日前,支付卡行業安全標準委員會(PCI SSC)宣布了PCI DSS 1.2版發布,該版本旨在解釋和簡易執行最重要的標準以保證持卡人帳戶安全,而該標準的1.1版也于2008年12月31日起取消。由于防火墻、加密、認證,和無線入侵檢測等任務用于所有的無線網絡,而即便沒有無線局域網數據傳輸,一些必要的保障措施還是需要的,因此全球無線及移動安全解決方案領導廠商Aruba,推出了一份關于介紹商家如何更好地遵守PCI DSS 1.2版的白皮書,該白皮書為有線網絡和無線網絡提供了相關的解決方案。
據業內人士介紹,PCI DSS的變更包括對要求的解釋和說明,其中所做的解釋提供了更大的靈活性,以應對當今支付卡交易環境中的安全挑戰。最為重要的是,1.2版將不介紹自委員會成立以來的現有12項要求范圍的新核心要求。而無線網絡的安全是這些要求的核心組成部分。無線網絡的安全等級分為三類:沒有無線局域網的使用,無線網絡只被用于非持卡人的數據應用,以及無線網絡用于持卡人數據交易。該白皮書建議的技術解決方案,可以滿足每個類別的不同法規要求。
“除了加強安全管制以防止違規行為的發生,也應該建立和維護那些遵循PCI標準的商家品牌名稱,因為這表明該公司正積極維護客戶的私人信息。”Aruba 行業營銷主管Manav Khurana說道,“商家一旦被發現不遵守PCI標準,不僅有損于品牌形象和客戶信譽,而且還面臨被罰款的處境。而如果商家采用Aruba介紹的遵守解決方案,可以使經濟損失降至最小。
例如,PCI DSS 1.2 版禁止持卡人數據傳送使用有線等效加密(WEP),因為這個算法已被證明是容易遭到破壞。由于WEP廣泛應用于掃描儀和其他設備,這些設備將大規模地被撤銷使用,這也給商家帶來巨大損失。而白皮書則介紹了一個經濟有效的PCI DSS 1.2 版遵守解決方案,該方案可以補救WEP協議的安全威脅,使用Aruba強制執行防火墻可以隔離WEP設備傳送非持卡人數據,從而避免了更換WEP設備所帶來的損失。
在商家和服務提供商竭力應對支付交易系統的最新安全威脅時,Aruba提供集成安全和無線/有線接入的解決方案,可以達到或超過了無線網絡在PCI DSS 1.2版的安全要求,以保護易被察覺而且可被捕獲得的持卡人帳戶數據。
(新聞稿 2009-02-11)