扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
数据是否因此变得更安全了?这仍有待观察。尽管支付卡行业数据安全标准(即PCI DSS,或简称PCI)要求采取诸多安全机制及定期审查,但我们的调查表明,零售商对于PCI只是应付了事,那样不用真正提高存储数据的安全性,就让人觉得他们在遵守标准。而本该推动标准遵守的信用卡公司没有多大的动力来打破现状。
这项标准由包括维萨(Visa)、万事达卡(MasterCard)、美国运通(American Express)和JP摩根大通(JPMorgan Chase)在内的各大信用卡公司制订,标准规定:零售商应当实施12项账户保护机制,其中包括加密、漏洞扫描及使用防火墙和反病毒软件。维萨公司在推动标准遵守计划方面起到了带头作用。由于近期发生了一系列安全入侵事件,导致成千上万的信用卡账户泄密,这项计划显得越来越急迫。比如,最有名的安全泄密事件先后发生在折扣商店TJX、鞋店连锁店DSW和信用卡处理公司Card System Solutions身上。
遗憾的是,遵守PCI标准的概念变得过于抽象,脱离了实际安全。零售商可以钻空子,不一定要提高信用卡数据的安全性,就能够“符合标准”。举例说,只有极少一部分零售店得到了物理审查,尽管数据窃贼经常盯上商店的网络和设备。我们采访过的一名PCI专家评审了几份标准遵守审查报告后,发现其实不合要求。PCI安全标准委员会(PCI Security Standards Council)也承认,有些审查机构的标准不如其他审查机构来得严格。
这倒不是说,信用卡公司和许多零售商并不重视安全;他们确实重视安全。外界广泛认为,PCI规定的要求代表了一种健全――有些人甚至认为是补救性――的安全架构。但要确保安全,成本高、难度大,而零售商的利润本来就很微薄。PCI提供了花最少的钱来遵守标准的一种经济刺激手段。
同时,维萨及其他信用卡公司在竭力宣传这项标准得到了广泛采用,因为证明PCI计划取得了成功符合他们的既得利益,这意味着他们也许不会认真考虑PCI是否在真正提高信用卡数据的安全性。
如果遵守标准的零售商随后出现了安全泄密事件——势必会有更多的攻击得逞,那么信用卡公司就让PCI标准显得极其含糊,那样到时可以把责任推得一干二净,声称是零售商并没有正确解读PCI标准,哪怕零售商明明通过了它所把关的审查。
数字问题
根据每年处理的信用卡交易,PCI标准把零售商分成了四个级别。零售商的级别决定了它要采取哪些措施来遵守PCI的规定。一级零售商是指美国最大的零售商,每年处理的交易至少达到600万笔。一级零售商每年接受合格安全评估商(QSA)的审查,负责对QSA进行培训的是信用卡公司当初为了起草PCI标准而设立的PCI安全标准委员会。评估方即QSA与零售商合作,共同确保商家满足PCI标准规定的所有要求。QSA把零售商遵守标准的情况汇报给处理信用卡交易的机构(名为收单银行);然后,收单银行把零售商遵守标准的情况汇报给各信用卡公司。
二级、三级和四级零售商不需要接受QSA审查。他们只要填写自我评估调查表,评估遵守PCI的情况,并且每个季度接受合格扫描厂商进行的漏洞评估扫描。
今年1月,维萨表示遵守PCI的美国最大零售商和中型零售商分别达到了77%和62%。维萨宣称这些数字证明信用卡数据的安全性得到了提高;PCI计划取得了进展。
不过另一些数字对维萨的说法表示了异议。一家独立零售调研公司声称,它自己的调查估计遵守PCI的大零售商和中型零售商分别只有46%和50%。零售系统研究公司的合伙人Steve Rowen说:“零售商远远没有做好应该完成的工作。”该公司对174家零售商作了调查,其中45%获得的年收入至少为10亿美元。值得一提的是,Rowen的调查根据年收入而不是根据信用卡交易来对零售商进行分类,所以他的数字无法与维萨的数字进行同类比较。
但Rowen还提到了更令人担忧的统计数字:只有40%的调查对象完成了全面评估,以发现保存客户账户数据的所有地方。PCI标准的第三项要求规定要保护存储的持卡人数据。但要是零售商不知道数据在哪里,就无法确保其安全,遵守标准也就无从谈起。
Rowen说,维萨夸大遵守标准的比例也许有几个原因。首先,遵守标准的比例很高,这让PCI显得很成功。其次,如果信用卡公司未能对零售商执行比较严格的信用卡数据保护机制,联邦政府就有可能干预。联邦法规不但要求更严、成本更高,而且还有可能对零售商能够搜集的信息类别和数量予以严格限制。
这引起了零售商们的注意。
Rowen说:“客户数据可以说是如今开展的每项营销和促销运动的命根子。如果零售商失去了这些数据,他们就会回到石器时代。”
美国国会在过去几年曾就信用卡安全性举行过几次听证会。2005年,众议院法案提议出台联邦法律,规定一旦个人数据外泄,商家就要通知顾客。该法案最终并未成为法律,随后出现TJX之类的安全事件也就可以理解了。
有N种解读版本
零售商竭力遵守PCI有好几个原因。一个问题就是,不知道信用卡信息在零售系统(包括每家商店和公司数据中心)中到底是如何流动的、流向了何处。另外,许多零售商运营的遗留架构缺乏足够的安全控制。举例说,信用卡数据可能未经加密就在零售商店和总部之间传送,甚至未经加密就在商店内部的系统之间传达。销售点设备和应用有可能记录或存储信用卡号码和磁条数据,因而这些系统很容易成为窃贼的目标。PCI规定:零售商必须对所有信用卡数据的传送进行加密;而且销售点设备和应用不能存储信用卡数据,要求零售商对基础设施进行升级。
虽然PCI比其他法案(如《萨班斯-奥克斯利法案》)提供了更具体的指导方针,但零售商老是抱怨:这些指导方针不是过于具体,就是过于含糊。比方说,该标准明确要求使用具有状态数据包检测功能的防火墙。一级零售商PayPal的首席信息安全官Michael Barrett说:“要是我决定使用自认为效果相同的另一项技术,那会怎样?要么你与审查机构大吵一场,要么忍气吞声、照办行事。”
一级零售商还与QSA就“补偿性控制”(compensating controls)之类的问题发生了冲突――补偿性控制是指用来取代PCI一览表上具体要求的技术或者流程。Barrett说:“我们认为自己的控制足够有效,但它们与标准规定的控制有所不同。所以你会与审查机构争论。这样的事会让人异常恼火。”
PCI还有一定的主观性,许多人觉得这令人不安。QSA的培训很少为解决这种主观性提供相应的指导方针。一位不愿透露姓名的PCI专家是这样评论培训的:“如果你询问X或者Y是否可以接受,或者如何在Y情况下运用X,对方总是回答‘运用你最好的判断。’”他表示,如果其他同行指出彼此的观点在同一种情况下相差太大,指导人员“除了表示‘尽你所能’,不会回答什么。”
一级零售商雪佛龙公司的全球信息保护架构师Jay White说:“这个问题涉及到审查人员的解读能力及其水平和技能组合。PCI没必要这么麻烦,但我们明白了这点:我们要帮助审查人员明白我们在怎样符合他们的目标,即使他们一开始并没有看到这点。”
缺乏指导的这种现状会导致遵守标准的方法大不相同,即使在同一家合格安全评估商的审查人员当中也是如此。有一个案例:有家公司请来了一位PCI专家来监督QSA建议采取的措施。该专家表示,QSA坚持认为这家公司应部署耗资上百万美元的技术性控制措施,实际上只要简单地改一下运营程序,就能解决这个问题。那位专家说:“评估公司随后派了另一个人过来,他居然对自家公司的前一位QSA专家建议采取的措施表示了异议!”
这种不一致会给一级零售商带来重大影响。如果零售商泄露了信用卡数据,维萨会派一队电子取证安全顾问,查明零售商在数据泄密时是否遵守PCI标准。那位PCI专家说:“要是‘遵守标准’的零售商出现了安全事件,我可以向你保证,我能从标准遵守报告中发现至少一处存在异议。这就为信用卡公司提供了足够大的余地,到时可以把矛头指向零售商或者QSA,认为对方错误地解读了标准。”
如果被判为未遵守标准,零售商及收单银行就有可能面临巨额罚金,包括提高每笔交易的信用卡处理手续费。要是被判为未遵守标准,考虑对零售商提起诉讼的律师事务所也会成为得益者。
钻空子
虽然许多零售商利用PCI标准来改善安全状况,但这项标准的空子太多了,可以让一些零售商不用对现有的安全做法进行大幅改动,就能证明自己在遵守标准。一个关键问题就是,接收QSA物理审查的零售店数量太多了。针对一级零售商的指导方针要求每一家零售店都要接受审查。这是该标准的一个重要方面,从TJX信用卡失窃案来看更是如此:窃贼最初通过一家T.J. Maxx零售商店的安全很薄弱的无线网络闯入了该公司的系统。
不过,该标准并没有规定多少比例的零售店需要物理审查;只是表明了零售商必须验证诸商店的IT和网络配置符合要求。零售商往往拥有数量众多的商店,采用类似的技术配置,这意味着审查机构可能只审查一小部分商店。
一家大型服务零售商表示,审查人员只审查了其1000家商店中的4家,样本大小只有0.4%。这家零售商表示,它的所有商店都采用同样配置,并且集中管理,但这么小的样本极有可能发现不了安全问题。那位PCI专家说:“我可以把许多问题隐藏起来,不让QSA看到。”
尽管有些零售商抱怨审查人员过于严格,但现有体系让零售商可以寻找实施标准可能不如其他QSA来得严格的QSA。那位PCI专家称:“我看过事后送过来的几份标准遵守报告,我认为它们并不合适。这些报告居然通过了,我不知道是怎么通过的。”被问及零售商是不是在寻找简单评估一下的QSA时,他说:“我能保证是这样。他们为什么不这样做呢?”连负责对QSA进行培训及认证的PCI安全标准委员会也承认,在现有的100多家QSA当中,素质水平可能良莠不齐。
PCI安全标准委员会的总经理Bob Russo说:“这是一个竞争领域。一家QSA对现场评估收取的费用可能是X美元,而另一家QSA对同一项服务收取的费用比较低。零售商就会想‘要是这人收我5万美元,那个人收我1万美元,这里面肯定有猫腻。’”
为此,委员会正准备启动质量保证计划――定于本季度晚些时候推出,旨在确保所有QSA执行评估的标准一样严格。Russo说:“目的在于确保竞争公平,那样我们就不会收到来自QSA零售商的指控,说有人只是在例行公事。”
例行公事这个问题与责任问题密切相关。要是遵守标准的零售商出现了安全事件,那QSA需要为此承担任何责任吗?这个问题让QSA觉得很不自在。
Verizon的安全产品营销经理Barbara Mitchell说:“谁说零售商没有听我们的意见、扔到一边?”Verizon与互联网安全系统(ISS)和TrustWave公司共同获得了一级零售商的大部分评估业务。Mitchell说:“我们应当参与其中,但如果零售商决定不听我们的建议,那就很难说得清楚。如果要我们承担责任,我们就需要审查所有商店、所有服务器。这会导致成本高得让人望而生畏。”
接受采访的零售商并不清楚责任问题。那家大型服装零售商的网络架构师说:“我认为,这将取决于我们的控制是否有缺点、取决于审查方法。我认为,应当承担一定的责任;但我们并没有对此深入探究。我可能没注意到合同里面的有些条文,而我关注的重点是预防安全事件的控制措施,而不是将来指责谁。”遗憾的是,一旦信用卡数据失窃,指责现象在所难免。思科安全解决方案公司的产品营销经理Teri Quinn-Andry说:“一旦发生安全事件,如果他们发现出了问题,就会回去找审查机构,就像安然和安达信那样。”
接下来就是二级、三级和四级零售商实际上依赖诚信制度的问题。没有外部机构验证某零售商针对自我评估调查表采取的响应机制。一家二级零售商的IT主管说:“事实上,你不一定要遵守PCI标准,如果贵公司愿意承担相应风险的话。”
二级零售商胜骑士快餐(Church’s Chicken)连锁店的CIO Alan Stukalsky同意这一观点,他说:“PCI方面有许多有待你去解读。”
PCI的优点
照现在这种样子来看,PCI标准存在重大缺陷。不过对希望加强安全的CIO来说,这可能提供了契机,可以资助新的投资项目;或者充当推动力,以此调整商业惯例或者修改安全流程。一家室外服装零售商的CIO说:“我们一直重视客户信息,保护客户信息。从操作上来讲,如果我们定的要求松一些,有些事情就会容易些。”他说,PCI可以刺激商家加强某些业务运营。
而许多二级及更低级零售商确实重视自我评估。胜骑士快餐店的Stukalsky说,由六名IT员工组成的团队花了三四周时间来评审调查表。他们还请来了QSA――尽管PCI标准没要求这样,帮助确认哪些方面需要改动IT系统和流程。胜骑士快餐店在美国有约1200家分店。
Stukalsky表示,公司修改了密码策略,并且更加积极地更新软件补丁。他还表示,公司在PCI要求出台之前,在餐馆的销售点设备和新网络连接方面作了投入,这非常有助于遵守标准。
牢骚最大的零售商也许最需要大力投资,以便更新基础设施、管理客户数据。PayPal公司的Barrett说:“我并不同情那些不走运的组织,因为它们显然没有把良好的安全结构落实到位。如果你使用无法保护数据安全的过时的旧技术,我觉得你保管这些数据是不合适的。”
下一步的工作
毫无疑问,必须采取具体的措施来保护信用卡账户数据;眼下PCI是最有效的方法,尽管存在诸多缺点。关注安全的公司可采取下面这些办法来加强系统安全性。
首先,竭力要求出台联邦泄密信息披露法。目前,美国50个州中有40个州订有法律,要求公司如何报告敏感数据的泄密事件。如果有一部统一的联邦法律针对信用卡账记信息的不适当披露作了相应规定,就能减少每个州处理这个问题的麻烦及费用;而且一旦零售商出了岔子,就没有任何借口可找。
其次,提供更一致的一级零售商审查指导方针,包括评估每家零售商店的样本大小。除了商店配置外,还应当根据商店的总比例对每家商店进行审查。为了抵消审查的商店数量增加带来的成本,信用卡公司应当为收单银行提供刺激措施,比如降低交易费率或者给予退款。然后,银行可以把省下来的这些费用惠及零售商。
最后,让信用卡公司分担信用卡欺诈案带来的成本。目前,信用卡公司并不承担任何这种经济负担。如今,欺诈带来的成本高达70%的比例由发卡银行(即为消费者发放信用卡的银行)来承担,包括为虚假交易埋单、取消账户及发放新卡。剩余的30%由零售商及收单银行承担。要是信用卡公司在欺诈案成本中有经济利害关系,就会有明确的经济动机来积极执行信用卡安全措施。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。