VISA上月於中國舉辦的 VISA SECURITY SUMMIT 安全峰會上,提出為了加強信用卡客戶的安全保障,計劃讓全港合作商戶參與代碼化(Tokenization),將客戶的信用卡資料變成代碼,即使黑客攔截到這些代碼,也無法進行任何逆向破解。 VISA 在同場公布的港澳區「支付安全藍圖」內,更表明希望年交易宗數達 100 萬宗以上的商戶,可以在明年內採用資料代碼化,2021 年再擴展至所有合作商戶。到底這種代碼化技術有何獨到之處? 加密與代碼化技術 近年網上購物平台大熱,再加上形形式式的電子支付應用程式,令香港人習慣了使用電子支付服務。不過在支付較為大額的費用時,不少消費者仍傾向使用信用卡付費。VISA 上月在安全峰會上就指出,港澳區的無卡支付欺詐交易比率在去年第三季急升,為了提升信用卡用戶的安全,VISA 就希望能加快在香港推行代碼化技術。 對於電子支付的安全問題,大多數人都以為傳輸過程是以加密(Encryption)技術,將信用卡號碼、到期日等數據以金鑰加密,即使黑客中途攔截交易數據,在沒有金鑰下也難以破解。不過,由於這些數據被加密後未必可以維持原始格式,處理時有需要修改資料庫或檔案格式,而且傳輸的資料亦是原始資料,所以一旦金鑰外洩,就可逆向破解出原始資料。 非演算亂數無法破解 代碼化技術則以相同格式的亂數進行傳輸,舉例原來的信用卡號碼為 16 個位,代碼化後的亂數依然保持 16 個位格式,再加上當中不涉及任何數學演算對應關係,所以即使黑客攔截到這組代碼,亦難以估計這組代碼是原始資料抑或亂數,以信用卡為例,黑客便無法知道這 16 位數字是原來的版本抑或亂數後的版本,達到客戶去識別化的效果。現時 Apple Pay、Google Pay、Samsung Pay 均採用代碼化技術去處理交易資料。代碼化技術的另一好處,在於它可免於受由信用卡組織制定的 PCI-DSS(Payment Card Industry Data Security Standard)金融機構安全認證審查,大大省卻投放於達成標準所需的準備費用之上。代碼化技術除了可以應用在電子支付之上,為應付全球各國日益提升的個人私隱法例,它還可提升其他個人敏感資料、病歷紀錄的安全程度。 事實上代碼化技術亦有很多種類,到底它與傳統的加密法各有什麼優勢?要引入這項技術,電商或信用卡組織伙伴有什麼需要準備?如何選擇合適的電子支付服務,才能提升公司的營業額?網絡安全應用方案供應商 Edvance X Thales,將於下月舉辦工作坊,詳細講解代碼化技術的應用及解答業內人士的問題。名額有限,如欲了解代碼化技術的詳情及應用範疇,請即點擊報名連結。 Edvance…
Search Results: Tokenization (4)
CyberArk x Thales Cloud Security 舉辦行政午餐會。由 CyberArk 及 Thales 聯手提供領先行業的企業級解決方案,能在 DevOps 初始階段提供最佳數據保護,包括機密管理(Secret Management)、加密技術(Encryption)以及代幣化(Tokenization)。PwC 的 Daryl Li 亦介紹了最新的 DevSecOps 趨勢和亞太地區大多數組織的現狀。 (資料及圖片來自…
數據洩漏事故現時在香港未有立法規管必須通報,並無一個完善的通報機制,除了會造成大眾關注度不足和輕視問題的嚴重性,同時也意味著很多事故隱藏在黑暗中。不要以為數據資料洩漏與自己無關,因為那些被洩漏的資料,分分鐘就是你的信用卡資料、住址、電話;香港過往也曾發生幾宗震撼全城的洩漏相關事故,包括航空公司洩漏 940 萬乘客私隱,選舉事務處遺失載有約 378 萬地方選區選民的資料的電腦,所引發的潛在資料外洩危機等,全都令人擔心企業或政府部門有沒有足夠措施及防護策略,保護客戶、市民的隱私。如果要妥善保護資料,採用由專業的數據保護方案,便能輕鬆管理資料及為資料加密,並設置資料讀取權限,即使遙距工作,也不怕資料外洩。 數據加密零停機 效率保護性兼備 Thales公司的資料保護平台(CipherTrust Data Security Platform, CDSP),為全球各地政府、跨國企業、金融機構所採用,在香港的用戶就包括政府、金融監管機構、發鈔銀行、公用事業及上市企業。Thales公司是數據保護、加密及安全交易的權威,其提供的數據加密方案,能有效保障用戶的個人私隱及交易資料,不會外洩。 其中CipherTrust Transparent Encryption (CTE)方案的透明加密資料設置,可保護結構化及非結構化資料庫,加密內部系統、雲端環境,甚至在大數據和容器內的資料,同時保持存儲數據的效率,在部署時毋須更改應用程式或工作流程,使對業務及作業程序的影響減至最少。 透過Live Data Transformation (免停機背景加密)方案,能在零停機的情況下加密資料,期間不需中斷應用程式或工作流程,在加密過程中,使用者和處理程序可如常繼續存取資料庫或檔案系統,將加密過程對使用者的影響降到最低。另外,平台亦設最低權限使用者存取規則,保護資料免受外來攻擊,以及遭特權使用者誤用。 不少製造商及電子商貿公司亦採用 Thales…
網購已經成為咗唔少人嘅習慣,不過,由 Magecart 黑客組織發動嘅 card skimming 攻擊又的確幾令人擔心,因為唔少購物網站都中過招,更有網絡安全組織發現高峰時間中咗 Magecart 嘅網站接近 200 萬個,我想買嘢啫,做乜搞到咁危險先得㗎?而為咗對付聞風喪膽嘅 Magecart,VISA 會喺今年推出採用代碼化(Tokenization)技術嘅網上付款方式,到底係咪真係咁保險呢? 亂數助去識別化 首先回一回帶,交代下 Magecart 係啲乜嚟先,其實佢係透過喺購物平台嵌入 obfuscated Javascript惡意程式,神不知鬼不覺咁偷取客戶「濕平」時輸入嘅資料,黑客既可以向提供付款服務嘅供應商度造手腳,亦可以直接喺購物平台入手。而中咗招嘅網站,喺表面上絕對無任何破綻! VISA 為咗對付呢種攻擊,其實上年已經喺…