信托标准的国家银行和绿银,N.A。3月24日向目标和TrustWave提起课程诉讼,该诉讼Wave是目标的质量安全评估员(QSA),最近的卡数据泄露。TrustWave是一个大安全公司,QSA(合格安全评估员)是其主要业务之一。

但诉讼包含了金钱卡行业数据安全标准(PCI DSS)的一些可疑解释。

诉讼索赔:

“在PCI DSS下,像目标一样的商家需要加密客户名称,支付卡号,到期日,CVV代码(卡验证值代码)和PIN号(”跟踪数据“)。”

这是错误的。 PCI DSS只需要加密仅针对存储在硬盘驱动器上的敏感持卡人数据或通过公共网络传输(如互联网)。计算机内存中的数据和本地网络上的数据可以保持未加密,由PCI DSS允许,此类环境仍然是PCI兼容的。

诉讼也是“三位数的CVV安全代码被妥协的事实”,他们正在存储它们。“

出于同样的原因,这是错误的。CVV代码受到损害的事实并不意味着它们被存储。它们可以使用RAM刮擦技术或使用网络嗅探器(其他方法有许多其他方法)来窃取存储器。正如我之前所说的那样,PCI DSS不需要在内存中或本地网络上加密敏感的持卡人数据(包括CVV)。这些只是来自大型诉讼的两个简短陈述,但它们表明即使商家(在这种情况下,但它可以是其他人)是PCI兼容的,它不受安全漏洞的安全。

此外,或者甚至代替PCI DSS测量,商家及其支付处理器应该实施P2PE(点对点加密)等特殊安全技术,这保护敏感持卡人数据从进入卡读取器并制作黑客几乎无法进入。

请记住一件事是,这一诉讼可以设置先例(如果发现信托汶被发现责任),即使他们正在审计的公司完全符合PCI DSS,PCI安全审计师也负责卡数据漏气。

Slava Gomzin是一家安全和支付技术专家,在惠普,以及书籍的作者,销售点:付款应用秘密,威胁和解决方案,也可在Kindle上提供。他还有一个关于支付安全和技术的博客,Payappsec。在HP的角色,斯拉瓦有助于使用最新的安全和付款技术创建集成到现代支付处理生态系统的产品。在加入Hewlett-Packard之前,他是一名安全架构师,企业产品安全官员,研发和应用安全经理,Retalix的开发团队负责人,是NCR零售部门。作为PCI ISA,他专注于POS系统,支付应用程序和网关的安全性和PA-DSS,PCI DSS和PCI P2PE符合性。在进入安全之前,斯拉瓦在研发设计和实施新产品中,包括下一代POS系统和各种接口,以支付网关和处理器。SLAVA目前拥有CISSP,PCIP,ECSP和Security +认证。