PCI安全标准委员会通过提高支付卡数据安全

美国商业资讯 2008 年 6 月 30 日马萨诸塞威克费尔德消息 —

提供支付卡行业数据安全标准 (DSS)、PCI PIN 码输入设备 (PED) 安全要求和支付程序数据安全标准 (PA-DSS) 管理的全球性、开放式行业标准机构——支付卡行业安全标准委员会 (PCI Security Standards Council)今日宣布在 PED计划中新增两种支付行业设备类型，以提高持卡人数据安全。现在可对无人值守支付终端 (UPT) 和硬件（也被称为主机）安全模块（HSM）进行严格的测试和认证计划，以确保其符合在交易流程中的任何时间点均能保护机密支付卡数据的行业标准。委员会还将维护经认证的UPT 和 HSM名单、为评估这些设备的实验室提供文档和培训及成为设备供应商及其客户的唯一信息来源。

PED 安全要求旨在确保全球范围内基于个人识别码 (PIN) 的交易的安全性，并应用于接受 PIN 输入的设备。到目前为止，该要求侧重的是在由商家、收银员或售货员值守的环境下运行的传统销售网点设备。UPT 是包括自助售票机、信息亭、自动化燃油泵和自动贩卖机在内的无人值守支付设备。供应商制造UPT 的加密 PIN 键盘 (EPP)，并经由认证实验室进行评估，支付卡品牌要求使用经 PCI安全标准委员会认证的 EPP。提出新的重要的UPT测试要求将进一步保护支付卡行业从业者。

HSM 是可用于 PIN 码解译、卡片个性化、电子商务或数据保护的安全加密设备，但不包括任何类型的持卡人界面。在 PCI SSC 安全测试要求中新增 UPT 和 HSM 能保证委员会向测试实验室提供高效的评估流程，以实现这些加密设备的合规性。

PCI 安全标准委员会总经理 Bob Russo 说：“PIN 输入设备远远超越了我们熟悉的常见 POS 终端，我们将继续将业务扩展至越来越多的领域。处理个人识别码的所有设备都是交易链中的重要环节。通过在 PED 安全测试要求中新增 UPT 和 HSM，委员会重申了自己在制定额外标准，以满足行业需求并确保客户的持续安全性和保密性上的承诺。”

除知名支付卡品牌外，委员会的成员还包括有机会为委员会的持续发展和提高 PCI 标准做出贡献的各类支付卡行业。UPT 和 HSM 制造商也被鼓励作为参与机构加入委员会。加入的组织将有机会审查要求草案及测试并保证 UPT 和 HSM 设备安全性和保密性的流程并提出反馈。委员会将于 2008 年底发表一系列最终要求和文档。