PCI委员会发布点到点加密验证要求

　　PCI安全标准委员会发布了作为新计划一部分的点到点加密验证要求，该计划旨在为商家提供认证产品列表。

　　上周发布的PCI加密要求文件和PCI点到点加密解决方案要求，为厂商，评审员和商家提供了基于硬件的点到点加密部署指导，满足PCI DSS规则遵从。委员会表示，发布要求的重点在如何保护和监测硬件，开发和维护安全的应用程序，以及使用安全的密钥管理方法。

　　从信用卡是一个可以在销售点刷卡的设备，到后来它变成一个卡处理器，点到点或端到端加密提供商一直在宣传加密持卡人信用卡数据的好处。但是，在信用卡数据在传输到处理器和银行系统过程中被捕获到时，商家没有简单的方法来评估各供应商，以确定该设备，应用和功能是否满足PCI DSS要求。这个问题已经导致了一些知名的数据安全漏洞，这些漏洞突出了PCI评估和所谓的端到端加密部署中的缺陷。

　　去年，委员会所谓的点到点加密实施太不成熟了以至于不能进行正确的评价。一旦认证目录到位，这个事实可能就会改变(That could change once the certification listing is in place)。委员会将在2011年年底前推出测试程序，并计划2012年春天在其网站上，提供经验证的点到点加密实施清单。委员会表示，其点到点加密计划的第一阶段，把重点放在结合了基于硬件的加密与密钥管理软件实施的要求上。在第二阶段，经验证的要求将解决纯软件加密部署的问题。

　　验证文件勾画出了点到点加密实施中需要进行评估的六个部分。委员会将检查评估应用于硬件的安全控制，硬件中应用程序，目前加密硬件的环境，加密和解密间的传输环境，解密环境和密钥管理操作。

　　文件还规定了设备制造商，应用供应商和点到点加密供应商的责任。根据新的验证文件，供应商和制造商必须遵循的详细步骤使他们的产品在新计划的条件下通过认证。所有点交互设备都要在PCI PIN交易安全实验室(PCI PIN Transaction Security laboratory)进行评估，将考验硬件对PIN交易的要求。根据文件，一个合格的安全性评估将评估完整的部署，以确保硬件，应用程序和密钥管理进程完全满足PCI DSS要求。

　　“如果按照PCI要求实施，P2PE解决方案可以显着降低商家信用卡数据环境风险，减少潜在的违规，并简化PCI DSS的验证工作。”PCI SSC的总经理Bob Russo在一份声明中这样说道。

　　一个完全经验证的点到点加密实施将减少商家系统上的PCI DSS范围，但PCI委员会提醒道，商家仍需要根据PCI DSS进行评估，以确保系统是被保护和维护的。