商家與政府博弈PCI標準

申請免費試用、咨詢電話：400-8352-114

政府和企業(yè)碰撞激烈

PCI不僅僅是一項數(shù)據(jù)安全標準，它更是迄今為止美國企業(yè)界證明能自我監(jiān)管的最宏偉的一項計劃。但即使這項標準萬事俱備，可能也不足以制止信用卡的數(shù)據(jù)失竊。

2006年12月中旬，就在Visa信用卡公司宣布實行2000萬美元的獎勵，試圖督促商家遵守信用卡行業(yè)的這項數(shù)據(jù)安全標準時，TJX公司的一名顧問發(fā)現(xiàn)了這項標準本應(yīng)防止的安全事件：TJ Maxx、Marshalls 及TJX的商店交易記錄遭到了泄密，甚至被攻擊者“清除”。至于具體是哪些記錄、何時被何人動了手腳，這家年收入達160億美元的零售商尚不能確定，不過《華爾街日報》后來估計受影響的信用卡數(shù)量超過了4000萬張。

與此同時，Visa在舊金山發(fā)表了一份聲明。從技術(shù)上來說，如果Visa的商家未遵守支付卡行業(yè)數(shù)據(jù)安全標準，Visa就會禁止商家接受Visa信用卡——這無異于宣判了商家的死刑。不過盡管截止時間一再變化，但Visa的大商家中仍然只有36%遵守相關(guān)規(guī)則。于是從今年4月開始，Visa規(guī)定，如果銀行的零售客戶遵守標準，并且沒有發(fā)生安全事件，就有資格獲得高達2000萬美元的獎金。

對于Visa，這項標準切實可行，但前提是商家愿意采用。Visa公司負責支付系統(tǒng)風險的副總裁Eduardo Perez曾對《CSO》雜志說：“迄今為止，我們還沒有看到遵守PCI標準的哪家公司發(fā)生過安全事件?！彪m然他不愿就TJX事件發(fā)表評論，不過他繼續(xù)說：“在我們處理的每個案例中，發(fā)生安全事件的公司都沒有遵守PCI標準?！?

不過在批評人士看來，TJX安全事件完全證明了另一點。Gartner的副總裁兼調(diào)研主任Avivah Litan說：“這個例子很好地說明了PCI計劃并不可行。這個措施是很好，也有助于信用卡公司的安全，但期望500萬個零售商個個成為安全專家是不合實際的?！?

實際上，TJX安全事件與其說是一個例子，還不如說是一次檢驗。美國企業(yè)界長期堅持認為：解決信息安全難題的關(guān)鍵是自我監(jiān)管，而不是政府干預(yù)。他們聲稱，政府法規(guī)往往制定不力，難以實施，到頭來成了費用高得離譜的官僚文件。行業(yè)部門一直在試圖制定自愿的指導(dǎo)準則，或者是業(yè)務(wù)合作伙伴采用的指導(dǎo)準則，實現(xiàn)自我監(jiān)管。

PCI計劃是迄今規(guī)模最大、野心最大的一次努力。去年秋天，美國運通、萬事達卡、Visa及其他極具競爭力的對手們聚在一起，籌資設(shè)立了獨立的PCI安全標準委員會，信用卡協(xié)會希望傳達一個清楚的信息：他們在著手處理這個問題。

可是單單這就夠了嗎？

長期擔任首席信息安全官（CISO）的John Kirkwood坦率地說：“PCI標準存在的原因是為了避免國會的立法。”Kirkwood對PCI并不陌生，他以前是美國運通公司的CISO，現(xiàn)在是年產(chǎn)值520億美元的荷蘭雜貨連鎖集團Royal Ahold的全球信息安全官，他必須確保Stop & Shop等集團的子公司遵守PCI標準。

Kirkwood指出：“信用卡公司稱沒必要為我們立法，我們會監(jiān)管自己。TJX事件后會出現(xiàn)什么事情，這非常值得關(guān)注。另一部《金融服務(wù)現(xiàn)代化法案》或者另一部《薩班斯－奧克斯利法案》可能會出臺?！钡拇_，TJX事件披露后不久，立法者開始強調(diào)這起事件并指出國會必須采取措施。

這一切意味著現(xiàn)在到了政府法規(guī)和行業(yè)自我監(jiān)管進行攤牌的時候。接受、處理及從事信用卡交易的公司將不得不說服立法者（更不用說要說服大眾）：PCI計劃有望阻止數(shù)據(jù)泄密事件的發(fā)生。要是他們說服不了，那么產(chǎn)生的影響絕不僅僅波及支付卡行業(yè)，因為PCI標準將淹沒于歷史長河，變成對私營行業(yè)自我監(jiān)管能力的一次碰撞試驗而已。

鞭策業(yè)務(wù)伙伴執(zhí)行

PCI標準的根源可以追溯到2000年夏天，當時Visa公布了“Digital Dozen”規(guī)則：要求安裝防火墻、對數(shù)據(jù)進行加密和限制對持卡人信息的訪問等等，商家必須遵守這些規(guī)則才能使用信用卡和借記卡。Visa的一名主管在2002年曾告訴《CIO》雜志的記者：“要是我們從獨立第三方拿不到證據(jù)表明你符合我們的要求，我們就不能讓你使用信用卡。”

顯而易見，Visa當時用一根特別尖的棍子在戳業(yè)務(wù)合作伙伴——由于它的信用卡在全世界眾多地方被采用，一群特別廣泛的業(yè)務(wù)合作伙伴可能會受到影響。美國運通、Discover和萬事達卡等商家很快也揮動類似的棍子，催促各自的業(yè)務(wù)合作伙伴。較之于聯(lián)邦政府執(zhí)行《健康保健可攜性及責任性法案》（HIPAA）純屬徒勞的嘗試，信用卡公司讓人看到了成功的希望。它們財力雄厚，有商業(yè)影響力。前聯(lián)邦檢察官Mark Rasch先生，如今是一名計算機的安全顧問，他說：“最終，許多公司遵守PCI標準的原因是，Visa和萬事達卡有能力斷掉他們的財路。如果對方告訴你明天你沒法使用信用卡，你就沒生意了?！?

至于說目前商家猶猶豫豫的態(tài)度，并不足為怪。隨著各個信用卡協(xié)會制訂的標準逐步成形，商家們抱怨的主要有兩方面：一是標準過多；二是它們對標準的制訂缺少足夠的參與。

行業(yè)協(xié)會商家風險理事會的創(chuàng)辦人之一、理事會成員Julie Fergerson解釋：“商家必須通過每個信用卡品牌的認證。四大品牌都提出了各自的不同產(chǎn)品，未必彼此可以通用。”

為了解決這些問題，在Visa制訂了Digital Dozen五年多后，與之競爭的信用卡公司聯(lián)合起來，成立了一個組織。PCI安全標準委員會在去年9月成立，這是美國運通、Discover、JCB、萬事達卡和Visa國際等公司之間達成的一項聯(lián)合協(xié)議。每家公司都拿出部分資金，共同推行一套安全標準——這就是PCI數(shù)據(jù)安全標準，它有12項主要準則，包括安裝防火墻、加密數(shù)據(jù)、限制對持卡人信息的訪問等方面。

委員會成立后，所有提議及規(guī)則手冊的變動都通過該組織提交上去。此外，委員會還負責確定哪些審計人員有資格執(zhí)行PCI評估、哪些廠商有資格對企業(yè)基礎(chǔ)設(shè)施中存在的安全漏洞和不當配置進行檢查。女主席Seana Pitt指出，委員會的資金將不是來自信用卡協(xié)會，而是來自培訓(xùn)費和認證費。

Pitt還是美國運通公司的副總裁，她說：“我們現(xiàn)在已逐漸成為卓越的中心，誰要是在解釋標準或者提議改進方面有問題，都會來找我們；而過去，他們會去找相應(yīng)的信用卡公司。”

與此同時，棍子仍在各個信用卡協(xié)會手里。這是因為標準委員會本身沒有執(zhí)行能力。實際上，被問到當前的法規(guī)遵守狀況時，Pitt承認委員會沒有可供參照比較的數(shù)字，成員們只是根據(jù)信用卡公司和成員的反饋來評估成功與否?！捌鋵嵨覀兏械綕M意的方面是推動了教育和法規(guī)遵守，或者說起到了積極主動的作用。”

需克服的技術(shù)難題

萬豪國際酒店集團的Chris Zoladz屬于竭力遵守PCI標準的一員，他是萬豪國際酒店負責信息保護及隱私的副總裁。在過去的幾年里，這家年收入達120億美元的酒店連鎖集團一直在遵守這項標準，但“要做到全面遵守難度相當大”Zoladz說。

加密是第一個難題。雖然萬豪長期以來對傳輸中的數(shù)據(jù)進行加密，但PCI標準還要求對靜態(tài)數(shù)據(jù)加密，但萬豪一直沒有這么做，它采取了其他保護措施。信用卡數(shù)據(jù)最初保存在中央預(yù)訂系統(tǒng)中，但隨后傳送到客戶預(yù)訂了房間的每家酒店的財產(chǎn)管理系統(tǒng)。難題就在于對保存到兩個地方的數(shù)據(jù)進行加密，又要讓這些系統(tǒng)能夠彼此互通。

另一個難題是需要雙因素驗證。PCI標準規(guī)定，用戶名和密碼不足以對遠程訪問含有借記卡或信用卡信息的任何系統(tǒng)的員工、管理員或者第三方的身份進行驗證。商家必須設(shè)定第二個因素用于驗證，例如令牌或者生物特征。對于像萬豪這樣員工數(shù)量眾多、分布在各地的公司而言，這絕非易事。

但Zoladz并不抱怨。他說：“我認為這項標準相當可靠。我看了標準的每項要求后，發(fā)現(xiàn)其中許多要求與ISO 17799標準或者有關(guān)信息安全最佳實踐的眾多文章中的要求相一致?！?

CheckFree公司的副總裁兼首席安全官Ed Sarama也在為他公司遵守PCI標準而努力。Sarama的公司年收入達8.8億美元，為美國許多大銀行提供支付處理服務(wù)。

Sarama說，他現(xiàn)在面臨的主要難題是，這項標準在不斷變化。譬如說，去年秋天，PCI安全標準委員會對數(shù)據(jù)保留要求做一些變動，這影響了CheckFree。現(xiàn)在，所有訪問持卡人數(shù)據(jù)和網(wǎng)絡(luò)資源的審計跟蹤記錄都必須保存三個月、離線保存九個月，這意味著CheckFree必須購買額外的在線存儲設(shè)備。另一處變動意味著CheckFree必須在Web服務(wù)器前面設(shè)置應(yīng)用防火墻。Sarama得弄清楚如何來完成這項工作，又不導(dǎo)致任何應(yīng)用系統(tǒng)出故障。

有些技術(shù)問題會更早得到解決。譬如說，PayPal的CISO Michael Barrett在設(shè)法弄清楚如何應(yīng)對該標準在Unix服務(wù)器是否要安裝反病毒軟件的。

“PCI規(guī)定，如果你在Windows運行服務(wù)器，那么需要對反病毒控制；如果你在運行Unix服務(wù)器，那么這種需要不大適用?！盉arrett說。PayPal隸屬eBAY旗下，2006年處理的網(wǎng)上支付金額高達378億美元?！皹藴势鋵崨]有規(guī)定，如果你在運行Unix服務(wù)器，用不著符合這項要求。你需要與審查人員談?wù)撨@是不是夠安全。我預(yù)計PCI會在今后一年左右內(nèi)日趨成熟，那樣這樣的討論就會變得更加平常?！?

Barrett和Kirkwood都提到：得到一個信用卡協(xié)議認可的PCI審計并不總是能夠得到其他協(xié)會的認可。Kirkwood說：“這是同一項標準，但不是說你符合了PCI標準，就符合了所有信用卡組織的要求。我認為，這是我們將來的出路，我們現(xiàn)在離這條出路還很遠。”

是最好的安全支付標準嗎？

當然，政府干預(yù)的效果不比PCI標準好，這有許多原因。聯(lián)邦機構(gòu)的CIO和CISO們抱怨，2002的《聯(lián)邦信息安全管理法案》結(jié)果成了官僚文件、而不是提高安全的一種擺設(shè)。聯(lián)邦法案真正促使人們廣泛致力于促進信息安全控制的一部分是《塞班斯－奧克斯利法案》中的第404條款。而美國企業(yè)界公開反對，認為不值得為此投入上百萬美元。經(jīng)濟因素始終是問題所在：倒不是遵守標準費用太高，準確地說，是這筆錢不值得去花。

信用卡協(xié)會如今面臨兩方面的挑戰(zhàn)：一是證明PCI標準本身的價值；二是制訂一套激勵體系，要是標準本身起不到足夠作用，這套體系可以最后幫助組織一把。遵守標準的一次性獎勵可能數(shù)額太?。篤isa的2000萬美元獎金可能分給多達33家商業(yè)銀行，然后這些銀行自行決定要不要把這筆獎金讓利給成千上萬的商業(yè)顧客。就連罰款的金額可能也不夠大。譬如，Visa在2005年和2006年分別開出了340萬美元和460萬美元的罰單。但這些受罰組織要是遵守標準要花更大的費用。

Chief Security Officers的Rowe說：“這好比是你不保車險也可以開車，但要是出了問題，麻煩就大了。我認為，許多商家在接受這個風險，希望自己實施的控制措施能夠防止安全事件，即使它可能沒有遵守標準?！?

令人鼓舞的是，Visa宣布將開始遵守PCI標準，回報是部分減少向采用信用卡支付的商家收取的交換費。這更像是一種反向處罰，而不是新的獎勵：目前有資格獲得減免費的商家要是沒有遵守PCI，可能享受不到這種優(yōu)惠。Visa的Perez說，那些最大的商家勢必每年會損失上百萬美元。 “這種獎勵非常誘人?！?

首席安全官（他們實際上是風險經(jīng)理）以務(wù)實的眼光來分析所有這些變化。Kirkwood說：“要是我被罰款500萬，卻做成了1.5億美元的生意，那沒什么不好，這成了業(yè)務(wù)經(jīng)營費用?！辈贿^，更大的激勵因素是交換費?！斑@影響了每筆交易的利潤，而這帶來的影響比其他任何因素來得都大?！?

自宣布變動以來，Visa發(fā)現(xiàn)遵守標準的比率有所上升。在每年處理600多萬筆Visa交易的一級商家當中，遵守標準的比率從2006年12月的36%上升到了2007年1月的40%。在每年處理100萬筆到600萬筆Visa交易的二級商家當中，針對二級商家的要求在2006年7月生效以后，遵守標準的比率從15%漸漸增到了16%。

不過在同一時期，要求監(jiān)控部門采取措施的比率升得更快。TJX安全事件披露后不久，眾議院金融服務(wù)委員會主席Barney Frank就進行了嚴厲指責，稱這起事件“進一步證明”國會需要干預(yù)。這位馬薩諸塞州的民主黨議員聲明中說：“發(fā)生安全事件的那些組織必須給找出來，它們要承擔相應(yīng)責任。具體來說，這意味著零售商或者批發(fā)商必須承擔責任，而現(xiàn)在的通行做法恰恰相反?！?

其實誰也不需要更多的監(jiān)管法規(guī)，大家只想制止安全泄密事件。Jay White是雪佛龍公司的全球信息保護設(shè)計師，他說，從理論上來說，私營企業(yè)實行自我監(jiān)管來得比較容易。

PCI標準正是美國企業(yè)界證明能自我監(jiān)管的大好機會。問題是，多久過后才能證明它根本無法自我監(jiān)管呢？（CCW 編譯自《CSO在線》）