在刚刚过去的2009年里，Heartland Payment Systems对外披露了其公司内部发生的一起数据泄漏重大事故。该公司的CEO Bob Carr说，他们作为一家支付处理的大厂商，将说服这一行业在保护信用卡数据方面做根本性的改进。

　　Carr称，从在支付终端刷卡到信用卡标记交易的完成，端端加密是保护持卡人数据的最佳方式。但RSA 2010信息安全大会上的行业专家小组称，端端加密没有多大的意义。

　　Visa公司支付技术发展部门的高级商业领导人，兼金融零售服务工作组的ASC X9F6和ISO TC68/SC2/WG13安全主席John Sheets说：“端端加密仅仅是个营销术语。在标准方面，我们对哪里是开端、哪里是终端有过很多次讨论和争议。在Visa上，我们没有把重点放在终端上，而专注于当你选择通过加密来保护数据时的要求。”

　　Heartland Payment Systems的首席信息官Steven Elefant为其公司的技术进行了辩护。Heartland Payment Systems一直在与Voltage Security公司合作开发E3处理系统，Elefant说，其中包括的新支付终端将从刷卡的瞬间开始对数据进行加密，并在卡交易完成之前一直保持加密状态。

　　Elefant说：“如果我们进行加密，就不会发生泄漏事故。终端是很重要的；我们可以从销售点开始进行控制，直到我们能够安全地将交易信息传达给银行。”

　　Elefant是在Heartland公开那起泄漏事故之后上任的，他承认端端加密并不是坚不可摧的，但它毕竟是保护持卡人数据的纵深防御措施上的一大进步。

　　Elefant说：“这些数据信息是你DNA的一部分,我们正在寻找多种技术来确保即使用户处于最坏的情况下，数据仍然是不可用的，我也认为端端加密并不是一切的终结。”

　　PCI安全标准委员会的总经理Bob Russo表示出他对“端端加密”这一术语的忧虑，他说，有许多技术被大力宣扬成可以更好地保护支付处理过程安全，其中包括加密和标记化系统，委员会正在研究这一技术，并将在以后提出有关这一主题的指南。

　　Russo说：“相信总有一天会出现50多家厂商，声称他们拥有真正的端端加密技术。在委员会上，我们需要好好考虑这些问题，并弄清楚其中的要素和如何映射到标准中。”

　　Axway公司的首席安全官Taher Elgamal（译码解码员）在接受我们SearchSecurity.com的采访中驳回了端端加密的概念，认为它是毫无意义的。25年前唯一可用的加密方式是TCP下的链路层点对点加密，但如今的企业网络点数量庞大，端点的数量可能已经数以千计了。

　　有很多压力迫使我们在信用卡行业内的信用卡交易上应用加密技术，以保护我们不会遭到攻击，这样很好。我认为我们在找到真正的解决方式之前过度宣扬了某些技术。

　　Elgamal说，在信用卡交易中有七到八个处理交易的实体。

　　他说：“如果那些终端并不是交易的实际终端，那么你并没有达到真正地统领全局。”

微信公众号

TechTarget

官方微博

TechTarget中国