编写标准ANSI X9.24-1-2017第1部分,旨在为零售金融业和参与处理卡支付的参与者提供最低限度的对称密钥管理要求和准则。
在这里,我们探索形成卡支付环境的不同实体,如规范ANSI X9.24-1-2017中所述。我们还将解释为什么安全地管理在这种情况下使用的对称密钥是确保交易安全的一种重要方法,并且通常对于确保整个卡支付环境的安全也是重要的方法。
对称密码学与密码学算法有关,其中加密数据的密钥与解密数据的密钥相同。因此,对称密钥是参与密码交换数据的两方之间的共享秘密(加密/解密)。
金融零售业广泛依赖对称密码来保护交易。几十年来,银行和金融处理器一直在使用对称密码术来对PIN或交易数据进行加密。历史上,对称密码(例如数据加密标准算法(DES / DEA))开创了该行业使用的加密技术。然后用三重DES和AES代替DES。卡支付行业主要使用对称密码,因为它比非对称密码快得多,并且更适合于动态数据的加密。
事务的安全性,完整性和身份验证取决于对称密码。ANSI X9.24-1-2017第1部分标准描述了如何管理相应的密钥,密钥的生成,运输,装载,归档等,以使一切在支付环境的各个级别均保持安全。
卡接受者是接受支付卡并将交易数据发送给收单方的商户或ATM。
持卡人之所以这样命名,是因为它“接受”卡,因此能够访问持卡人帐户,以作为向提供给持卡人的商品或服务付款的方式。在POS(销售点)系统中,卡接受者可以是零售商,支付服务公司或金融机构(最终是银行)。在ATM系统中,卡接受者可以与收款人是同一实体。
收单行(也简称为收单行)是允许商家接受和处理信用卡或借记卡付款的银行或金融机构。
Visa或MAStercard收单方(通常是商家收单方)是第三方服务公司的处理方,有权与商家合作处理和结算交易。收单方为商人提供处理交易所需的工具和技术(包括硬件和软件)。
卡支付网络公司(例如Visa或Mastercard品牌卡)不是收单方。取而代之的是,他们运营和管理支付网络,并且站在交易中间,并具有拒绝交易或执行其他处理的某些权利。
发卡银行(或简称为“发卡行”)是代表特定卡支付网络提供支付卡(借记卡,信用卡或预付卡)的金融机构。这种卡支付网络的示例包括Visa,Mastercard,Europay,JCB,American Express和Discover。
开证行直接将其品牌借记卡,信用卡或预付卡提供给其消费者。因此,“发卡人”的名称来自向最终消费者“发行”卡的做法。
发卡行只不过是持卡人的银行,因此负责向商户银行(也称为收单行)(或在ATM交易中使用ATM的银行)支付商品或消费者(或持卡人)购买的服务或在ATM上取款的服务。
当消费者使用信用卡时,发卡银行将信用额度扩展到该消费者。发卡银行和收款银行根据相应的卡支付网络(例如,Visa,万事达卡等)规定的规则,共同承担不付款的责任。
支付交换机是通过从不同子系统(例如ATM,POS或支付网关)接收交易请求而充当网关的交易处理系统。这些系统将消息和交易授权路由到正确的收件人。
总而言之,ANSI X9.24-1-2017上下文中的支付环境大致由以下参与者和行为组成:
持卡人的消费者从商人那里购买商品或服务;
发行人,即将资金转移到收款人的消费者银行;
收单行,是从消费者那里接收钱款的商人银行
商家接受信用卡,借记卡或预付卡,并提供足够数量的商品或服务以换取付款。
对称密码学是金融交易安全性的基础。对于负责维护事务处理日常操作的组织,相应的加密密钥(尤其是在生成、传输和加载到安全加密设备(通常为HSM)时)的保护和安全管理是一项基本任务。
我们上面描述的所有实体都需要对彼此之间通信的数据保密。例如,ATM需要与发卡行进行通信,因此,它们将对例如不同区域和交换机之间的PIN进行加密,这些区域和ATM与发卡行之间的链路有关。这些密码是用对称密码学完成的,因为PIN必须在金融交易的所有步骤中保持机密。加密PIN的密钥必须安全地生成,传输,加载等。这需要在此类密钥的生命周期内进行仔细的管理,“从密钥的摇篮到密钥的坟墓”-ANSI X9.24-1-2017第1部分为零售金融业和参与处理卡支付的参与者提供了重要的要求和准则。
非对称密码技术也用于卡支付环境中,但主要用于签名交易以及带有证书的PKI上下文等。标准ANSI X9.24-1-2017的第2部分对此进行了描述。
点击此处,查看支持和符合ANSI X9.24标准的payShield 10K HSM(金融加密机)
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!