您现在的位置:融合网首页 > 物联网 > 应用 >

atsec高向东:移动支付需关注持卡人数据加密(2)

来源:和讯科技 作者:佚名 责任编辑:admin 发表时间:2011-11-30 17:08 
核心提示:除了推出一些新标准以外,同时标委会也做了很多补充,具体来看这些补充通常是以指导性的规范来体现的。首先一个好的消息是,对于广泛涉及的比如说像PTC合规的密码键盘这类的设备和POS设备,今年的消息这些可以接受

除了推出一些新标准以外,同时标委会也做了很多补充,具体来看这些补充通常是以指导性的规范来体现的。首先一个好的消息是,对于广泛涉及的比如说像PTC合规的密码键盘这类的设备和POS设备,今年的消息这些可以接受作为PCI另外一个标准进行支付应用做审核,而当前对广泛流行手机支付非应用系统的安全性是如何保证的?这样的规范也在开发过程中。另外,对新的指导规范还包括了在EMV环境下,国内我们通常叫IC卡,在IC卡达到安全的条件下如何和PCI相联合?这也提出了相应的指导意见。除此之外包括电话银行、呼叫中心涉及到持卡人数据的时候,安全如何保障?也有相应的安全规范。同时也包括虚拟化技术、无线检测的技术等等都提出了具体规范。时间关系我就不一一展开了。

前面我们提到了对于规范的指导性意见的提出,具体在合规的过程中,可能好多时候像商户、第三方支付公司,涉及持卡人数据交易的、SIM卡数据存储传输的都会涉及PCI传输,都需要维持和符合PCI的要求规范,在合规的过程中我们也发现好多用户会有这方面或者那方面的问题,也想借这个机会跟各位做些分享,在座各位都是专家,也希望大家给予理解,也希望跟大家讨论。下面我们来具体看一下,首先第一个问题,对于PCI合规的工作量,PCI这个标准我们理解它是介于一个更具体的指导性的规范标准,这个标准的要求非常细,然后又是一个复合型的标准,就是说持卡人数据必须是合规的。这导致看起来工作想非常巨大,尤其是哪些有持卡人数据、哪些没持卡人数据的时候,这样导致无论是时间投入还是金钱投入都非常大。这时候我们可以从三个层面来有效的缩小或者降低持卡人环节在合规使用时的难度,第一个方面我们称为数据流梳理,我们通过一个有效网络分割的形式,把和持卡人无关的系统排除之外。

对于大家广泛关注的在合规过程中的加密或者持卡人数据的安全存储,这个地方我们也想对大家推荐一下合规的规范或者实践。大家可以看到右边这个图,是对于交易过程中的加密,用户体验是不会受到影响的,所改变的是应用系统和数据应用系统调用的时候需要改变结构,最终的结果是在应用跟数据在之前调用的时候都是明文转密文的形式,这保证了好多时候持卡人数据是可以避免掉泄露的。另外还涉及到密码管理的实践,在密码管理或者涉及密钥管理的时候,我们从生命周期的角度来看,如何安全的建立、如何安全的变更,我们可以用一个生命周期来看待这个问题。

另外在PCI合规过程中,可能有组织说我很难做到这点,无论是设备投入还是人力投入,很难做到,同样PCI也会有一个相应的措施。对于我们自己开发的应用,我们很多时候关注的都是应用本身的功能,如何在应用过程中更好的融入安全?我们也总结了很多总结,包括测试、编码、生产等等过程中需要参考哪些实践?这个地方我们也做了总结,感兴趣的朋友我们也可以展开更多的探讨。对于atsec来说我们今年跟中国信息安全认证中心合作推出了安全软件开发课程,这个课程我们打算在2012年第一季度展开第一期的课程,有感兴趣的朋友可以跟我们公司的同事沟通。

在线系统,系统出漏洞打补丁是个很麻烦的事情,但是不打也不行,但我们在这个得到总结了一个比较好的生命周期的管理方法。总结起来来看,首先对于漏洞,我们投入很好的方法尽早发现,在分析的时候分析的非常全面,在跟踪的时候我们有效的利用标准要求,更合理化安排这个生命周期,在于在补丁管理或者对漏洞修复的影响,这也是可以遵照一个过程来实现的。

最后提到一点,对于整个体系的建设,PCI合规的时候我们可以认为PCI这个要求可以在2.5这个层面,也就是说介于ISO和ICE两个层面,如何有效的把我们已经符合的一些体系跟PCI有效的融合?这个我们认为是非常必要的,而不是很多时候为符合标准建立很多的安全体系,这在执行起来是会有很大难度的。

这个地方也跟大家分享一下,这是一个我们推荐的比如对于支付的机构,在涉及比如我们国内的风险管理指南、27000、PCI这些要求的时候,如何通过一个融合的体系来实践?首先把这些标准打碎,形成一个我们自己符合标准的整体。

在此做一个呼吁吧,虽然讲的是PCI,但包括PCI的发展和规范性的指导意见,以及包括涉及无论是在线还是离线的交易、远程还是现场的交易,都希望在这个过程中多考虑安全,从安全角度来看也希望跟在座各位做很多分享,希望跟大家一道共提升移动支付大发展同时,首先安全可以为移动支付的发展保驾护航,另外安全也作为移动支付发展的基础,更多的对移动支付应用的发展作出贡献,谢谢大家!

(责任编辑:admin)
  • “扫一扫”关注融合网微信号

免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。

第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。

根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。

第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。

个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net

对免责声明的解释、修改及更新权均属于融合网所有。

今日头条

更多>>

热门关键字

关于我们 - 融合文化 - 媒体报道 - 在线咨询 - 网站地图 - TAG标签 - 联系我们
Copyright © 2010-2020 融合网|DWRH.net 版权所有 联系邮箱:dwrh@dwrh.net 京公网安备 11011202002094号 京ICP备11014553号