PCI安全標準委員會要求移動支付采用P2P加密

　　根據PCI安全標準委員會近日發布的文件規定，通過智能手機或者平板電腦進行移動支付的商家必須使用支持加密的驗證硬件。根據PCI安全標準委員會的文件，商家可以通過從P2P加密供應商購買技術來支持移動設備支付，以滿足支付卡行業數據安全標準(PCI DSS)的要求。

　　安全研究人員對允許商家通過智能手機或平板電腦設備進行支付的早期版本的硬件的安全性表示擔心。位于舊金山的Square公司在2010年開始銷售用于iphone、ipad和Android設備的讀卡器，從那時起，其他供應商(包括VeriFone、Paypal和SalesVu)向商家銷售與智能手機兼容的支付設備。

　　PCI安全標準委員會的移動工作組制定的這份文檔為商家提供了PCI委員會所謂的“實用指導意見”，這份文件包括2011年年底對PIN傳輸安全標準要求的最新更新。

　　根據PCI委員會的規定，商家必須使用經過驗證的PIN輸入設備或者經審批的安全讀卡器來安全地捕捉和加密持卡人數據。PCI委員會在其文件中寫道：“移動設備并不一定能保證安全輸入和確保持卡人數據的安全。”

　　經過驗證的讀卡器在數據進入移動設備前將對數據進行加密。讀卡器的供應商將負責讓設備通過PCI SSC的新P2P加密驗證要求的驗證。一旦委員會認為設備符合安全的最低要求，就會批準設備為驗證設備并將其列入PCI委員會的網站中。

　　“在2012年，經驗證的P2P加密解決方案將被列在PCI安全標準委員會的網站中，”該委員會在其文件中寫道，“如果你選擇接受移動支付，這些解決方案將幫助你履行PCI DSS的職責。”

　　PCI委員會還敦促商家與他們的收單銀行或者支付品牌緊密合作以確保PCI DSS驗證工作的完成。PCI委員會表示計劃在今年晚些時候發布保護移動交易的最佳做法。

　　新興的支付方式：

　　PCI委員會表示去年他們開設了一個專責小組來研究移動支付系統的安全性。他們得出的“情況說明書”并沒有概述新興的支付系統(例如近場通訊NFC或者短距離無線技術)，或者可以將智能手機變成一個虛擬錢包的無線技術。

　　這些新技術已經出現，有些正受到信用卡品牌的帶動。例如Visa在二月份推出了“一站式”移動支付方法，這類似于Google Wallet，可以用于支持NFC技術的移動設備。移動運營商也正在開發支付系統。AT&T、T-Mobile和Verizon Wireless將開始測試ISIS支付系統，該系統同樣使用了NFC。