商家与政府博弈PCI标准

申请免费试用、咨询电话：400-8352-114

政府和企业碰撞激烈

PCI不仅仅是一项数据安全标准，它更是迄今为止美国企业界证明能自我监管的最宏伟的一项计划。但即使这项标准万事俱备，可能也不足以制止信用卡的数据失窃。

2006年12月中旬，就在Visa信用卡公司宣布实行2000万美元的奖励，试图督促商家遵守信用卡行业的这项数据安全标准时，TJX公司的一名顾问发现了这项标准本应防止的安全事件：TJ Maxx、Marshalls 及TJX的商店交易记录遭到了泄密，甚至被攻击者“清除”。至于具体是哪些记录、何时被何人动了手脚，这家年收入达160亿美元的零售商尚不能确定，不过《华尔街日报》后来估计受影响的信用卡数量超过了4000万张。

与此同时，Visa在旧金山发表了一份声明。从技术上来说，如果Visa的商家未遵守支付卡行业数据安全标准，Visa就会禁止商家接受Visa信用卡——这无异于宣判了商家的死刑。不过尽管截止时间一再变化，但Visa的大商家中仍然只有36%遵守相关规则。于是从今年4月开始，Visa规定，如果银行的零售客户遵守标准，并且没有发生安全事件，就有资格获得高达2000万美元的奖金。

对于Visa，这项标准切实可行，但前提是商家愿意采用。Visa公司负责支付系统风险的副总裁Eduardo Perez曾对《CSO》杂志说：“迄今为止，我们还没有看到遵守PCI标准的哪家公司发生过安全事件。”虽然他不愿就TJX事件发表评论，不过他继续说：“在我们处理的每个案例中，发生安全事件的公司都没有遵守PCI标准。”

不过在批评人士看来，TJX安全事件完全证明了另一点。Gartner的副总裁兼调研主任Avivah Litan说：“这个例子很好地说明了PCI计划并不可行。这个措施是很好，也有助于信用卡公司的安全，但期望500万个零售商个个成为安全专家是不合实际的。”

实际上，TJX安全事件与其说是一个例子，还不如说是一次检验。美国企业界长期坚持认为：解决信息安全难题的关键是自我监管，而不是政府干预。他们声称，政府法规往往制定不力，难以实施，到头来成了费用高得离谱的官僚文件。行业部门一直在试图制定自愿的指导准则，或者是业务合作伙伴采用的指导准则，实现自我监管。

PCI计划是迄今规模最大、野心最大的一次努力。去年秋天，美国运通、万事达卡、Visa及其他极具竞争力的对手们聚在一起，筹资设立了独立的PCI安全标准委员会，信用卡协会希望传达一个清楚的信息：他们在着手处理这个问题。

可是单单这就够了吗？

长期担任首席信息安全官（CISO）的John Kirkwood坦率地说：“PCI标准存在的原因是为了避免国会的立法。”Kirkwood对PCI并不陌生，他以前是美国运通公司的CISO，现在是年产值520亿美元的荷兰杂货连锁集团Royal Ahold的全球信息安全官，他必须确保Stop & Shop等集团的子公司遵守PCI标准。

Kirkwood指出：“信用卡公司称没必要为我们立法，我们会监管自己。TJX事件后会出现什么事情，这非常值得关注。另一部《金融服务现代化法案》或者另一部《萨班斯－奥克斯利法案》可能会出台。”的确，TJX事件披露后不久，立法者开始强调这起事件并指出国会必须采取措施。

这一切意味着现在到了政府法规和行业自我监管进行摊牌的时候。接受、处理及从事信用卡交易的公司将不得不说服立法者（更不用说要说服大众）：PCI计划有望阻止数据泄密事件的发生。要是他们说服不了，那么产生的影响绝不仅仅波及支付卡行业，因为PCI标准将淹没于历史长河，变成对私营行业自我监管能力的一次碰撞试验而已。

鞭策业务伙伴执行

PCI标准的根源可以追溯到2000年夏天，当时Visa公布了“Digital Dozen”规则：要求安装防火墙、对数据进行加密和限制对持卡人信息的访问等等，商家必须遵守这些规则才能使用信用卡和借记卡。Visa的一名主管在2002年曾告诉《CIO》杂志的记者：“要是我们从独立第三方拿不到证据表明你符合我们的要求，我们就不能让你使用信用卡。”

显而易见，Visa当时用一根特别尖的棍子在戳业务合作伙伴——由于它的信用卡在全世界众多地方被采用，一群特别广泛的业务合作伙伴可能会受到影响。美国运通、Discover和万事达卡等商家很快也挥动类似的棍子，催促各自的业务合作伙伴。较之于联邦政府执行《健康保健可携性及责任性法案》（HIPAA）纯属徒劳的尝试，信用卡公司让人看到了成功的希望。它们财力雄厚，有商业影响力。前联邦检察官Mark Rasch先生，如今是一名计算机的安全顾问，他说：“最终，许多公司遵守PCI标准的原因是，Visa和万事达卡有能力断掉他们的财路。如果对方告诉你明天你没法使用信用卡，你就没生意了。”

至于说目前商家犹犹豫豫的态度，并不足为怪。随着各个信用卡协会制订的标准逐步成形，商家们抱怨的主要有两方面：一是标准过多；二是它们对标准的制订缺少足够的参与。

行业协会商家风险理事会的创办人之一、理事会成员Julie Fergerson解释：“商家必须通过每个信用卡品牌的认证。四大品牌都提出了各自的不同产品，未必彼此可以通用。”

为了解决这些问题，在Visa制订了Digital Dozen五年多后，与之竞争的信用卡公司联合起来，成立了一个组织。PCI安全标准委员会在去年9月成立，这是美国运通、Discover、JCB、万事达卡和Visa国际等公司之间达成的一项联合协议。每家公司都拿出部分资金，共同推行一套安全标准——这就是PCI数据安全标准，它有12项主要准则，包括安装防火墙、加密数据、限制对持卡人信息的访问等方面。

委员会成立后，所有提议及规则手册的变动都通过该组织提交上去。此外，委员会还负责确定哪些审计人员有资格执行PCI评估、哪些厂商有资格对企业基础设施中存在的安全漏洞和不当配置进行检查。女主席Seana Pitt指出，委员会的资金将不是来自信用卡协会，而是来自培训费和认证费。

Pitt还是美国运通公司的副总裁，她说：“我们现在已逐渐成为卓越的中心，谁要是在解释标准或者提议改进方面有问题，都会来找我们；而过去，他们会去找相应的信用卡公司。”

与此同时，棍子仍在各个信用卡协会手里。这是因为标准委员会本身没有执行能力。实际上，被问到当前的法规遵守状况时，Pitt承认委员会没有可供参照比较的数字，成员们只是根据信用卡公司和成员的反馈来评估成功与否。“其实我们感到满意的方面是推动了教育和法规遵守，或者说起到了积极主动的作用。”

需克服的技术难题

万豪国际酒店集团的Chris Zoladz属于竭力遵守PCI标准的一员，他是万豪国际酒店负责信息保护及隐私的副总裁。在过去的几年里，这家年收入达120亿美元的酒店连锁集团一直在遵守这项标准，但“要做到全面遵守难度相当大”Zoladz说。

加密是第一个难题。虽然万豪长期以来对传输中的数据进行加密，但PCI标准还要求对静态数据加密，但万豪一直没有这么做，它采取了其他保护措施。信用卡数据最初保存在中央预订系统中，但随后传送到客户预订了房间的每家酒店的财产管理系统。难题就在于对保存到两个地方的数据进行加密，又要让这些系统能够彼此互通。

另一个难题是需要双因素验证。PCI标准规定，用户名和密码不足以对远程访问含有借记卡或信用卡信息的任何系统的员工、管理员或者第三方的身份进行验证。商家必须设定第二个因素用于验证，例如令牌或者生物特征。对于像万豪这样员工数量众多、分布在各地的公司而言，这绝非易事。

但Zoladz并不抱怨。他说：“我认为这项标准相当可靠。我看了标准的每项要求后，发现其中许多要求与ISO 17799标准或者有关信息安全最佳实践的众多文章中的要求相一致。”

CheckFree公司的副总裁兼首席安全官Ed Sarama也在为他公司遵守PCI标准而努力。Sarama的公司年收入达8.8亿美元，为美国许多大银行提供支付处理服务。

Sarama说，他现在面临的主要难题是，这项标准在不断变化。譬如说，去年秋天，PCI安全标准委员会对数据保留要求做一些变动，这影响了CheckFree。现在，所有访问持卡人数据和网络资源的审计跟踪记录都必须保存三个月、离线保存九个月，这意味着CheckFree必须购买额外的在线存储设备。另一处变动意味着CheckFree必须在Web服务器前面设置应用防火墙。Sarama得弄清楚如何来完成这项工作，又不导致任何应用系统出故障。

有些技术问题会更早得到解决。譬如说，PayPal的CISO Michael Barrett在设法弄清楚如何应对该标准在Unix服务器是否要安装反病毒软件的。

“PCI规定，如果你在Windows运行服务器，那么需要对反病毒控制；如果你在运行Unix服务器，那么这种需要不大适用。”Barrett说。PayPal隶属eBAY旗下，2006年处理的网上支付金额高达378亿美元。“标准其实没有规定，如果你在运行Unix服务器，用不着符合这项要求。你需要与审查人员谈论这是不是够安全。我预计PCI会在今后一年左右内日趋成熟，那样这样的讨论就会变得更加平常。”

Barrett和Kirkwood都提到：得到一个信用卡协议认可的PCI审计并不总是能够得到其他协会的认可。Kirkwood说：“这是同一项标准，但不是说你符合了PCI标准，就符合了所有信用卡组织的要求。我认为，这是我们将来的出路，我们现在离这条出路还很远。”

是最好的安全支付标准吗？

当然，政府干预的效果不比PCI标准好，这有许多原因。联邦机构的CIO和CISO们抱怨，2002的《联邦信息安全管理法案》结果成了官僚文件、而不是提高安全的一种摆设。联邦法案真正促使人们广泛致力于促进信息安全控制的一部分是《塞班斯－奥克斯利法案》中的第404条款。而美国企业界公开反对，认为不值得为此投入上百万美元。经济因素始终是问题所在：倒不是遵守标准费用太高，准确地说，是这笔钱不值得去花。

信用卡协会如今面临两方面的挑战：一是证明PCI标准本身的价值；二是制订一套激励体系，要是标准本身起不到足够作用，这套体系可以最后帮助组织一把。遵守标准的一次性奖励可能数额太小：Visa的2000万美元奖金可能分给多达33家商业银行，然后这些银行自行决定要不要把这笔奖金让利给成千上万的商业顾客。就连罚款的金额可能也不够大。譬如，Visa在2005年和2006年分别开出了340万美元和460万美元的罚单。但这些受罚组织要是遵守标准要花更大的费用。

Chief Security Officers的Rowe说：“这好比是你不保车险也可以开车，但要是出了问题，麻烦就大了。我认为，许多商家在接受这个风险，希望自己实施的控制措施能够防止安全事件，即使它可能没有遵守标准。”

令人鼓舞的是，Visa宣布将开始遵守PCI标准，回报是部分减少向采用信用卡支付的商家收取的交换费。这更像是一种反向处罚，而不是新的奖励：目前有资格获得减免费的商家要是没有遵守PCI，可能享受不到这种优惠。Visa的Perez说，那些最大的商家势必每年会损失上百万美元。 “这种奖励非常诱人。”

首席安全官（他们实际上是风险经理）以务实的眼光来分析所有这些变化。Kirkwood说：“要是我被罚款500万，却做成了1.5亿美元的生意，那没什么不好，这成了业务经营费用。”不过，更大的激励因素是交换费。“这影响了每笔交易的利润，而这带来的影响比其他任何因素来得都大。”

自宣布变动以来，Visa发现遵守标准的比率有所上升。在每年处理600多万笔Visa交易的一级商家当中，遵守标准的比率从2006年12月的36%上升到了2007年1月的40%。在每年处理100万笔到600万笔Visa交易的二级商家当中，针对二级商家的要求在2006年7月生效以后，遵守标准的比率从15%渐渐增到了16%。

不过在同一时期，要求监控部门采取措施的比率升得更快。TJX安全事件披露后不久，众议院金融服务委员会主席Barney Frank就进行了严厉指责，称这起事件“进一步证明”国会需要干预。这位马萨诸塞州的民主党议员声明中说：“发生安全事件的那些组织必须给找出来，它们要承担相应责任。具体来说，这意味着零售商或者批发商必须承担责任，而现在的通行做法恰恰相反。”

其实谁也不需要更多的监管法规，大家只想制止安全泄密事件。Jay White是雪佛龙公司的全球信息保护设计师，他说，从理论上来说，私营企业实行自我监管来得比较容易。

PCI标准正是美国企业界证明能自我监管的大好机会。问题是，多久过后才能证明它根本无法自我监管呢？（CCW 编译自《CSO在线》）