线上支付盛行！如何解决支付安全漏洞？-控件新闻-慧都网

线上支付盛行！如何解决支付安全漏洞？

翻译|行业资讯|编辑：李显亮|2020-07-09 11:02:25.640|阅读 193 次

概述：为了促进“无联系常态”，PCI安全标准委员会（PCI SSC）包括针对商业部署和软件应用程序的指南，以帮助解决潜在的支付安全漏洞。

冠状病毒危机正在改变人类的行为。从对社会疏远的持续需求到可能永久采用在家工作的任务，“新常态”是未知的领域。

为了促进“无接触常态”，PCI安全标准委员会（PCI SSC）包括针对商业部署和软件应用程序的指南，以帮助解决潜在的支付安全漏洞。这是您需要知道的。

控制营商成本

商用现货（COTS）设备通常是零售商接受非接触式付款的最简单方法。通过使用嵌入式近场通信（NFC）读取器，COTS解决方案可以轻松地与现有POS技术集成，并允许商家使用支持NFC的卡或受支持的智能手机应用程序立即接受来自客户的非接触式付款。

PCI COTS非接触式支付（CPoC）标准为这些设备定义了关键的安全要求，以确保安全地捕获，处理和处理消费者支付卡信息。符合CPoC的解决方案包括三个关键要素：

具有嵌入式NFC接口的COTS设备，能够读取支付卡或支付设备数据。根据CPoC标准，COTS设备必须具有在线连接以支持后端系统交互，并且PCI SSC建议使用受信任的执行环境（TEE）或安全元素（SE），该环境可提供基于硬件的保护以及加密功能操作，密钥管理和受信任的应用程序托管。
在商家COTS系统上运行的经过PCI DSS验证的付款接受软件。该应用程序必须提供一个通往嵌入式NFC设备的通道，执行初始数据加密并包含软件保护机制，以保持其完整性以防恶意攻击。此外，组织必须能够证明该应用程序是“在整个软件生命周期中都具有安全性概念和活动”开发的。

此外，“假定攻击者拥有在任何未知或不受信任的平台上执行的软件的完全访问权限，其中该软件可以是二进制可执行文件，解释的字节码或加载到平台上的其他形式。因此，该软件应提供固有的保护措施，以抵抗代码执行流程的逆向工程和篡改。这些保护可能包括但不限于使用代码混淆，对代码和处理流程的内部完整性检查以及代码段加密。”

简单地说，孤立地部署COTS解决方案以满足新兴的非接触式支付需求是不够的-它必须满足可信赖的数字环境，强大的软件保护以及独立的后端处理和监控控制的CPoC标准。

部署3-D安全

除了针对供应商和零售商的COTS指南之外，PCI DSS安全要求还详细说明了创建满足理事会3-D安全（3DS）标准的软件开发套件（SDK ）的要求。为了使3DS SDK产品获得PCI DSS批准，它们必须满足三个安全目标：

保护3DS SDK的完整性

该目标包括定期的安全检查，以确定所使用的设备是否已生根或越狱，正在使用模拟器运行3DS SDK，已对该应用进行了篡改或已连接调试器。该软件还必须检查以确保其安装来自经批准的来源，并监视其运行时完整性以识别潜在的篡改，以及部署字符串和代码混淆工具和技术以防止反向工程。

维护敏感的3DS SDK元素

安全的3DS SDK软件还必须收集并清除敏感数据元素，并确保所使用的任何第三方元素都具有充分的文档记录和合理性。此外，软件必须包括针对UI和HTML呈现的保护，以及针对外部代码或脚本执行的有效防御。

有效且适当地使用密码术

最后，3DS SDK必须使用EMV 3-D Secure SDK规范中列出的认可的加密算法和方法，并确保随机数生成器满足不可预测性的行业标准。

远距离防御

随着非接触式支付成为全国范围内的标准操作程序，供应商和零售商需要满足或超过CPoC对软硬件防御的期望的COTS解决方案，以确保保护消费者支付数据。同时，致力于满足对符合PCI DSS的SDK的日益增长的需求的开发人员必须确保他们满足3DS的完整性，元素安全性和加密标准。

在这两种情况下，远程防御都始于软件。通过围绕应用程序的屏蔽，强化和模糊处理部署先进的工具和技术，开发人员和设备制造商不仅可以提高消费者的安全感，还可以确保新兴的COTS和SDK解决方案能够阻止攻击者打击非接触式网络安全的努力。

当前的危机状况已在零售和软件开发行业中产生连锁反应，因为没有任何联系成为信贷支付的新常态。但是随着支付指令的变更，潜在的安全漏洞–通过将新的PCI DSS标准与先进的应用程序内保护解决方案结合使用，组织可以主动采取行动，缩短无接触支付与有效保护之间的距离。

说到应用程序的保护以及代码混淆，小编为大家推荐两款实力派软件保护工具——Dotfuscator和DashO Pro。

Dotfuscator是一个.NET的Obfuscator。它提供企业级的应用程序保护，大大降低了盗版、知识产权盗窃和篡改的风险。Dotfuscator的分层混淆、加密、水印、自动失效、防调试、防篡改、报警和防御技术，为世界各地成千上万的应用程序提供保护。

DashO是一个Java和Android的混用程序，它提供企业级应用的加固和屏蔽，大大降低了知识产权盗窃、数据盗窃、盗版和篡改的风险。分层混淆，加密，水印，自动失效，反调试，反篡改，反仿真器，反挂钩，反根设备解决方案，为世界各地的应用程序提供保护。

下表突出显示了在过去20年中以各种形式包含在PreEmptive Protection产品Dotfuscator和DashO Pro的应用程序内保护模式，其客户已成功将其集成到几乎每个行业，地理和设备的应用程序中。

接受的模式	减少时间	最少的培训	简化的SDLC	平台支援	合规	性能与质量
邮政编码处理	√	√	√		√
IDE DevOps集成	√	√	√		√
更新了侦探控制	√	√		√	√	√
交钥匙侦探反应	√	√	√	√	√	√
以应用程序为中心的响应	√				√	√
100％标准混淆		√		√	√	√
自动检测框架	√	√	√	√	√	√
Wizards	√	√	√	√	√	√