我对支付行业的身份验证和令牌技术概念感到困惑。作为一次性密码的令牌和令牌Apple Pay使用令牌有什么区别?PCI DSS等合规机构如何看待令牌化技术?
Mike Chapple:令牌技术是我最喜欢的安全技术之一,尤其是因为它有助于减少PCI DSS合规范围。在深入研究该技术的工作原理之前,让我解释一个困惑的问题。在安全领域,“令牌”它被用于两个概念。熟悉的令牌可以是人们携带的物理实体(通常在钥匙链上),它可以在多因素身份验证系统中生成一次性密码。但这并不是我们在令牌技术中所说的令牌。
令牌技术中使用的令牌是指用于替换敏感数据的字母数字代码和令牌技术(如Apple Pay还有很多新的POS系统中使用的技术)用这些代码代替零售商记录中的信用卡号码。在正确部署的情况下,该技术可以确保信用卡号码不与零售商系统接触,并帮助其减少PCI DSS合规范围。
例如,客户可以在商店的收银台使用令牌技术。他/她可以通过自助读卡器刷卡。该卡使用只有银行知道的加密钥。当客户刷卡时,读卡器可以使用点对点加密技术加密敏感信用卡信息。随后,加密信用卡号码将通过零售商系统发送到银行进行处理。POS该系统将在其记录中记录令牌值,银行可以将此值绑定到特定的信用卡交易中。POS系统永远看不到未加密的信用卡号,所以它不在PCI DSS合规范围内。
支付卡行业安全标准委员会认识到令牌技术的价值,支持大家利用该技术提高安全性,缩小合规范围。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。