在Heartland的第一季度财报中,公司官员表示,截至目前为止,去年被曝光的数据泄漏事故导致该公司损失了1260万美元,这个数字包括了来自visa和万事达的法律费用以及罚款,这两家公司都表示Heartland支付处理公司在数据泄漏发生时不符合PCI标准。Visa公司在3月上旬将Heartland从其PCI列表中除名,而在4月30日时,Heartland公司宣布已经接受重新审核并已经重返Visa的PCI合规列表(PCI-DSS验证服务供应商)。
Heartland公司宣布的这个计划将采用一种端到端加密系统来保护公司的支付处理网络,公司官员表示,计划将在今年第三季度向其商家陆续推行这种解决方案。商家将需要为设备安装支付适当的费用,但是Heartland已经花费了数百万美元来与某技术供应商共同开发这种技术解决方案。
端到端加密能够真正解决问题吗?
对于Heartland公司的这一举措,很多行业专家认为是积极而正确的,也呼吁支付行业的加密标准能够早日出台。但是,需要获得行业标准认可的工作将要花费很长时间,PCI知识库的创始人David Taylor表示,“要想在支付行业广泛推行加密操作,将需要出台相应的统一标准。如果没有这种统一标准,加密处理将会被处理公司作为专为客户绑定的功能,由于额外的技术和程序投资将很难在支付处理供应商和银行间进行端到端加密。”
每个支付处理供应商提供各自版本的加密功能的缺点在于,存在越多的加密版本,就越难让商家、处理供应商等采用同一个标准,因此,这将花费很长一段时间。
Heartland提高安全性
Heartland公司通过向其网络引入端到端加密来提高零售商家支付的安全性,虽然全面部署端到端加密将会耗时又耗力,但是该公司没有其他选择了,在去年近乎毁灭性的数据泄漏事故发生后,想要重新树立其声誉确实很难,Heartland唯一能做的就是重新获取大家对其的信任。
只要Heartland的端到端加密项目能够进行良好的规划和处理,这必将让Heartland在支付系统行业显示绝对的优势。“但是由于需要考虑PCI合规和其他安全控制,这还不能看作是最安全最广泛可取的安装措施,只能算是在多层次系统中多增加了重要的安全层,”高级分析师Tom Wills表示,总是会出现不断变灰的威胁和漏洞,关键在于通过不断的风险评估和安全更新反馈有效的部署安全措施。
作为世界前十大支付处理供应商,Heartland的举措在将来必将对支付卡处理行业造成很大的影响力。端到端加密是Heartland作为处理供应商所能够提出的最好的安全建议,但是也局限于该公司的影响力,Gartner公司的系统分析师Avivah Litan表示,“换言之,要想让端到端加密成为有效的安全措施,需要最终发展成为像现在的PIN加密一样,PIN从商家到发卡商的整个过程中都执行了加密。”
这也有可能实现,在美国,已经有小部分的处理商开始提供这种服务,这必将让商家的支付处理过程变得更加安全,假设他们不需要管理加密密钥,没有存储不加密的卡数据,也没有进行糟糕的密钥管理。
我们知道,在数据加密和解密的端点总是会存在漏洞问题,但是如果端到端加密技术完善的话(与PIN加密一样),那些端点的安全威胁将可以最小化,Litan表示,“例如,PIN解密发生在位于双重控制和密钥下面的硬件安全模块下,在某些端点解密可能被破解,但是这也是非常罕见的。存在的两个主要挑战就是商家能否实现终端升级和良好的密钥管理。”
Aite集团公司负责支付卡行业的分析师Adil Moussa表示,Heartland提议的端到端加密是其必须要做的,端到端加密需要来自不同行业的大规模投资,复杂性(技术负担)和整个运作的资金消耗将会让很多参与者望而却步。
支付行业需要确立安全标尺,“目前的基础设施运行基本良好,诈骗损失的费用仍然比全面检修的成本要低,”Moussa表示,一旦投资回报率显示,诈骗损失费用超过全面检修的费用,或者其他支付处理供应商也面临着与Heartland一样的命运,那么很明显,大家都会开始选择端到端加密。
Heartland面临哪些障碍?
从行业角度来看,Javelin公司的Wills认为主要的是政治障碍,很难说服拥有不同商业计划的支付行业不同的业者来采取统一的加密标准,虽然最终必将走上这条道路。
信用卡公司需要为此进行进一步规范,Wills指出,“这将是一场艰苦的战斗,鉴于目前很多商家开始抵制PCI。更可能发生的情况是,其他处理器感觉到Heartland采用端到端加密而带来的竞争优势,从而效仿。”在目前的环境下,提高安全性是支付行业市场的唯一方向。
其他支付处理供应商会效仿吗?
Visa已经公开声明(在其三月份召开的安全峰会上)他们正在研究端到端加密,将很快围绕端到端加密作出一些决定,Litan表示,“他们间接表明参与端到端加密计划的商家将可能受益于减少PCI合规要求。”
(责任编辑:adminadmin2008)
