4000 258 365
用户名:
密码:
忘记密码? 尚未注册?
邮箱地址:
密码:
确认密码:
手机:
单位:
注册

为应对金融诈骗,PCI更新标准

作者:威客安全 发布时间:2016-09-14

为应对金融诈骗,支付行业安全标准委员会(PCI Council)更新了PoS的标准。

近年来,针对零售商的信用卡诈骗数目不断攀升。全球零售业与酒店连锁都是犯罪分子的主要目标,仅过去的几个月间,信用卡诈骗事件层出不穷。

支付行业安全标准委员会(PCI Council)针对此种现状,而为了减少诈骗的发生,更新了PoS标准,该组织期望通过相对简单的方法提升PoS系统安全性。

上周,PCI Council 公布了PCI PIN 交易安全多系统合路平台(PTS POI)安全要求模块的5.0版本。

新标准关注了支付行业的新需求,特别是:

采用了允许PoS读卡器进行固件升级的控制。

“设备必须支持固件升级。设备的固件应有加密验证并且在验证未被通过时,拒绝并删除此次固件升级。”

核心物理安全要求也包含了防篡改。在攻击中,设备能处于不可操控的状态。

“设备运用了篡改监测与响应机制。攻击的场景中,设备会立即变成不可操控的状态,并且自动与及时的清除设备中存储的敏感数据。这些机制也可保护设备不被物理渗透,如(包括但不限于):电钻、激光、化学药剂等。”

设备也应当免疫旁路攻击(side-channel attacks,如监测电磁辐射)等有可能导致泄露密匙的攻击。

“设备在启动之前必须进行自检以确认没有异常状况。失败的情况下,设备应当以安全的方式失败,且必须至少每24小时进行一次内存初始化。”

新标准旨在对抗不断加剧的信用卡攻击并提升支付行业安全性

各大银行也观测到了相似趋势,著名研究员Brian Krebs近日发布的一份有趣声明中警告道,美国与欧洲银行的ATM Skimming攻击增长速度令人瞠目结舌。

“据最新诈骗追踪的数据显示,去年,美国与欧洲ATM Skimming攻击以惊人的速度增长,攻击者目标不仅仅是银行客户,还有银行本身。”Krebs写到。“这一趋势在2016年大体不变,但在美国本土的增长幅度令人吃惊。”

FICO针对ATM Skimming攻击发布多个警告

4月18日,FICO警告“在2014至2015年间,诈骗追踪服务的记录增长了546%。”

对于支付行业来说,PoS设备难以升级也是一大弊病。可升级读卡器套装非常昂贵,以及缺乏安全保护措施,是其必须要解决的问题。而使用可升级的读卡器必将提升零售业的支付安全。

银行业继续受到攻击,美国逐渐开始采用最新的芯片卡(chip-and-PIN)技术,这项技术可以明显提升用户、商家以及金融机构的安全。

新的标准将从2017年9月起生效,并将取代目前的4.1版本。


分享到:
北京安华金和科技有限公司 ©2015 版权所有 ICP备10053980号 京公网安备11010802010569号