【TechTarget中国原创】PCI安全标准委员会的总负责人Bob Russo称,支付卡行业安全标准(PCI DSS)的下一次修订预计在10月举行,其中将包含解释说明,但不会对该标准作重大的修改,修订内容不会超出我们的预期。
我们预期标准中会更加关注加密,虚拟化和更加安全的支付终端的使用。Russo说:“那些主题曾是PCI SSC管理的一些专门兴趣小组的关注焦点,同时也是为将来修正标准而对新兴技术进行研究的重心。”这一组织还在研究芯片和密码技术,虽然2010年的PCI DSS修订版中没有这些内容。
PCI DSS 修订每两年修订一次,上一次的更新版发布于2008年。这一组织从委员会成员那里收集为期四个月的反馈结果,委员会的顾问将举行会议以落实所有的修改建议。新的标准修订草案将于五月份出台,这一组织将于九月在其团体会议上收集所有的剩余反馈意见。Russo 说,而后PCI DSS标准的更新版将会最终确定下来,并将于十月中旬连同支付应用数据安全标准(PA DSS)的修订版一起正式出台。同样由这一组织负责的PIN个人识别码输入设备安全要求(PIN Entry Device Security Requirements)的修订版将于四月份出台。
今年委员会将不对PCI DSS做重大修整,只会发布指导性文件,通过新的卡数据保护技术来帮助被供应商压迫的厂商。
Russo说,端到端加密是未来研究的方向。Heartland Payment Systems Inc. 因SQL注入漏洞在去年宣布该公司发生了大规模的数据泄漏事件之后,该公司的CEO Robert Carr将更多的综合加密方法引入了该公司。Heartland和Voltage Security Inc.一同开发了其E3安全支付系统。但Russo说“端到端加密”这一术语还没有很清晰地界定,而且又加入了标记化(tokenization),这是由EMC Corp.的RSA security部门以及支付处理厂商First Data Corp.所引入的支付战略的一部分。
Russo说,在银行卡行业中芯片和加密技术同样受到越来越多的关注。有一个专门兴趣小组正在研究芯片和加密,这在亚洲和欧洲很受欢迎,而且加拿大的支付终端正在分阶段部署这一技术。这一技术用嵌入式的微型芯片替代了原来在卡片背后的磁条,并且添加了四位数的密码用于核实支付过程。
Russo说:“世界其他地区正在使用某些形式的芯片和加密技术,因而我们不能忽视它的发展,部署这一技术需要付出很多努力和巨额的代价。”