扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
【IT专家网独家】随着支付卡行业数据安全标准(Payment Card Industry Data Security Standards,简称PCI DSS)的实施期限日益临近,许多企业都面临这样的问题:为了符合该标准的要求,应该采用什么样的最佳实践?记者就此采访了CyberSource公司的客户及技术服务部门负责人Akif Khan博士,他向我们谈论了PCI DSS,并就如何保护客户的敏感数据向企业提供了一系列建议。
在您看来,遵从PCI DSS对企业来说有多重要?
这是绝对至关重要的。支付卡行业数据安全标准(PCI DSS)是一套被广泛认可的最佳实践,它能帮助企业保护自己的数据和客户的隐私。许多零售商不太愿意遵从这个标准,因为他们觉得这件事既费钱又麻烦;但要遵从这个标准其实并不困难,代价也比遭到一次破坏性的黑客攻击要小得多。因此从商业的角度考虑,很有必要遵从这个标准。
您所在的公司采取了什么步骤去遵从PCI DSS?
CyberSource作为一家向许多世界领先的电子商务企业提供服务的支付管理公司,从创建伊始就注重安全问题。在PCI DSS被提出之前,我们就遵从了Visa和MasterCard两大组织倡导的资产安全最佳实践。但在PCI DSS被提出之后,即使是我们公司也要做一些改变,以确保满足要求。我们最重要的改变就是花费了一笔庞大的投资去实施硬件加密。
在您看来,PCI DSS能减少欺诈性交易吗?
就其自身而言,PCI DSS对减少欺诈性交易的数量只能发挥有限的作用。罪犯能通过多种途径盗取支付卡卡号——例如对企业发起黑客攻击,偷窃别人的钱包,或贿赂呼叫中心的员工去记下别人的卡号。如果PCI DSS能被所有企业采用,就会增大罪犯通过黑客入侵盗取卡号的难度,因此对减少支付卡欺诈有一定的帮助。但由于罪犯还能通过许多其它途径盗取卡号,PCI DSS只能作为整个解决方案的一部分。要想进一步减少支付卡欺诈,商家必须采用有效的欺诈检测工具,以确保不会接受欺诈性的订单。
对那些希望满足PCI DSS要求的企业,您有什么建议?他们应该采用什么方法?应该如何去做?
我的建议是,在开始制订计划去遵从PCI DSS时,最好先清楚地理解该标准要达到的每个目标。接下来要对现有系统做一次全面的审查,鉴别出处理、传送或存储支付数据的每个环节。然后制订新的或评估原有的数据保留政策,确保它符合PCI DSS的要求。你需要保护的存储数据越少,就越容易满足标准的要求。许多企业存储了大量的历史支付数据,但其实没有明确的和强制性的商业理由去这么做。应该清理系统中的数据并制定新的数据存储流程——与其保护大量不需要的数据,不如精简这些数据并改变流程,这样做的成本会更低。如果业务上确实需要存取用户的支付数据,可以考虑采用类似CyberSource公司的Secure Storage这类服务,它们提供了完全遵从PCI DSS的远程数据存放解决方案,可供企业存储自己的支付数据,同时又提供快速和安全的访问。
完全符合PCI DSS标准的最后期限是什么?有没有办法能让企业优化自己的资源,从而在最低时限内实现对标准的遵从?
满足标准的最后期限目前还不确定。我建议各家企业与关联银行进行联系,以获取最新的相关时间要求。但大家都知道,如果商家在尚未遵从标准的时候出现了安全问题,它就会受到处罚。因此应该把这件事放在比较高的优先级上。除了要考虑最后期限和处罚,商家更应该把保护客户托付的数据作为公司的一种责任。有些零售商以提供良好的客户服务为荣,有些则以产品的高质量为荣,但除此以外,他们都应该争取以自己的网络和数据安全为荣。一个企业的主要资源——员工——是取得对标准的遵从并保持下去的关键。仅仅按照书面标准去遵从PCI DSS只能保证企业从技术上符合要求,但这些安全措施如果没有被所有员工理解并切实执行,就肯定会形同虚设。当你制订计划去实施PCI DSS的时候,必须建立一种强调安全和遵从标准的公司文化,否则你的努力从长期来看只是一种浪费。
支付卡和移动POS机的使用增加也导致了更多的身份盗窃和欺诈性交易。这些问题应该是CIO的主要关注对象吗?是否存在有效的办法来打击这类问题?
CIO们要操心许多问题,但防止身份盗窃和欺诈性交易应该是他们优先关注的对象。PCI DSS当然能在很大程度上减少客户数据从企业被盗取的机会,但为了防止接受欺诈性的交易,CIO们仍需要实施有效的欺诈检测策略。许多工具和技术都有助于甄别欺诈性交易,例如3DSecure机制、地址验证、IP地理定位和资金周转率检查,但没有一个单一的工具或技术是完美的。我推荐各个企业使用多种工具,并采用集中式的决策管理平台把各种分析结果汇总起来,形成对某一交易的风险水平的整体判断。在这一领域,CyberSource公司的Decision Manager服务是一个有效的解决方案,目前已经由Jet Airways航空公司在印度成功采用。我向CIO们提供的最主要建议是:是否向欺诈行为开战能反映一个企业真正的核心竞争力,而这一过程需要大量的专业知识和经验积累;许多企业试图自己构造相应的解决方案,最后只是把大量的金钱扔进了黑洞,因此最合理的做法是把欺诈检测的工作外包给专业公司去做。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。