atsec高向东：移动支付需关注持卡人数据加密(2)

除了推出一些新标准以外，同时标委会也做了很多补充，具体来看这些补充通常是以指导性的规范来体现的。首先一个好的消息是，对于广泛涉及的比如说像PTC合规的密码键盘这类的设备和POS设备，今年的消息这些可以接受作为PCI另外一个标准进行支付应用做审核，而当前对广泛流行手机支付非应用系统的安全性是如何保证的？这样的规范也在开发过程中。另外，对新的指导规范还包括了在EMV环境下，国内我们通常叫IC卡，在IC卡达到安全的条件下如何和PCI相联合？这也提出了相应的指导意见。除此之外包括电话银行、呼叫中心涉及到持卡人数据的时候，安全如何保障？也有相应的安全规范。同时也包括虚拟化技术、无线检测的技术等等都提出了具体规范。时间关系我就不一一展开了。

前面我们提到了对于规范的指导性意见的提出，具体在合规的过程中，可能好多时候像商户、第三方支付公司，涉及持卡人数据交易的、SIM卡数据存储传输的都会涉及PCI传输，都需要维持和符合PCI的要求规范，在合规的过程中我们也发现好多用户会有这方面或者那方面的问题，也想借这个机会跟各位做些分享，在座各位都是专家，也希望大家给予理解，也希望跟大家讨论。下面我们来具体看一下，首先第一个问题，对于PCI合规的工作量，PCI这个标准我们理解它是介于一个更具体的指导性的规范标准，这个标准的要求非常细，然后又是一个复合型的标准，就是说持卡人数据必须是合规的。这导致看起来工作想非常巨大，尤其是哪些有持卡人数据、哪些没持卡人数据的时候，这样导致无论是时间投入还是金钱投入都非常大。这时候我们可以从三个层面来有效的缩小或者降低持卡人环节在合规使用时的难度，第一个方面我们称为数据流梳理，我们通过一个有效网络分割的形式，把和持卡人无关的系统排除之外。

对于大家广泛关注的在合规过程中的加密或者持卡人数据的安全存储，这个地方我们也想对大家推荐一下合规的规范或者实践。大家可以看到右边这个图，是对于交易过程中的加密，用户体验是不会受到影响的，所改变的是应用系统和数据应用系统调用的时候需要改变结构，最终的结果是在应用跟数据在之前调用的时候都是明文转密文的形式，这保证了好多时候持卡人数据是可以避免掉泄露的。另外还涉及到密码管理的实践，在密码管理或者涉及密钥管理的时候，我们从生命周期的角度来看，如何安全的建立、如何安全的变更，我们可以用一个生命周期来看待这个问题。

另外在PCI合规过程中，可能有组织说我很难做到这点，无论是设备投入还是人力投入，很难做到，同样PCI也会有一个相应的措施。对于我们自己开发的应用，我们很多时候关注的都是应用本身的功能，如何在应用过程中更好的融入安全？我们也总结了很多总结，包括测试、编码、生产等等过程中需要参考哪些实践？这个地方我们也做了总结，感兴趣的朋友我们也可以展开更多的探讨。对于atsec来说我们今年跟中国信息安全认证中心合作推出了安全软件开发课程，这个课程我们打算在2012年第一季度展开第一期的课程，有感兴趣的朋友可以跟我们公司的同事沟通。

在线系统，系统出漏洞打补丁是个很麻烦的事情，但是不打也不行，但我们在这个得到总结了一个比较好的生命周期的管理方法。总结起来来看，首先对于漏洞，我们投入很好的方法尽早发现，在分析的时候分析的非常全面，在跟踪的时候我们有效的利用标准要求，更合理化安排这个生命周期，在于在补丁管理或者对漏洞修复的影响，这也是可以遵照一个过程来实现的。

最后提到一点，对于整个体系的建设，PCI合规的时候我们可以认为PCI这个要求可以在2.5这个层面，也就是说介于ISO和ICE两个层面，如何有效的把我们已经符合的一些体系跟PCI有效的融合？这个我们认为是非常必要的，而不是很多时候为符合标准建立很多的安全体系，这在执行起来是会有很大难度的。

这个地方也跟大家分享一下，这是一个我们推荐的比如对于支付的机构，在涉及比如我们国内的风险管理指南、27000、PCI这些要求的时候，如何通过一个融合的体系来实践？首先把这些标准打碎，形成一个我们自己符合标准的整体。

在此做一个呼吁吧，虽然讲的是PCI，但包括PCI的发展和规范性的指导意见，以及包括涉及无论是在线还是离线的交易、远程还是现场的交易，都希望在这个过程中多考虑安全，从安全角度来看也希望跟在座各位做很多分享，希望跟大家一道共提升移动支付大发展同时，首先安全可以为移动支付的发展保驾护航，另外安全也作为移动支付发展的基础，更多的对移动支付应用的发展作出贡献，谢谢大家！