要不了多久,信用卡资料就会一文不值,这确实是件好事。信用卡安全正在从设置障碍防止信用卡资料被窃取转向使信用卡资料无法用于牟利。通过对信用卡资料进行抽象化处理,使真正的信用卡资料无法轻易甚至根本不能从抽象化的数据中推导出来,使用抽象的数据替代真正的信用卡资料,而抽象的数据只在单次交易的特定上下文中有效。这种方法可能能更有效地保护信用卡资料和减轻信用卡风险。
这种保护信用卡资料的理想方法的重要基础是两种既相互关联又相互独立的技术:
1.标记化(Tokenization)——标记化是指提取重要的数据(例如信用卡号码)并对其进行抽象化处理,使其变为另一串无法用来牟利的数值。
2.交易加密(Transaction Encryption)——交易加密是指在信用卡资料输入系统(例如POS终端或电子商务网站)时就对其加密,并将加密后的数据传输到其目标系统,直到为完成交易而对其解密。交易加密斩断了网络罪犯利用窃取的信用卡资料在开放市场中获利的途径。
从商家的角度来看,标记化和交易加密的目的是通过消除真正的信用卡资料在商家环节的暴露,从而有效地保护信用卡资料,并减轻商家遵守支付卡行业数据安全标准(PCI DSS)的责任。尽管标记化和交易加密技术还处于早期阶段,但是许多商家希望现在就采用这两项技术。事实上,美国技术和市场研究公司Forrester Research Inc最近的一项研究表明,支付卡行业提供成熟的、能够得到行业认可的标记化产品的能力还难以达到商家对采用标记化技术的期望。
抽象化和加密信用卡资料是一种有效的信用卡安全解决方案,有可能使支付卡行业发生变革,并使交易链条中的所有利益相关者从中受益。然而,这两项技术还不太成熟。因此,Forrester公司建议,在评价标记化或交易加密产品时,安全和风险专家应该遵循以下步骤:
1. 循序渐进——考虑采用标记化的安全和风险专家一定要在合同中约定,自己选择的供应商有义务应对支付生态系统的变化,而这种变化可能会影响供应商提供的产品。每个供应商提供的标记化产品可能各不相同。当一个系统接受研究人员和现实世界攻击的验证时,它可能会在以后被证明是有问题的或不安全的。这种情况在其他安全领域已经发生过。例如,像WEP(有线等效协议)和LEAP(轻量级可扩展身份验证协议)等无线协议都被发现是不安全的。由于美国信用卡和支付卡行业安全标准委员会尚未充分考虑这一问题,因此要注意,现有的任何标记化技术产品都只是对实施标记化的适当方式的猜测。
目前,采用标记化技术的公司购买的是一种高度定制的产品。随着时间的推移,市场将会调整实施标记化的成本并使其保持稳定。但是,早期采用标记化技术的公司应该做好交学费的心理准备。可以预计,接受信用卡支付的公司很快将会采用标记化和交易加密技术,因为与减轻数据泄露风险和满足客户的迫切要求相比,这点短期成本是微不足道的。
2. 审查标记化系统获取信用卡资料的方式——重要的是要了解商家使用信用卡资料的两种不同方式:有卡交易(Card-Present Transaction)和无卡交易(Card-Not-Present Transaction)。每种类型的交易都需要一个专门的产品,以采用标记化技术。尽管有卡交易将是标记化技术的主要应用场合,但是无卡交易(即在线交易或电话交易)也可以使用标记化技术增强安全性。
PCI DSS对这一问题的要求很可能基于在有卡交易中PIN码输入设备(PIN Entry Device,PED)获取和加密信用卡资料的方式。要确保信用卡资料永远不会以未加密的形式从PED设备传输到其他系统。由于支付卡行业和信用卡安全的监管机构尚未认真考虑这一问题,所以一定要谨慎行事,将你的刷卡设备升级为支持加密的产品,在PED设备上使用硬件加密信用卡资料。
3. 扩展标记化和交易加密技术的价值——虽然大多数公司考虑采用标记化和交易加密技术是为了符合PCI DSS遵从性,但需要指出的是,其他数据也可能受益于这些技术。如果你在公司内部实施了这些技术,你就能够对其他敏感数据进行标记化处理,例如个人身份信息(Personally Identifiable Information)或受保护的健康信息(Protected Health Information)。因此,可以将在标记化信用卡资料上的投资价值扩展到几乎任何其他类型的监管数据,从而减轻你的总体法规遵从负担。
【编辑推荐】
中国银行信用卡聪明购是否安全
近日我看到一篇文章,认为信用卡不设密码更安全,理由是一旦选择设置密码,那么交易时只要使用了密码,银行均视为持卡人本人所为,如果密码被他人窃取,那么损失银行一概不予赔偿。 相反,如果没有设置密码,那么交易只有凭持卡人的亲笔签字才有效,如果不是持卡人的签名,银行需要负责任。 然而,一旦发生信用卡被冒用的事件,使用签名的持卡人的权益就能得到保护吗?尽管理论上,如果信用卡被盗刷后签名不符,持卡人可以申请调单拒付,但是目前在国内银行业的整体服务水平之下,持卡人举证和获得保障的困难很多,拒付并不像想象的那般容易。 如果是在网络上被盗刷,更是存在难以举证、难获补偿的问题。 让我们来看看如果使用没有密码的信用卡出现盗刷后的问题吧: 首先你要保证能在被盗刷后的24个小时或是48个小时之内向银行挂失(每家银行规定不同,有些必须书面申请挂失才可生效),如果你是个马大哈,没有在限期内发现信用卡丢失去挂失,那么对不起,挂失之前产生的损失银行是不负责任的。 其次是到警察局报案,仅仅是向银行挂失是没用的,只有你报了案,并且警察局受理了,才有可能获得银行或商家的赔偿。 第三是举证,你说这笔钱不是你消费的,签名不是你签的,谁证明呢?请笔迹鉴定专家鉴定是可以的,但是这个费用银行可是不会负责的,你还要自己乖乖掏腰包。 第四你也要负一定的责任,千万不要以为在限期内挂了失,报了案,又有证据证明消费签名不是你的你就可以安心的获得赔偿了,要知道,在这个盗刷事件中,银行和商户确实都有责任,但是你没有保管好自己的卡,以致被他人盗取或遗失,也是要负一定的责任的(很多法院对于盗刷案件的判决就是这样的),因此,很少有银行会全额赔偿持卡人盗刷的损失。 第五是赔偿期的长短。 不得不承认的是,我国大部分银行在持卡人办卡时的承诺常常是天花乱坠,一旦出了问题就会以各种借口推搪,毕竟想从银行拿钱不是那么容易的,这也是为什么现在出现盗刷后,持卡人状告银行的案件如此多的原因了。 即使发卡银行承诺了对部分盗刷款予以赔偿,但是这个过程可能是很漫长的。 如果你仅仅是偶尔一次丢卡了,走过上述程序获得了相应的赔偿也就算了,但是很不幸,你是一个很不细心的人,丢东西是家常便饭,那么你是否有精力、时间和金钱来在丢卡的时候应付这么多事情呢? 因此说,没有什么事情是绝对的,信用卡不设密码确实是比较方便,但是这仅适用于那些生活比较谨慎的人,而对于那些爱丢三落四的人来说,为自己的信用卡设个密码是更稳妥的,毕竟破译密码要比模仿签名难多了。
网吧不能使用网银吗?
首先建议不要在网吧使用网上银行。 。 。 。 网上银行“三要”、“三不要” 使用个人网上银行,关键是不断加强自我保护,提高安全防范的预警意识,采取必要的手段与保障措施防止资金损失。 一要:保管好卡号、密码和个人客户证书。 尤其是注册卡卡号和登录密码,这个是客户登录网上银行系统时银行鉴别客户身份的唯一标志。 如果叫他人取得你的卡号、密码,也就等于向别人敞开了你的保险箱,所以要注意,要将登录密码、支付密码与证书密码设为不一样的数字和字母组合(组合很重要,单纯的数字或字母组合,比较容易为黑客破解),并经常更改。 二要:注意网上银行使用中系统的提示。 登录个人网上银行系统时,如果系统提示你的前次登陆时间、交易过程中有任何你感觉异常的情况,都应该引起高度重视,仔细查看您的交易。 三要:安装正规杀毒软件,及时升级病毒码,定期检测系统。 一不要:尽量不要在公共场所(如网吧)使用网上银行,因为您没有办法知道这些电脑是否这安装了监测程序。 二不要:使用完毕后应该正确退出网上银行,不要随意关闭浏览器窗口,而是要按照网上银行操作页面上的“退出”按钮正常退出系统,还有就是,不要在没有退出网上银行服务前离开你的电脑。 三不要:不要使用电脑自动记忆功能。 第一次登录网上银行时,浏览器可能会问你是否记住这些登录信息,这样浏览器就记住了你的用户名与密码。 强烈建议不要使用这项功能。 你说的那种情况是没有的
证券账户能追加到网银账户上吗
证券账户是要挂在一个银行卡上的,至于这个银行卡有没有网上银行功能都不影响,网上银证转账。因为银证转账,资金仍然是在银行卡里,不过相当于是把钱从左边的口袋放到右边的口袋,而网上银行转账则就意味着资金所有人发生了改变
发表评论