人们一直认为，变化是不可避免的。许多陈词滥调围绕着改变的概念，包括永远改变，以及你无法停止的改变。仅在过去的两年里，我们接触的几乎所有东西都发生了巨大的变化。我们作为消费者的工作、社交和行为方式的整个模式已经改变。我们每天去一次办公室；现在，我们主要在家工作。我们曾经看过 DVD 电影；现在，我们点播我们的娱乐节目。

由于场景变化，打开了新的漏洞

我们还改变了支付商品和服务的方式，现在我们提供了使用信用卡以外的其他选择，例如在我们的许多交易中使用钱包和即时支付。不幸的是，这也为犯罪分子提供了利用这些不断变化的行为的机会，而数字化转型使其成为比以往任何时候都更具吸引力的目标。正如我们可以远程工作一样，网络犯罪分子也可以。根据一份报告，2020 年有 1800 万美国人通过涉及数字钱包和个人对个人支付应用程序的诈骗被骗。

虽然毫无疑问，替代支付方式很有吸引力，但我们需要从信用卡生态系统中汲取经验教训和最佳实践，尤其是在欺诈和安全方面。我们所知道的信用卡系统及其基础安全性已经发展了六年，使其成为一种可以说是安全的支付方式。所有保护卡支付流程的缓解措施都是随着时间的推移而开发的，但也许我们急于接受改变新支付方式的原因是缺乏适当的远见。由于我们已经习惯了信用卡提供的安全性，我们是否真的对替代支付给予了同样程度的信任？

以前我们在安全上做了什么？

信用卡使用的一些保护措施，例如处理账户数据的标准、点对点加密机制、PIN 验证、重放攻击预防和主机卡模拟，都很有帮助，并导致了实体支付卡的下降欺诈罪。但是，现在大多数付款都是远程交易的，因此必须将这些保护措施应用于新的付款方式。

替代支付方式通常与银行账户和实时支付网络相关联，以高效、快速地在人与人之间或从人到商户之间转移资金。迄今为止仍未解决的问题包括松散和新生的法规、令消费者感到困惑的不断变化以及急于上市以发布新应用程序。犯罪分子发现的利基是实时支付过程的速度允许在发现犯罪之前将资金提取并沿多个支付目的地移动，从而难以检索欺诈交易。对于受害者来说，一个更可怕的认识是，银行通常没有义务保护交易，因为付款是由消费者完全“授权”的。

面对风险，如何前行

正如欺诈者的滞后正在减少一样，安全滞后也在增加——换句话说，犯罪分子正在超越安全进步。与软件开发生命周期 (SDLC) 的传统问题类似，在这些支付应用程序的开发中没有足够早地引入安全性。

在这种新的支付环境中前进有几种关键的方法：

• 加密——在数据捕获过程中更早地引入加密，一直到它被捕获到数据库中。这将限制任何无意的数据暴露。
  

  
  

• 令牌化——虽然我们都熟悉标记化信用卡数据，但这需要扩展到即时支付环境。令牌化可能会引入一次性使用、商家细分和数量限制等因素。

  
  

• 提供安全保障——保护供应渠道将允许部署有限使用凭证，类似于用于非接触式移动支付的托管卡仿真 (HCE) 的移动支付系统。如果消费者的设备受到损害，这也将保护数据。

安全配置的一个关键是还要保护后端处理。这最好使用硬件安全模块 (HSM) 来完成。HSM 在设备安全性不足和后端安全性增强之间取得平衡。这是管理安全密钥从开始到销毁以及建立安全通道的最佳方式。

HSM免除了个人的密钥管理责任，使人们能够不受旧密钥管理流程的影响而工作。它还有助于合规性、审计任务和程序。最重要的是，HSM可以大规模执行加密、防篡改并保护密钥和算法。

改变可能是不可避免的，但让你的客户成为改变的受害者却不是。联系揽阁信息，获取适合您业务场景的HSM，让您与您的客户都可以放心安全的进行支付！

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Thales提前完成收购Imperva交易

• 经验教训：2023年全球网络安全的五个要点

• 数据安全的未来是什么

• 机器学习如何加速并提高敏感数据分类的准确性

• 揭示PKI动态：全球各地区技术趋势和监管见解