为应对金融诈骗,支付行业安全标准委员会(pci council)更新了pos的标准。
近年来,针对零售商的信用卡诈骗数目不断攀升。全球零售业与酒店连锁都是犯罪分子的主要目标,仅过去的几个月间,信用卡诈骗事件层出不穷。
支付行业安全标准委员会(pci council)针对此种现状,而为了减少诈骗的发生,更新了pos标准,该组织期望通过相对简单的方法提升pos系统安全性。
上周,pci council 公布了pci pin 交易安全多系统合路平台(pts poi)安全要求模块的5.0版本。
新标准关注了支付行业的新需求,特别是:
采用了允许pos读卡器进行固件升级的控制。
“设备必须支持固件升级。设备的固件应有加密验证并且在验证未被通过时,拒绝并删除此次固件升级。”
核心物理安全要求也包含了防篡改。在攻击中,设备能处于不可操控的状态。
“设备运用了篡改监测与响应机制。攻击的场景中,设备会立即变成不可操控的状态,并且自动与及时的清除设备中存储的敏感数据。这些机制也可保护设备不被物理渗透,如(包括但不限于):电钻、激光、化学药剂等。”
设备也应当免疫旁路攻击(side-channel attacks,如监测电磁辐射)等有可能导致泄露密匙的攻击。
“设备在启动之前必须进行自检以确认没有异常状况。失败的情况下,设备应当以安全的方式失败,且必须至少每24小时进行一次内存初始化。”
新标准旨在对抗不断加剧的信用卡攻击并提升支付行业安全性
各大银行也观测到了相似趋势,著名研究员brian krebs近日发布的一份有趣声明中警告道,美国与欧洲银行的atm skimming攻击增长速度令人瞠目结舌。
“据最新诈骗追踪的数据显示,去年,美国与欧洲atm skimming攻击以惊人的速度增长,攻击者目标不仅仅是银行客户,还有银行本身。”krebs写到。“这一趋势在2016年大体不变,但在美国本土的增长幅度令人吃惊。”
fico针对atm skimming攻击发布多个警告
4月18日,fico警告“在2014至2015年间,诈骗追踪服务的记录增长了546%。”
对于支付行业来说,pos设备难以升级也是一大弊病。可升级读卡器套装非常昂贵,以及缺乏安全保护措施,是其必须要解决的问题。而使用可升级的读卡器必将提升零售业的支付安全。
银行业继续受到攻击,美国逐渐开始采用最新的芯片卡(chip-and-pin)技术,这项技术可以明显提升用户、商家以及金融机构的安全。
新的标准将从2017年9月起生效,并将取代目前的4.1版本。
试用申请