PCI的优点
照现在这种样子来看,PCI标准存在重大缺陷。不过对希望加强安全的CIO来说,这可能提供了契机,可以资助新的投资项目;或者充当推动力,以此调整商业惯例或者修改安全流程。一家室外服装零售商的CIO说:“我们一直重视客户信息,保护客户信息。从操作上来讲,如果我们定的要求松一些,有些事情就会容易些。”他说,PCI可以刺激商家加强某些业务运营。
而许多二级及更低级零售商确实重视自我评估。胜骑士快餐店的Stukalsky说,由六名IT员工组成的团队花了三四周时间来评审调查表。他们还请来了QSA――尽管PCI标准没要求这样,帮助确认哪些方面需要改动IT系统和流程。胜骑士快餐店在美国有约1200家分店。
Stukalsky表示,公司修改了密码策略,并且更加积极地更新软件补丁。他还表示,公司在PCI要求出台之前,在餐馆的销售点设备和新网络连接方面作了投入,这非常有助于遵守标准。
牢骚最大的零售商也许最需要大力投资,以便更新基础设施、管理客户数据。PayPal公司的Barrett说:“我并不同情那些不走运的组织,因为它们显然没有把良好的安全结构落实到位。如果你使用无法保护数据安全的过时的旧技术,我觉得你保管这些数据是不合适的。”
下一步的工作
毫无疑问,必须采取具体的措施来保护信用卡账户数据;眼下PCI是最有效的方法,尽管存在诸多缺点。关注安全的公司可采取下面这些办法来加强系统安全性。
•竭力要求出台联邦泄密信息披露法。目前,美国50个州中有40个州订有法律,要求公司如何报告敏感数据的泄密事件。如果有一部统一的联邦法律针对信用卡账记信息的不适当披露作了相应规定,就能减少每个州处理这个问题的麻烦及费用;而且一旦零售商出了岔子,就没有任何借口可找。
•提供更一致的一级零售商审查指导方针,包括评估每家零售商店的样本大小。除了商店配置外,还应当根据商店的总比例对每家商店进行审查。为了抵消审查的商店数量增加带来的成本,信用卡公司应当为收单银行提供刺激措施,比如降低交易费率或者给予退款。然后,银行可以把省下来的这些费用惠及零售商。
•最后,让信用卡公司分担信用卡欺诈案带来的成本。目前,信用卡公司并不承担任何这种经济负担。如今,欺诈带来的成本高达70%的比例由发卡银行(即为消费者发放信用卡的银行)来承担,包括为虚假交易埋单、取消账户及发放新卡。剩余的30%由零售商及收单银行承担。要是信用卡公司在欺诈案成本中有经济利害关系,就会有明确的经济动机来积极执行信用卡安全措施。
插图说明:
PCI的各角色关系
信用卡公司 PCI安全标准委员会
•跟踪遵守标准的情况 •制订及推广标准
•给予处罚及提供激励 •对审查人员进行认证
PCI的各角色关系
信用卡公司 PCI安全标准委员会
•跟踪遵守标准的情况 •制订及推广标准
•给予处罚及提供激励 •对审查人员进行认证
收单银行 合格安全评估商 认证扫描厂商
•处理交易 •审查零售商 •扫描零售商
•收集标准遵守报告 •汇报给收单银行 •汇报给收单银行
•处理交易 •审查零售商 •扫描零售商
•收集标准遵守报告 •汇报给收单银行 •汇报给收单银行
一级零售商 二级零售商 三级零售商 四级零售商
•遵守PCI标准
发卡银行
•遵守PCI标准
发卡银行
PCI涉及一系列参与者。最上面的是制订规定的信用卡公司和PCI安全标准委员会。负责处理信用卡交易的收单银行通过QSA和认证扫描厂商来执行规定。零售商需要遵守规则,当然遵守程度不一。而负责发放信用卡的发卡银行充当了旁观者。
原文来自IT168安全频道
