日前,支付卡行业安全标准委员会(PCI SSC)宣布了PCI DSS 1.2版发布,该版本旨在解释和简易执行最重要的标准以保证持卡人帐户安全,而该标准的1.1版也于2008年12月31日起取消。由于防火墙、加密、认证,和无线入侵检测等任务用于所有的无线网络,而即便没有无线LAN卡数据传输,一些必要的保障措施还是需要的,因此无线及移动安全解决方案厂商Aruba,推出了一份关于介绍商家如何更好地遵守PCI DSS 1.2版的白皮书,该白皮书为有线网络和无线网络提供了相关的解决方案。
据业内人士介绍,PCI DSS的变更包括对要求的解释和说明,其中所做的解释提供了更大的灵活性,以应对当今支付卡交易环境中的安全挑战。最为重要的是,1.2版将不介绍自委员会成立以来的现有12项要求范围的新核心要求。而无线网络的安全是这些要求的核心组成部分。无线网络的安全等级分为三类:没有无线局域网的使用,无线网络只被用于非持卡人的数据应用,以及无线网络用于持卡人数据交易。该白皮书建议的技术解决方案,可以满足每个类别的不同法规要求。
“除了加强安全管制以防止违规行为的发生,也应该建立和维护那些遵循PCI标准的商家品牌名称,因为这表明该公司正积极维护客户的私人信息。”Aruba行业营销主管Manav Khurana说道,“商家一旦被发现不遵守PCI标准,不仅有损于品牌形象和客户信誉,而且还面临被罚款的处境。而如果商家采用Aruba介绍的遵守解决方案,可以使经济损失降至最小。
例如,PCI DSS 1.2 版禁止持卡人数据传送使用有线等效加密(WEP),因为这个算法已被证明是容易遭到破坏。由于WEP广泛应用于扫描仪和其他设备,这些设备将大规模地被撤销使用,这也给商家带来巨大损失。而白皮书则介绍了一个经济有效的PCI DSS 1.2 版遵守解决方案,该方案可以补救WEP协议的安全威胁,使用Aruba强制执行防火墙可以隔离WEP设备传送非持卡人数据,从而避免了更换WEP设备所带来的损失。
在商家和服务提供商竭力应对支付交易系统的最新安全威胁时,Aruba提供集成安全和无线/有线接入的解决方案,可以达到或超过了无线网络在PCI DSS 1.2版的安全要求,以保护易察觉而且可被捕获的持卡人帐户数据。
用户评论