商家與政府博弈PCI標(biāo)準(zhǔn)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

政府和企業(yè)碰撞激烈

PCI不僅僅是一項(xiàng)數(shù)據(jù)安全標(biāo)準(zhǔn)，它更是迄今為止美國企業(yè)界證明能自我監(jiān)管的最宏偉的一項(xiàng)計(jì)劃。但即使這項(xiàng)標(biāo)準(zhǔn)萬事俱備，可能也不足以制止信用卡的數(shù)據(jù)失竊。

2006年12月中旬，就在Visa信用卡公司宣布實(shí)行2000萬美元的獎(jiǎng)勵(lì)，試圖督促商家遵守信用卡行業(yè)的這項(xiàng)數(shù)據(jù)安全標(biāo)準(zhǔn)時(shí)，TJX公司的一名顧問發(fā)現(xiàn)了這項(xiàng)標(biāo)準(zhǔn)本應(yīng)防止的安全事件：TJ Maxx、Marshalls 及TJX的商店交易記錄遭到了泄密，甚至被攻擊者“清除”。至于具體是哪些記錄、何時(shí)被何人動(dòng)了手腳，這家年收入達(dá)160億美元的零售商尚不能確定，不過《華爾街日?qǐng)?bào)》后來估計(jì)受影響的信用卡數(shù)量超過了4000萬張。

與此同時(shí)，Visa在舊金山發(fā)表了一份聲明。從技術(shù)上來說，如果Visa的商家未遵守支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)，Visa就會(huì)禁止商家接受Visa信用卡——這無異于宣判了商家的死刑。不過盡管截止時(shí)間一再變化，但Visa的大商家中仍然只有36%遵守相關(guān)規(guī)則。于是從今年4月開始，Visa規(guī)定，如果銀行的零售客戶遵守標(biāo)準(zhǔn)，并且沒有發(fā)生安全事件，就有資格獲得高達(dá)2000萬美元的獎(jiǎng)金。

對(duì)于Visa，這項(xiàng)標(biāo)準(zhǔn)切實(shí)可行，但前提是商家愿意采用。Visa公司負(fù)責(zé)支付系統(tǒng)風(fēng)險(xiǎn)的副總裁Eduardo Perez曾對(duì)《CSO》雜志說：“迄今為止，我們還沒有看到遵守PCI標(biāo)準(zhǔn)的哪家公司發(fā)生過安全事件。”雖然他不愿就TJX事件發(fā)表評(píng)論，不過他繼續(xù)說：“在我們處理的每個(gè)案例中，發(fā)生安全事件的公司都沒有遵守PCI標(biāo)準(zhǔn)?！?

不過在批評(píng)人士看來，TJX安全事件完全證明了另一點(diǎn)。Gartner的副總裁兼調(diào)研主任Avivah Litan說：“這個(gè)例子很好地說明了PCI計(jì)劃并不可行。這個(gè)措施是很好，也有助于信用卡公司的安全，但期望500萬個(gè)零售商個(gè)個(gè)成為安全專家是不合實(shí)際的?！?

實(shí)際上，TJX安全事件與其說是一個(gè)例子，還不如說是一次檢驗(yàn)。美國企業(yè)界長期堅(jiān)持認(rèn)為：解決信息安全難題的關(guān)鍵是自我監(jiān)管，而不是政府干預(yù)。他們聲稱，政府法規(guī)往往制定不力，難以實(shí)施，到頭來成了費(fèi)用高得離譜的官僚文件。行業(yè)部門一直在試圖制定自愿的指導(dǎo)準(zhǔn)則，或者是業(yè)務(wù)合作伙伴采用的指導(dǎo)準(zhǔn)則，實(shí)現(xiàn)自我監(jiān)管。

PCI計(jì)劃是迄今規(guī)模最大、野心最大的一次努力。去年秋天，美國運(yùn)通、萬事達(dá)卡、Visa及其他極具競爭力的對(duì)手們聚在一起，籌資設(shè)立了獨(dú)立的PCI安全標(biāo)準(zhǔn)委員會(huì)，信用卡協(xié)會(huì)希望傳達(dá)一個(gè)清楚的信息：他們?cè)谥痔幚磉@個(gè)問題。

可是單單這就夠了嗎？

長期擔(dān)任首席信息安全官（CISO）的John Kirkwood坦率地說：“PCI標(biāo)準(zhǔn)存在的原因是為了避免國會(huì)的立法?！盞irkwood對(duì)PCI并不陌生，他以前是美國運(yùn)通公司的CISO，現(xiàn)在是年產(chǎn)值520億美元的荷蘭雜貨連鎖集團(tuán)Royal Ahold的全球信息安全官，他必須確保Stop & Shop等集團(tuán)的子公司遵守PCI標(biāo)準(zhǔn)。

Kirkwood指出：“信用卡公司稱沒必要為我們立法，我們會(huì)監(jiān)管自己。TJX事件后會(huì)出現(xiàn)什么事情，這非常值得關(guān)注。另一部《金融服務(wù)現(xiàn)代化法案》或者另一部《薩班斯－奧克斯利法案》可能會(huì)出臺(tái)。”的確，TJX事件披露后不久，立法者開始強(qiáng)調(diào)這起事件并指出國會(huì)必須采取措施。

這一切意味著現(xiàn)在到了政府法規(guī)和行業(yè)自我監(jiān)管進(jìn)行攤牌的時(shí)候。接受、處理及從事信用卡交易的公司將不得不說服立法者（更不用說要說服大眾）：PCI計(jì)劃有望阻止數(shù)據(jù)泄密事件的發(fā)生。要是他們說服不了，那么產(chǎn)生的影響絕不僅僅波及支付卡行業(yè)，因?yàn)镻CI標(biāo)準(zhǔn)將淹沒于歷史長河，變成對(duì)私營行業(yè)自我監(jiān)管能力的一次碰撞試驗(yàn)而已。

鞭策業(yè)務(wù)伙伴執(zhí)行

PCI標(biāo)準(zhǔn)的根源可以追溯到2000年夏天，當(dāng)時(shí)Visa公布了“Digital Dozen”規(guī)則：要求安裝防火墻、對(duì)數(shù)據(jù)進(jìn)行加密和限制對(duì)持卡人信息的訪問等等，商家必須遵守這些規(guī)則才能使用信用卡和借記卡。Visa的一名主管在2002年曾告訴《CIO》雜志的記者：“要是我們從獨(dú)立第三方拿不到證據(jù)表明你符合我們的要求，我們就不能讓你使用信用卡?！?

顯而易見，Visa當(dāng)時(shí)用一根特別尖的棍子在戳業(yè)務(wù)合作伙伴——由于它的信用卡在全世界眾多地方被采用，一群特別廣泛的業(yè)務(wù)合作伙伴可能會(huì)受到影響。美國運(yùn)通、Discover和萬事達(dá)卡等商家很快也揮動(dòng)類似的棍子，催促各自的業(yè)務(wù)合作伙伴。較之于聯(lián)邦政府執(zhí)行《健康保健可攜性及責(zé)任性法案》（HIPAA）純屬徒勞的嘗試，信用卡公司讓人看到了成功的希望。它們財(cái)力雄厚，有商業(yè)影響力。前聯(lián)邦檢察官M(fèi)ark Rasch先生，如今是一名計(jì)算機(jī)的安全顧問，他說：“最終，許多公司遵守PCI標(biāo)準(zhǔn)的原因是，Visa和萬事達(dá)卡有能力斷掉他們的財(cái)路。如果對(duì)方告訴你明天你沒法使用信用卡，你就沒生意了?！?

至于說目前商家猶猶豫豫的態(tài)度，并不足為怪。隨著各個(gè)信用卡協(xié)會(huì)制訂的標(biāo)準(zhǔn)逐步成形，商家們抱怨的主要有兩方面：一是標(biāo)準(zhǔn)過多；二是它們對(duì)標(biāo)準(zhǔn)的制訂缺少足夠的參與。

行業(yè)協(xié)會(huì)商家風(fēng)險(xiǎn)理事會(huì)的創(chuàng)辦人之一、理事會(huì)成員Julie Fergerson解釋：“商家必須通過每個(gè)信用卡品牌的認(rèn)證。四大品牌都提出了各自的不同產(chǎn)品，未必彼此可以通用?！?

為了解決這些問題，在Visa制訂了Digital Dozen五年多后，與之競爭的信用卡公司聯(lián)合起來，成立了一個(gè)組織。PCI安全標(biāo)準(zhǔn)委員會(huì)在去年9月成立，這是美國運(yùn)通、Discover、JCB、萬事達(dá)卡和Visa國際等公司之間達(dá)成的一項(xiàng)聯(lián)合協(xié)議。每家公司都拿出部分資金，共同推行一套安全標(biāo)準(zhǔn)——這就是PCI數(shù)據(jù)安全標(biāo)準(zhǔn)，它有12項(xiàng)主要準(zhǔn)則，包括安裝防火墻、加密數(shù)據(jù)、限制對(duì)持卡人信息的訪問等方面。

委員會(huì)成立后，所有提議及規(guī)則手冊(cè)的變動(dòng)都通過該組織提交上去。此外，委員會(huì)還負(fù)責(zé)確定哪些審計(jì)人員有資格執(zhí)行PCI評(píng)估、哪些廠商有資格對(duì)企業(yè)基礎(chǔ)設(shè)施中存在的安全漏洞和不當(dāng)配置進(jìn)行檢查。女主席Seana Pitt指出，委員會(huì)的資金將不是來自信用卡協(xié)會(huì)，而是來自培訓(xùn)費(fèi)和認(rèn)證費(fèi)。

Pitt還是美國運(yùn)通公司的副總裁，她說：“我們現(xiàn)在已逐漸成為卓越的中心，誰要是在解釋標(biāo)準(zhǔn)或者提議改進(jìn)方面有問題，都會(huì)來找我們；而過去，他們會(huì)去找相應(yīng)的信用卡公司。”

與此同時(shí)，棍子仍在各個(gè)信用卡協(xié)會(huì)手里。這是因?yàn)闃?biāo)準(zhǔn)委員會(huì)本身沒有執(zhí)行能力。實(shí)際上，被問到當(dāng)前的法規(guī)遵守狀況時(shí)，Pitt承認(rèn)委員會(huì)沒有可供參照比較的數(shù)字，成員們只是根據(jù)信用卡公司和成員的反饋來評(píng)估成功與否?！捌鋵?shí)我們感到滿意的方面是推動(dòng)了教育和法規(guī)遵守，或者說起到了積極主動(dòng)的作用?！?

需克服的技術(shù)難題

萬豪國際酒店集團(tuán)的Chris Zoladz屬于竭力遵守PCI標(biāo)準(zhǔn)的一員，他是萬豪國際酒店負(fù)責(zé)信息保護(hù)及隱私的副總裁。在過去的幾年里，這家年收入達(dá)120億美元的酒店連鎖集團(tuán)一直在遵守這項(xiàng)標(biāo)準(zhǔn)，但“要做到全面遵守難度相當(dāng)大”Zoladz說。

加密是第一個(gè)難題。雖然萬豪長期以來對(duì)傳輸中的數(shù)據(jù)進(jìn)行加密，但PCI標(biāo)準(zhǔn)還要求對(duì)靜態(tài)數(shù)據(jù)加密，但萬豪一直沒有這么做，它采取了其他保護(hù)措施。信用卡數(shù)據(jù)最初保存在中央預(yù)訂系統(tǒng)中，但隨后傳送到客戶預(yù)訂了房間的每家酒店的財(cái)產(chǎn)管理系統(tǒng)。難題就在于對(duì)保存到兩個(gè)地方的數(shù)據(jù)進(jìn)行加密，又要讓這些系統(tǒng)能夠彼此互通。

另一個(gè)難題是需要雙因素驗(yàn)證。PCI標(biāo)準(zhǔn)規(guī)定，用戶名和密碼不足以對(duì)遠(yuǎn)程訪問含有借記卡或信用卡信息的任何系統(tǒng)的員工、管理員或者第三方的身份進(jìn)行驗(yàn)證。商家必須設(shè)定第二個(gè)因素用于驗(yàn)證，例如令牌或者生物特征。對(duì)于像萬豪這樣員工數(shù)量眾多、分布在各地的公司而言，這絕非易事。

但Zoladz并不抱怨。他說：“我認(rèn)為這項(xiàng)標(biāo)準(zhǔn)相當(dāng)可靠。我看了標(biāo)準(zhǔn)的每項(xiàng)要求后，發(fā)現(xiàn)其中許多要求與ISO 17799標(biāo)準(zhǔn)或者有關(guān)信息安全最佳實(shí)踐的眾多文章中的要求相一致?！?

CheckFree公司的副總裁兼首席安全官Ed Sarama也在為他公司遵守PCI標(biāo)準(zhǔn)而努力。Sarama的公司年收入達(dá)8.8億美元，為美國許多大銀行提供支付處理服務(wù)。

Sarama說，他現(xiàn)在面臨的主要難題是，這項(xiàng)標(biāo)準(zhǔn)在不斷變化。譬如說，去年秋天，PCI安全標(biāo)準(zhǔn)委員會(huì)對(duì)數(shù)據(jù)保留要求做一些變動(dòng)，這影響了CheckFree?，F(xiàn)在，所有訪問持卡人數(shù)據(jù)和網(wǎng)絡(luò)資源的審計(jì)跟蹤記錄都必須保存三個(gè)月、離線保存九個(gè)月，這意味著CheckFree必須購買額外的在線存儲(chǔ)設(shè)備。另一處變動(dòng)意味著CheckFree必須在Web服務(wù)器前面設(shè)置應(yīng)用防火墻。Sarama得弄清楚如何來完成這項(xiàng)工作，又不導(dǎo)致任何應(yīng)用系統(tǒng)出故障。

有些技術(shù)問題會(huì)更早得到解決。譬如說，PayPal的CISO Michael Barrett在設(shè)法弄清楚如何應(yīng)對(duì)該標(biāo)準(zhǔn)在Unix服務(wù)器是否要安裝反病毒軟件的。

“PCI規(guī)定，如果你在Windows運(yùn)行服務(wù)器，那么需要對(duì)反病毒控制；如果你在運(yùn)行Unix服務(wù)器，那么這種需要不大適用。”Barrett說。PayPal隸屬eBAY旗下，2006年處理的網(wǎng)上支付金額高達(dá)378億美元?！皹?biāo)準(zhǔn)其實(shí)沒有規(guī)定，如果你在運(yùn)行Unix服務(wù)器，用不著符合這項(xiàng)要求。你需要與審查人員談?wù)撨@是不是夠安全。我預(yù)計(jì)PCI會(huì)在今后一年左右內(nèi)日趨成熟，那樣這樣的討論就會(huì)變得更加平常?！?

Barrett和Kirkwood都提到：得到一個(gè)信用卡協(xié)議認(rèn)可的PCI審計(jì)并不總是能夠得到其他協(xié)會(huì)的認(rèn)可。Kirkwood說：“這是同一項(xiàng)標(biāo)準(zhǔn)，但不是說你符合了PCI標(biāo)準(zhǔn)，就符合了所有信用卡組織的要求。我認(rèn)為，這是我們將來的出路，我們現(xiàn)在離這條出路還很遠(yuǎn)?！?

是最好的安全支付標(biāo)準(zhǔn)嗎？

當(dāng)然，政府干預(yù)的效果不比PCI標(biāo)準(zhǔn)好，這有許多原因。聯(lián)邦機(jī)構(gòu)的CIO和CISO們抱怨，2002的《聯(lián)邦信息安全管理法案》結(jié)果成了官僚文件、而不是提高安全的一種擺設(shè)。聯(lián)邦法案真正促使人們廣泛致力于促進(jìn)信息安全控制的一部分是《塞班斯－奧克斯利法案》中的第404條款。而美國企業(yè)界公開反對(duì)，認(rèn)為不值得為此投入上百萬美元。經(jīng)濟(jì)因素始終是問題所在：倒不是遵守標(biāo)準(zhǔn)費(fèi)用太高，準(zhǔn)確地說，是這筆錢不值得去花。

信用卡協(xié)會(huì)如今面臨兩方面的挑戰(zhàn)：一是證明PCI標(biāo)準(zhǔn)本身的價(jià)值；二是制訂一套激勵(lì)體系，要是標(biāo)準(zhǔn)本身起不到足夠作用，這套體系可以最后幫助組織一把。遵守標(biāo)準(zhǔn)的一次性獎(jiǎng)勵(lì)可能數(shù)額太小：Visa的2000萬美元獎(jiǎng)金可能分給多達(dá)33家商業(yè)銀行，然后這些銀行自行決定要不要把這筆獎(jiǎng)金讓利給成千上萬的商業(yè)顧客。就連罰款的金額可能也不夠大。譬如，Visa在2005年和2006年分別開出了340萬美元和460萬美元的罰單。但這些受罰組織要是遵守標(biāo)準(zhǔn)要花更大的費(fèi)用。

Chief Security Officers的Rowe說：“這好比是你不保車險(xiǎn)也可以開車，但要是出了問題，麻煩就大了。我認(rèn)為，許多商家在接受這個(gè)風(fēng)險(xiǎn)，希望自己實(shí)施的控制措施能夠防止安全事件，即使它可能沒有遵守標(biāo)準(zhǔn)?！?

令人鼓舞的是，Visa宣布將開始遵守PCI標(biāo)準(zhǔn)，回報(bào)是部分減少向采用信用卡支付的商家收取的交換費(fèi)。這更像是一種反向處罰，而不是新的獎(jiǎng)勵(lì)：目前有資格獲得減免費(fèi)的商家要是沒有遵守PCI，可能享受不到這種優(yōu)惠。Visa的Perez說，那些最大的商家勢必每年會(huì)損失上百萬美元。 “這種獎(jiǎng)勵(lì)非常誘人?！?

首席安全官（他們實(shí)際上是風(fēng)險(xiǎn)經(jīng)理）以務(wù)實(shí)的眼光來分析所有這些變化。Kirkwood說：“要是我被罰款500萬，卻做成了1.5億美元的生意，那沒什么不好，這成了業(yè)務(wù)經(jīng)營費(fèi)用?！辈贿^，更大的激勵(lì)因素是交換費(fèi)。“這影響了每筆交易的利潤，而這帶來的影響比其他任何因素來得都大?！?

自宣布變動(dòng)以來，Visa發(fā)現(xiàn)遵守標(biāo)準(zhǔn)的比率有所上升。在每年處理600多萬筆Visa交易的一級(jí)商家當(dāng)中，遵守標(biāo)準(zhǔn)的比率從2006年12月的36%上升到了2007年1月的40%。在每年處理100萬筆到600萬筆Visa交易的二級(jí)商家當(dāng)中，針對(duì)二級(jí)商家的要求在2006年7月生效以后，遵守標(biāo)準(zhǔn)的比率從15%漸漸增到了16%。

不過在同一時(shí)期，要求監(jiān)控部門采取措施的比率升得更快。TJX安全事件披露后不久，眾議院金融服務(wù)委員會(huì)主席Barney Frank就進(jìn)行了嚴(yán)厲指責(zé)，稱這起事件“進(jìn)一步證明”國會(huì)需要干預(yù)。這位馬薩諸塞州的民主黨議員聲明中說：“發(fā)生安全事件的那些組織必須給找出來，它們要承擔(dān)相應(yīng)責(zé)任。具體來說，這意味著零售商或者批發(fā)商必須承擔(dān)責(zé)任，而現(xiàn)在的通行做法恰恰相反。”

其實(shí)誰也不需要更多的監(jiān)管法規(guī)，大家只想制止安全泄密事件。Jay White是雪佛龍公司的全球信息保護(hù)設(shè)計(jì)師，他說，從理論上來說，私營企業(yè)實(shí)行自我監(jiān)管來得比較容易。

PCI標(biāo)準(zhǔn)正是美國企業(yè)界證明能自我監(jiān)管的大好機(jī)會(huì)。問題是，多久過后才能證明它根本無法自我監(jiān)管呢？（CCW 編譯自《CSO在線》）