物联传媒 旗下网站
登录 注册
RFID世界网 >  新闻中心  >  行业动态  >  正文

PCI安全标准委员会要求移动支付采用P2P加密

作者:RFID世界网收录
来源:TechTarget
日期:2012-05-24 09:44:41
摘要:根据PCI安全标准委员会近日发布的文件规定,通过智能手机或者平板电脑进行移动支付的商家必须使用支持加密的验证硬件。根据PCI安全标准委员会的文件,商家可以通过从P2P加密供应商购买技术来支持移动设备支付,以满足支付卡行业数据安全标准(PCI DSS)的要求。

  根据PCI安全标准委员会近日发布的文件规定,通过智能手机或者平板电脑进行移动支付的商家必须使用支持加密的验证硬件。根据PCI安全标准委员会的文件,商家可以通过从P2P加密供应商购买技术来支持移动设备支付,以满足支付卡行业数据安全标准(PCI DSS)的要求。

  安全研究人员对允许商家通过智能手机或平板电脑设备进行支付的早期版本的硬件的安全性表示担心。位于旧金山的Square公司在2010年开始销售用于iphone、ipad和Android设备的读卡器,从那时起,其他供应商(包括VeriFone、Paypal和SalesVu)向商家销售与智能手机兼容的支付设备。

  PCI安全标准委员会的移动工作组制定的这份文档为商家提供了PCI委员会所谓的“实用指导意见”,这份文件包括2011年年底对PIN传输安全标准要求的最新更新。

  根据PCI委员会的规定,商家必须使用经过验证的PIN输入设备或者经审批的安全读卡器来安全地捕捉和加密持卡人数据。PCI委员会在其文件中写道:“移动设备并不一定能保证安全输入和确保持卡人数据的安全。”

  经过验证的读卡器在数据进入移动设备前将对数据进行加密。读卡器的供应商将负责让设备通过PCI SSC的新P2P加密验证要求的验证。一旦委员会认为设备符合安全的最低要求,就会批准设备为验证设备并将其列入PCI委员会的网站中。

  “在2012年,经验证的P2P加密解决方案将被列在PCI安全标准委员会的网站中,”该委员会在其文件中写道,“如果你选择接受移动支付,这些解决方案将帮助你履行PCI DSS的职责。”

  PCI委员会还敦促商家与他们的收单银行或者支付品牌紧密合作以确保PCI DSS验证工作的完成。PCI委员会表示计划在今年晚些时候发布保护移动交易的最佳做法。

  新兴的支付方式:

  PCI委员会表示去年他们开设了一个专责小组来研究移动支付系统的安全性。他们得出的“情况说明书”并没有概述新兴的支付系统(例如近场通讯NFC或者短距离无线技术),或者可以将智能手机变成一个虚拟钱包的无线技术。

  这些新技术已经出现,有些正受到信用卡品牌的带动。例如Visa在二月份推出了“一站式”移动支付方法,这类似于Google Wallet,可以用于支持NFC技术的移动设备。移动运营商也正在开发支付系统。AT&T、T-Mobile和Verizon Wireless将开始测试ISIS支付系统,该系统同样使用了NFC。

人物访谈