"能否卖给我一台 PCI DSS 认证的读卡器？"——这是一个错误的问题

在 ID TECH，我们经常收到关于支付业务的各种技术问题。人们有时会对支付卡行业的相关要求感到困惑。例如，我们常会收到这样的问题："能否为这些设备提供 PCI DSS 证书？"或者"我在 PCI 官网上没看到 X 产品，它通过 P2PE 认证了吗？"

这些都是常见的问题，但它们背后有时存在错误的假设。如果默认未通过 PCI 认证的设备本质上不如通过 PCI 认证的设备安全，那这种想法是不正确的。

ID TECH 可以提供通过 PCI PTS SRED 认证的硬件（例如右图所示的 SREDKey；或 Augusta S、Spectrum Pro、SecuRED、VP8800 等），但我们的非 SRED 设备仍然是高度安全的设备，可用于市面上正在开发的大多数支付解决方案。

PCI DSS 是一种系统级解决方案，要求对支付系统的所有方面进行认证，而不仅仅是硬件设备。PCI DSS 包含 12 项具体要求，规定合规解决方案必须如何处理访问安全和持卡人数据。以下条目直接摘自 PCI 文档.

控制目标

PCI DSS 要求

在阅读这些要求时，您会发现其中并没有规定 PCI 要求解决方案提供商在方案中必须包含哪些外围支付硬件。PCI 主要关心的是 您是否 满足了相关要求，而对于 如何 满足这些要求并不那么在意。当解决方案提供商申请 PCI DSS 认证时，他们可以使用非加密读卡器，但这会让系统在处理敏感信息的方式上面临额外的审查。如果使用加密读卡器，使得商户既无法在本地、也无法在支付环境内解密卡片数据，那么 QSA（合格安全评估师）很可能可以帮助商户在第 3、4、9 项要求上实现有价值的范围缩减。（但实际的范围缩减程度，最终由审核员决定。）

真正与硬件相关的 PCI 要求很少。从严格意义上讲，PCI 唯一认证的硬件是所谓的 PCI PTS（PIN 交易安全）或 "SRED" 设备，这也是安全数据读取与交换（SRED）要求的归属之处。非 SRED 设备可以（通常也确实）具备与 SRED 设备相同的加密功能，但非 SRED 版本并不具备产品获得 SRED 资格所需的必要防篡改机制。（另外请注意，PCI 对制造商在软件安全开发、软件安全升级等方面有非常严格的规定。SRED 设备必须做到从生产到报废的全生命周期安全。）ID TECH 的加密设备（即使是非 "SRED" 设备）从技术上讲可以被视为符合 PCI 规范，因为它们被用于许多当前已通过 PCI DSS 认证的解决方案中，但读卡器本身并未"经过 PCI 认证"。PCI DSS 认证针对的是整体解决方案，并非设备级标准。

P2PE

支付行业内对"P2PE"（点对点加密）普遍存在一个误解。很多时候，当人们说"P2PE"时，他们实际上指的是 E2EE（端到端加密）。当商户部署的支付系统能够在硬件层面对持卡人数据进行加密后传输到 POS 应用程序，再由后者将加密数据传至（远程的）支付网关时，这被视为"端到端"加密。而 P2PE 是 PCI 的官方认证，涉及交易的方方面面，包括所使用的硬件（必须是 SRED 设备）、部署环境、数据处理（必须符合 P2PE 规范）、支付应用程序，以及密钥注入和解密设施。仅仅部署一台 SRED 设备，并不会自动使系统符合 P2PE 标准。

您应该了解，P2PE 认证极其昂贵且少见。大多数自认为需要"P2PE"的人其实并不需要。请仔细评估您的实际需求。

对 PCI 认证或支付设备安全有疑问？ID TECH 的技术专家乐意为您提供帮助。欢迎随时致电：

免费咨询电话
1-800-984-1010

本月文章由 ID TECH 无人值守解决方案产品经理 Jason Hall 撰写，Kas Thomas 参与提供素材。