搜索
Guidingopenstandardsforglobalpaymentcardsecurity支付卡行业的未来:任世界纷繁变幻为支付保驾护航JeremyKing2014年Guidingopenstandardsforglobalpaymentcardsecurity卡片数据是犯罪分子的金矿支付卡上的数据类型芯片主卡号失效日期磁条(磁道1、2上的数据)CAV2/CID/CVC2/CW2(发现卡,JCB,万事达卡,Visa卡)CID(美国运通)持卡人数据引领全球支付卡安全公开标准Guidingopenstandardsforglobalpaymentcardsecurity数据泄露高发行业存储、处理或传输持卡人数据的系统依然是犯罪分子的主要目标资料来源:Trustwave公司2013年全球安全报告零售45%食品饮料24%其他8%酒店9%金融服务7%非盈利3%健康与美容2%高科技2%引领全球支付卡安全公开标准Guidingopenstandardsforglobalpaymentcardsecurity谁是高风险群体?引领全球支付卡安全公开标准Guidingopenstandardsforglobalpaymentcardsecurity大多数内部泄露由支付链中的人造成!Guidingopenstandardsforglobalpaymentcardsecurity随着全球卡片使用量的增加,风险也在增加©2013TheNilsonReport2011至2016年全球刷卡交易增长率33%99%105%44%97%99%51%引领全球支付卡安全公开标准Guidingopenstandardsforglobalpaymentcardsecurity密码安全级别低或使用默认密码缺乏对员工的教育培训第三方机构造成的安全缺陷缺乏自我检测司法审计暴露出的频发错误资料来源:Trustwave公司2013年全球安全报告引领全球支付卡安全公开标准Guidingopenstandardsforglobalpaymentcardsecurity高级密码不需要那么复杂密码破解时间bigmac0.077秒(非字典词汇)B1gMac14秒(大写字母,小写字母,数字)B1gMac114分钟(7个字符)leB1gMac15小时(8个字符)B1gMac39939天(9个字符)B1gMacfries412年(11个字符)Bigmacandfries511年(14个字符,但只有字母)B1gMac&fries344,000年(12个字符)Guidingopenstandardsforglobalpaymentcardsecurity2013*年25个最常见的密码1.123456(上移1位)2.password(下移1位)3.12345678(不变)4.qwerty(上移1位)5.abc123(下移1位1)6.123456789(新增)7.111111(上移2位)8.1234567(上移5位)9.iloveyou(上移2位)10.adobe123(新增)11.123123(上移5位)12.admin(新增)13.1234567890(新增)14.letmein(下移7位)15.photoshop(新增)16.1234(新增)17.monkey(下移11位)18.shadow(不变)19.sunshine(下移5位)20.12345(新增)21.password1(上移4位)22.princess(新增)23.azerty(新增)24.trustno1(下移12位)25.000000(新增)*CBS新闻,2014年1月21日引导全球支付卡安全公开标准的建立Guidingopenstandardsforglobalpaymentcardsecurity支付卡行业标准维护数据安全92%97%92%的泄露案件采用简单方法97%的泄露案件通过简单或中等力度的控制措施可以避免资料来源:Verizon2012数据泄露调查报告引领全球支付卡安全公开标准Guidingopenstandardsforglobalpaymentcardsecurity忽视支付卡行业标准的机构往往受到攻击截至最后一次评估,96%的被攻击机构未遵守支付卡行业标准(或从未接受评估/验证)攻击机构的方法:•81%为黑客攻击•69%为恶意软件入侵•10%为物理攻击资料来源:Verizon2012数据泄露调查报告引领全球支付卡安全公开标准Guidingopenstandardsforglobalpaymentcardsecurity为何我们无法营造安全的环境•IT从业者缺乏安全意识•缺乏将安全作为重中之重的激励措施•技术发展日新月异•新解决方案开发快、分布广•持卡人数据仍出现不必要的暴露为何?引领全球支付卡安全公开标准Guidingopenstandardsforglobalpaymentcardsecurity支付卡行业:支付卡安全架构五大卡片品牌努力推动支付卡安全支付卡行业安全标准委员会管理技术标准和流程引领全球支付卡安全公开标准Guidingopenstandardsforglobalpaymentcardsecurity支付卡行业委员会简介开放的全球论坛2006年成立引领支付卡安全公开标准•重发展•重管理•重教育•重观念引领全球支付卡安全公开标准Guidingopenstandardsforglobalpaymentcardsecurity扩大全球影响力支付卡行业委员会的顾问委员会引领全球支付卡安全公开标准美国新增:捷克新增:土耳其新增:尼日利亚新增:约旦英国法国比利时澳大利亚Guidingopenstandardsforglobalpaymentcardsecurity制造商支付卡行业密码交易安全(PCIPTS)密码输入设备打造支付设备、程序、基础设施和用户的生态系统软件开发人员支付卡行业支付程序数据安全标准(PCIPA-DSS)支付程序支付卡行业安全及合规点对点加密商户与服务提供商支付卡行业数据安全标准(PCIDSS)安全的环境支付卡行业安全标准组合保护持卡人支付数据引领全球支付卡安全公开标准Guidingopenstandardsforglobalpaymentcardsecurity支付卡行业标准维护数据安全92%97%90%的安全专家都推荐支付卡行业标准资料来源:Trustwave公司2013年全球安全报告采纳支付卡行业数据安全标准的大型机构,其安全控制措施更加完备。这些机构的数据不容易被盗取。来源:安全报告的真实成本,第451组引导全球支付卡安全公开标准的建立Guidingopenstandardsforglobalpaymentcardsecurity建立标准标准生效市场实施反馈开始废弃旧标准反馈审查草拟修订版最后审查社区会议社区会议社区会议Guidingopenstandardsforglobalpaymentcardsecurity支付卡行业数据安全标准(PCIDSS)支付程序数据安全标准(PA-DSS3.0)让支付卡行业标准成为指南针,而非路线图认知教育灵活性高安全是共同的责任引领全球支付卡安全公开标准Guidingopenstandardsforglobalpaymentcardsecurity标准初探……•支付卡行业数据安全标准(PCIDSS)的12条核心安全原则保持不变•影响支付卡行业数据安全标准制定工作的子需求•重大变革即将实施的日期•支付卡行业数据安全标准的适用性清晰明了•测试程序增强,明晰每项需求所需的验证水平•需求和测试程序使用相同的语言•合规性报告(ROC)说明现在与ROC报告模板分开GuidingopenstandardsforglobalpaymentcardsecurityPOS设备的物理安全性9.9保护读取支付卡数据的设备,防止数据篡改和替代•运用最新设备清单•定期检查设备表面,检测篡改或替换情况•培训相关人员,防止篡改数据或更换设备引领全球支付卡安全公开标准Guidingopenstandardsforglobalpaymentcardsecurity渗透测试与有效审视11.3采用渗透测试方法11.3.4若采用细分方法,请进行渗透测试,证明细分方法是可操作的有效方法。引领全球支付卡安全公开标准Guidingopenstandardsforglobalpaymentcardsecurity安全是共同的责任.•支付卡行业数据安全标准(PCIDSS)责任外包指导•可以访问用户环境的服务提供商,使用与每位客户对应的唯一身份验证凭据第8.5.1项要求•第12.8条附属条款;处理或管理客户持卡人数据的服务提供商必须声明其遵守支付卡行业数据安全标准的要求。第12.9项要求引领全球支付卡安全公开标准Guidingopenstandardsforglobalpaymentcardsecurity支付卡行业成功的秘诀+人员流程技术安全+=引领全球支付卡安全公开标准Guidingopenstandardsforglobalpaymentcardsecurity支付技术引领全球支付卡安全公开标准移动设备点对点加密标记化无线网EMV芯片虚拟化基于电话的支付卡数据GuidingopenstandardsforglobalpaymentcardsecurityEMV芯片+支付卡行业(PCI)共同为安全保驾护航GuidingopenstandardsforglobalpaymentcardsecurityEMV芯片可以有效减少面对面欺诈GuidingopenstandardsforglobalpaymentcardsecurityEMVNeedsPCIEMV芯片需要支付卡行业(PCI)Guidingopenstandardsforglobalpaymentcardsecurity点对点加密引领全球支付卡安全公开标准欧洲支付业务有限公司Logic集团公司点对点加密顾问验证再次验证日受理日起一年后到期日受理日起两年2014年10月18日2015年10月18日2014年11月20日2015年11月20日Guidingopenstandardsforglobalpaymentcardsecurity确保根据卡号创建的令牌不会泄露卡片信息确保通过令牌或令牌串无法发现卡号确保对去标记化过程严格把控确保令牌不能在未经允许的情况下代替卡号TokenizationGuidanceAnticipatedQ4’2014卡号制定标记化技术标准的工作已经展开标记化Guidingopenstandardsforglobalpaymentcardsecurity移动设备PCISSCisworkingwithindustry支付卡行业标准聚焦商户受理范围移动支付受理范围还有待扩大了解风险运用支付卡行业安全标准委员会资源支付卡行业安全标准委员会与业界通力合作引领全球支付卡安全公开标准Guidingopenstandardsforglobalpaymentcardsecurity移动支付准则与最佳实践2012-2013年公布的准则•针对开发人员的支付卡行业移动支付受理准则•针对终端用户商户的支付卡行业移动支付受理准则•用智能机或平板电脑受理移动支付引领全球支付卡安全公开标准Guidingopenstandardsforglobalpaymentcardsecurity支付卡行业特殊利益集团(PCISIG)指导文件访问特殊利益集团(SIG)保持支付卡行业数据安全标准的合规性183个成员第三方安全保证196个成员引领全球支付卡安全公开标准Guidingopenstandardsforglobalpaymentcardsecurity支付卡行业官网提供多语言版本中文法语德语日语意大利语葡萄牙语俄语西班牙语Guidin