吋鈷戦悗鍦У閵嗗啴鏌ら崘鑼煟鐎规洘绻堥弫鍐焵椤掑嫧鈧棃宕橀鍢壯囨煕閳╁喚娈橀柣鐔稿姍濮婃椽鎮℃惔鈩冩瘣闂佺粯鐗曢妶绋跨暦閻戞ḿ绡€闁搞儜鍐ㄧギ闂備線娼ф蹇曟閺囥垹鍌ㄦい蹇撶墛閳锋垿鏌熼懖鈺佷粶闁告梹顨婇弻锟犲川椤旈敮濮囩紓浣稿€圭敮鐔妓囩€靛摜纾奸弶鍫涘妼缁楁碍绻涢悡搴ｇ闁糕斁鍓濋幏鍛存煥鐎ｅ灚缍楅梻鍌氬€峰ù鍥ь浖閵娾晜鍊块柨鏇炲€哥粻鏌ユ煕閵夘喖澧柡瀣╃窔閺岀喖宕滆鐢盯鏌￠崨顔藉€愰柡灞诲姂閹倝宕掑☉姗嗕紦闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾剧懓顪冪€ｎ亜顒㈡い鎰Г閹便劌顫滈崱妤€骞婄紓鍌氬€瑰銊╁箟缁嬫鍚嬮柛顐線缂冩洟姊婚崒娆戭槮婵犫偓闁秵鎯為幖娣妼缁愭鏌″搴′簽濞戞挸绉甸妵鍕冀椤愵澀娌梺缁樻尪閸庣敻寮婚敐澶婂嵆闁绘劖绁撮崑鎾诲捶椤撴稑浜炬慨妯煎亾鐎氾拷　　闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌ｉ幋锝呅撻柛銈呭閺屻倝宕妷锔芥瘎婵炲濮靛銊ф閹捐纾兼繛鍡樺笒閸橈紕绱撴笟鍥ф珮闁搞劌鐖兼俊鎾礃椤旂厧绐涢梺鍝勵槹閸ㄥ綊宕㈠ú顏呭€垫鐐茬仢閸旀碍銇勯敂璇茬仸鐎规洩绻濋獮搴ㄦ嚍閵壯冨妇闂傚⿴鍋勫ú锕€煤閺嶃劎澧￠梻鍌欐祰椤曆呪偓鍨浮瀹曟粓鎮㈡總澶嬬稁闂佹儳绻愬﹢杈╁閸忛棿绻嗘い鏍ㄧ閹牊銇勯銏⑿㈡い顏勫暣婵″爼宕卞Δ鈧～搴ㄦ⒑閸涘⿴鐒奸柛銉戝懎寮ㄥ┑鐘灱濞夋稖鐧岄梺缁樻煥閸氬鎮￠妷鈺傚€甸柨婵嗛閸樻挳鏌涚€ｎ偅灏扮紒缁樼箓椤繈顢樺☉娆忣伖闂佽崵鍠愮划搴㈡櫠濡ゅ啯鏆滈柟鐑樻尵椤╂彃霉閻撳海鎽犻柣鎾存礋閺岀喖骞嗚閸ょ喖鏌嶉挊澶樻█闁哄苯绉剁槐鎺懳熼懡銈呭汲婵＄偑鍊ら崑鍛崲閸儱绠犳繝濠傛噹閺嬪牊淇婇婵愬殭妞ゅ繐缍婂濠氬磼濞嗘埈妲梺纭咁嚋缁辨洜鍒掑▎鎾崇闁挎柨鎼禍濂告⒑閸濆嫷妲归柛銊у枛瀵悂寮崼鐔哄幐闂佸憡鍔х徊鑺ョ閸撗呯＝濞达綀娅ｇ敮娑氱磼鐎ｎ偅灏扮紒鍌涘浮閺佸啴宕掑鎲嬬床婵犳鍠楅敃鈺呭礈閿曞倹鍊甸柟鎯板Г閳锋帒霉閿濆懏鎲搁柨娑樼Ф缁辨帡顢氶崨顓犱桓濡ょ姷鍋為崹鍨暦閸洦鏁嗛柛灞炬皑閵堬箓姊虹拠鎻掑毐缂傚秴妫欑粋宥夊冀椤撶偟鍝楁繛瀵稿Т椤戝棝鎮″▎鎾粹拺妞ゆ挶鍔庨悾鍗烆熆瑜滈崹閬嶅Φ閸曨垰妫橀柛顭戝枓閸嬫挾鎲撮崟顓涙敵婵犵數濮村ú锕傚磹闁垮浜滈煫鍥ㄦ尭椤忋倝鏌涚€ｎ偅宕岀€殿喖鈧噥妾ㄥ┑鐐插悑閻楁洟鍩為幋锔藉亹閻庡湱濮撮ˉ婵嬫⒑缁嬭儻顫﹂柛鏂块叄楠炲顫㈠畝鈧悿鈧┑鐐村灦宀ｅ潡鎮块崨瀛樷拺闁革富鍙€濡炬悂鏌涢悩鎰佹疁鐎殿喗鐓￠獮鏍ㄦ媴閸︻厼寮抽梻浣虹帛濞叉牠宕愰崷顓涘亾濮樼偓瀚�

核心提示：要不了多久，信用卡资料就会一文不值，利用标记化和交易加密减轻信用卡风险，这确实是件好事，信用卡安全正在从设置障碍防止信用卡资料被窃取转向使信用卡资料无法用于牟利，因此，可以将在标记化信用卡资料上的投资价值扩展到几乎任何其他类型的监管数据，通过对信用卡资料进行抽象化处理，使真正的信用卡资料无法轻易甚至根本不能从抽象化的数

要不了多久，信用卡资料就会一文不值，这确实是件好事。信用卡安全正在从设置障碍防止信用卡资料被窃取转向使信用卡资料无法用于牟利。通过对信用卡资料进行抽象化处理，使真正的信用卡资料无法轻易甚至根本不能从抽象化的数据中推导出来，使用抽象的数据替代真正的信用卡资料，而抽象的数据只在单次交易的特定上下文中有效。这种方法可能能更有效地保护信用卡资料和减轻信用卡风险。

这种保护信用卡资料的理想方法的重要基础是两种既相互关联又相互独立的技术：

标记化(Tokenization)——标记化是指提取重要的数据(例如信用卡号码)并对其进行抽象化处理，使其变为另一串无法用来牟利的数值。

交易加密(Transaction Encryption)——交易加密是指在信用卡资料输入系统(例如POS终端或电子商务网站)时就对其加密，并将加密后的数据传输到其目标系统，直到为完成交易而对其解密。交易加密斩断了网络罪犯利用窃取的信用卡资料在开放市场中获利的途径。

从商家的角度来看，标记化和交易加密的目的是通过消除真正的信用卡资料在商家环节的暴露，从而有效地保护信用卡资料，并减轻商家遵守支付卡行业数据安全标准(PCI DSS)的责任。尽管标记化和交易加密技术还处于早期阶段，但是许多商家希望现在就采用这两项技术。事实上，美国技术和市场研究公司Forrester Research Inc最近的一项研究表明，支付卡行业提供成熟的、能够得到行业认可的标记化产品的能力还难以达到商家对采用标记化技术的期望。

抽象化和加密信用卡资料是一种有效的信用卡安全解决方案，有可能使支付卡行业发生变革，并使交易链条中的所有利益相关者从中受益。然而，这两项技术还不太成熟。因此，Forrester公司建议，在评价标记化或交易加密产品时，安全和风险专家应该遵循以下步骤：

1. 循序渐进——考虑采用标记化的安全和风险专家一定要在合同中约定，自己选择的供应商有义务应对支付生态系统的变化，而这种变化可能会影响供应商提供的产品。每个供应商提供的标记化产品可能各不相同。当一个系统接受研究人员和现实世界攻击的验证时，它可能会在以后被证明是有问题的或不安全的。这种情况在其他安全领域已经发生过。例如，像WEP(有线等效协议)和LEAP(轻量级可扩展身份验证协议)等无线协议都被发现是不安全的。由于美国信用卡和支付卡行业安全标准委员会尚未充分考虑这一问题，因此要注意，现有的任何标记化技术产品都只是对实施标记化的适当方式的猜测。

目前，采用标记化技术的公司购买的是一种高度定制的产品。随着时间的推移，市场将会调整实施标记化的成本并使其保持稳定。但是，早期采用标记化技术的公司应该做好交学费的心理准备。可以预计，接受信用卡支付的公司很快将会采用标记化和交易加密技术，因为与减轻数据泄露风险和满足客户的迫切要求相比，这点短期成本是微不足道的。

2. 审查标记化系统获取信用卡资料的方式——重要的是要了解商家使用信用卡资料的两种不同方式：有卡交易(Card-Present Transaction)和无卡交易(Card-Not-Present Transaction)。每种类型的交易都需要一个专门的产品，以采用标记化技术。尽管有卡交易将是标记化技术的主要应用场合，但是无卡交易(即在线交易或电话交易)也可以使用标记化技术增强安全性。

PCI DSS对这一问题的要求很可能基于在有卡交易中PIN码输入设备(PIN Entry Device，PED)获取和加密信用卡资料的方式。要确保信用卡资料永远不会以未加密的形式从PED设备传输到其他系统。由于支付卡行业和信用卡安全的监管机构尚未认真考虑这一问题，所以一定要谨慎行事，将你的刷卡设备升级为支持加密的产品，在PED设备上使用硬件加密信用卡资料。

3. 扩展标记化和交易加密技术的价值——虽然大多数公司考虑采用标记化和交易加密技术是为了符合PCI DSS遵从性，但需要指出的是，其他数据也可能受益于这些技术。如果你在公司内部实施了这些技术，你就能够对其他敏感数据进行标记化处理，例如个人身份信息(Personally Identifiable Information)或受保护的健康信息(Protected Health Information)。因此，可以将在标记化信用卡资料上的投资价值扩展到几乎任何其他类型的监管数据，从而减轻你的总体法规遵从负担。