Компания Visa опубликовала рекомендации по шифрованию так называемых "полей
данных" (осуществлению сквозного шифрования). В тексте рекомендаций содержатся
советы по защите терминалов от взлома, использованию длинных криптографических
ключей, а также призыв всегда зашифровывать информацию держателей карт.
Шифрование полей данных предусматривает применение методов, обеспечивающих
прямую передачу информации о банковских картах от клиентского устройства к
устройству обработки данных в зашифрованном виде. Такой подход призван
обеспечить поддержку соблюдения текущих стандартов безопасности
PCI DSS. Так, согласно
новым рекомендациям, важные аутентификационные сведения (например, номера CVV2
или PIN) должны использоваться только для авторизации и не сохраняться на
компьютерах торговых точек.
Добавим, что публикация стандартов шифрования полей данных произошла после
инцидентов с массированными утечками данных кредитных карт, как это было, к
примеру, в случае с торговой сетью TJX.
Стоит отметить, что система стандартов в данной области еще только начала
разрабатываться, однако мы уверены в том, что Visa изыщет способы стимулирования
коммерсантов для перехода на них. Сделать это можно путем снижения сборов за
процессинговые услуги для самых сознательных и наложением штрафов на тех, кто
допускает утечки информации и не следует имеющимся рекомендациям.
Кстати сказать, компания Vista также объявила о своем намерении возглавить
рабочую группу ANSI X9F6, помогающую стандартизировать процесс шифрования полей
данных.
