Visa和MasterCard正在向商家施壓要求他們部署芯片密碼(Chip and PIN)技術(shù)，雖然該技術(shù)將提高交易安全，但也會讓PCI合規(guī)變得更加困難。

2015年可能會是Chip and Pin技術(shù)(也被稱為EMV)突破性的一年，主要是因為零售商日益濃厚的興趣以及即將到來的最后期限：屆時還沒有部署該技術(shù)的商家將承擔(dān)新的責(zé)任。

SearchSecurity記者最近采訪了Gartner研究公司副總裁兼著名分析師Avivah Litan有關(guān)她最近對芯片密碼技術(shù)的安全和合規(guī)影響的研究。

對于EMV，請您向我們的讀者介紹一下即將到來的2015年10月欺詐責(zé)任最后期限的相關(guān)信息。這個最后期限意味著什么，以及它將對EMV部署產(chǎn)生何種影響?

Avivah Litan：基本上來講，2015年10月1日的EMV責(zé)任調(diào)整最后期限間接激勵著商家和銀行部署EMV芯片。在一些國家只有相關(guān)規(guī)定，但在美國市場和其他市場，這是責(zé)任調(diào)整。這意味著在這個日期之后，如果發(fā)生欺詐交易，在發(fā)卡行、收單銀行、交易處理方以及商家中，誰的安全性最低，誰就需要承擔(dān)責(zé)任。也就是說，如果有人拿著芯片卡進入零售商店，而商家沒有相應(yīng)的銷售終端系統(tǒng)，該商家可能要為該交易導(dǎo)致的任何欺詐行為承擔(dān)責(zé)任。

同樣地，如果商家有芯片密碼兼容的終端系統(tǒng)，而消費者沒有芯片卡，那么發(fā)卡銀行必須為刷卡交易中發(fā)生的任何欺詐行為負責(zé)。所以這間接激勵著銀行和商家部署基于芯片密碼的系統(tǒng)。

美國EMV遷移論壇是智能卡供應(yīng)商聯(lián)盟，該組織估計，到明年年底將有900萬臺EMV功能的支付終端，以及多達9億張芯片卡。首先，你同意這些預(yù)測嗎，以及EMV技術(shù)最終將如何影響商家保護支付數(shù)據(jù)安全的能力?

Litan：我自己并沒有作出預(yù)測，但你只要看看全球各地發(fā)生的情況就可以知道答案。如果你訪問EMVCo網(wǎng)站，你會看到其中聲稱現(xiàn)在不到30%的交易涉及EMV，不到40%的支付終端支持EMV，所以這是相當緩慢的過程。雖然美國即將到來的最后期限將會在很大程度上改變這種現(xiàn)狀，但在其他國家，EMV芯片交易不會進展那么順利。這些系統(tǒng)需要一段時間才會推出。

我認為，還要過5到7年我們才會看到85%的芯片交易，即芯片密碼卡用于芯片功能的終端。在那之前，商家仍然需要按照現(xiàn)在的方式保護它們的系統(tǒng)，這仍然會是針對磁卡，商家仍然需要接受這些卡，并且，很多犯罪分子也會從中受益。這種情況在短期內(nèi)并不會發(fā)生太大的改變。

一直備受爭論的話題是，未使用密碼的EMV交易是否比磁卡交易更安全?你的觀點是什么，從長期來看，你認為銀行會避免廣泛部署基于密碼的信用卡嗎?

Litan：我認為沒有密碼的EMV比磁卡要安全得多，但有密碼的EMV更加安全。根據(jù)美國聯(lián)邦儲備委員會2013年報告的數(shù)據(jù)顯示，基于密碼的交易和基于簽名的交易相比，欺詐行為減少了700%。這是一個巨大的改進，我不明白為什么美國不遷移到芯片密碼，EMV交易顯然要比磁卡安全得多。

按理來說，交易欺詐的減少應(yīng)該會激勵銀行支持芯片密碼，為什么他們在拖延?

Litan：對此我有兩種觀點。第一，他們不想要影響客戶體驗。他們擔(dān)心客戶不習(xí)慣為信用卡使用密碼，他們可能記不住密碼，而不得不重置密碼等。我并不同意這些觀點。在加拿大，銀行不想支持密碼芯片是因為他們有相同的擔(dān)憂，但他們最終還是這樣做了，而消費者在使用中也沒有出現(xiàn)使用問題或者記不住密碼的問題。

另一個問題是，如果消費者使用密碼，銀行害怕這些密碼會被盜并用于執(zhí)行ATM欺詐。銀行最擔(dān)心這一點，因為他們不能逆向ATM欺詐到任何商家;ATM是銀行的，這是銀行的錢，他們將需要賠償消費者的損失。由于密碼可能以很多不同的方式被盜(例如略讀、肩窺等)，我不認為銀行想要承擔(dān)芯片密碼的廣泛使用可能帶來的ATM欺詐責(zé)任。

這使我想到你最新的研究報告，其中你提到攻擊者利用糟糕部署的基于EMV芯片的支付應(yīng)用，破壞EMV控制來執(zhí)行廣泛的欺詐行為。你最關(guān)注的是什么?

Litan：從安全的角度來看，EMV本身是一個非常強大的協(xié)議，但它的部署方式也很重要;愈強壯也容易暴露愈多的缺點。在有些情況下，銀行不會驗證發(fā)送給他們的EMV交易數(shù)據(jù)，他們認為這沒問題，所以他們沒有驗證密碼和一次性計數(shù)器，而罪犯就利用了這一點。他們重新布線交易系統(tǒng)，并發(fā)送虛擬和欺詐性交易。

在商家方面，在所有人都支持使用EMV之前，他們不太可能“關(guān)閉”磁卡交易。這也讓犯罪分子創(chuàng)建了這樣的惡意軟件，即當用戶試圖進行芯片密碼交易時，提示用戶首先輸入其磁卡數(shù)據(jù)，然后再提示他們輸入密碼。

請記住，這個惡意軟件并沒有“破壞”EMV;它只是利用支付應(yīng)用的部署方式來破壞支付應(yīng)用，讓它們按照他們的指示去竊取客戶的支付數(shù)據(jù)。這只是兩個具體的例子，還可能有更多的情況。

EMV技術(shù)對商家的PCI DSS合規(guī)有什么影響?有什么好處?

Litan：對于支付卡數(shù)據(jù)安全，EMV肯定會帶來好處。當EMV交易所占比率足夠高時，犯罪分子將難以找到磁卡數(shù)據(jù)來創(chuàng)建假冒卡。另外，在短期內(nèi)EMV并不會緩解PCI合規(guī)負擔(dān)，但在長期內(nèi)會緩解。希望有一天商家不再需要保護磁卡數(shù)據(jù)，而是保護EMV數(shù)據(jù)，這樣會更簡單。

在短期內(nèi)，先不說責(zé)任問題，對于考慮投資額外技術(shù)來避免支付卡數(shù)據(jù)泄露事故的商家而言，EMV有意義嗎?

Litan：是的，EMV對Visa和MasterCard都有意義。從安全的角度來看，該是比磁條卡使用的協(xié)議更強大的協(xié)議。

另外，我想問你關(guān)于Apple Pay的問題。有人認為Apple Pay會給支付數(shù)據(jù)安全帶來改革，你同意嗎?

Litan：我不認為它會改變游戲規(guī)則，因為它只是延續(xù)Visa/MasterCard支付系統(tǒng)，但它比磁條卡有著顯著的改進。這種支付更加安全，也很便于消費者使用。

最后，今年你最關(guān)注的PCI DSS趨勢是什么?

Litan：除了犯罪分子利用糟糕部署的EMV芯片支付應(yīng)用，我還關(guān)注著一些其他趨勢。EMV令牌最先由Apple Pay和支付網(wǎng)絡(luò)部署，它基于的協(xié)議不同于令牌化系統(tǒng)商家用于限制PCI審計范圍的協(xié)議—這可能導(dǎo)致令牌部署沖突。我希望看到令牌化標準的更多發(fā)展，并希望它可以很好地適用于商家、發(fā)卡行和所有支付系統(tǒng)參與方。我也希望商家對EMV令牌協(xié)議及其BIN范圍提供的更多透明度，以及識別客戶的可行方法，而不需要依靠卡號碼。