PCI数据安全标准成功三步曲

    2005年，维萨(Visa)、万事达卡(Mastercard)、美国运通、发现金融服务公司LLC和JCB等五家国际公司联合起草了支付卡行业(PCI)数据安全标准(DSS)，欲在他们所面向发行、使用和处理信用卡的批发商、零售商和银行之间提高信用卡安全。而对中小企业(SMB)而言，遵守这种标准的负担是很繁重的。

　　甚至对那些已经建立了信息安全部门并配备了处理这些遵循规定的员工的大公司而言，遵守标准中的12条规定都令人望而生畏。

　　那么，毫无疑问，据估计使用信用卡的批发商中，有60%的批发商并没有遵循PCI标准。但如果在进行交易时，不遵循标准带来的后果即使不是致命的，也是要付出沉重代价的。不遵循标准的话可能会导致罚款，或者在最坏的情况下，由PCI协会会员禁止处理信用卡业务。

　　不过，有三条途径可供中小企业(SMB)控制PCI的遵循成本，即：

　　1.在网络和IT安全方面遵循最佳的行业惯例。

　　2.使用与PCI遵循规则相适应的工具和服务。

　　3.在进行银行卡处理时，与大的合作伙伴进行联盟。

　　最佳的行业惯例

　　PCI标准的所有评论家都认为，这种标准涵盖了许多在解决IT安全问题时，大多数中小企业早已应当遵循的常识规则。这些包括规则八，该条要求拥有计算机访问权的人，每人有一个唯一的ID。规则九对持卡人数据的物理进入加了许多限制条件。中小企业使用的大多数识别系统需要有唯一的用户名和通性密码，并且持有信用卡数据的服务器通常被安装在一间隔离的被锁定的屋子里或是设备上。

　　对中小企业而言，最难遵循的规则是第三条和第四条。第三条要求企业保护信用卡数据，而第四条则要求企业寻找网络间相互传输的数据的加密术。规则三规定了只有持卡人的数据在因交易或是法律法规目的而需要使用时才能受到保护。然而，公司却喜欢为了客户的方便来储存数据，这样就使得客户自行从数据库中提取数据，而不是在客户购买商品时每次再询问客户的用户名和密码。在PCI标准下，不仅仅交易需要被加密，储存数据的数据库也需要被加密。

　　不仅如此，尤其在零售商中，他们多采用无线设备以便销售员可以在客户服务店周围移动。无线网路为进入网络开辟了一块全新的空间，而这需要按照规则三和规则四来遵循PCI标准。

　　一个中小企业可以通过做以下两件事来轻松廉价地遵循规则三和规则四：把处理信用卡数据的部分网络与其他网络隔离开来，以及使用在PCI说法中被称作“补偿控制”的技术，而不是当前满地开花的加密术。通过隔离网络数据，只有该部分网络需要用PCI规定来进行扫描和查看。如果不这样做，则公司的整个网络都需要遵循规定，这就会在进行PCI要求的扫描和审核时增加额外的成本。

　　把卡号和账号删短，或是利用单行杂乱信息功能干扰数据，可以使得补偿控制很好地达到遵循标准的目的。对中小企业而言，加密术或密码管理非常昂贵，而且还需要安装额外的硬件。删短账号和干扰数据却是很廉价的捷径。

　　PCI工具

　　第二条途径囊括了一系列广泛的产品。不过这种办法产生了一些争议，商贩的投诉主要来自那些声称为PCI救世主的木手工艺商。然而，在没有PCI万能药的情况下，市场上确实有一些产品可以被用来减轻遵循负担。

　　一项由拉斯维加斯的Shife4公司研发的很有意思的技术是记号技术。记号技术要求对零售商的销售点(POS)设备中的信用卡卡号做一个记号，或是加上一个参考号码。如果参考号码在数据传输过程中被发现了，则这种方法就毫无意义。TJX Cos.客户资料被盗案就是基于此而发生的，因为在这种情况下，根本不能对持卡人或是其账户进行追踪。Shife4公司在销售一种POS设备的驱动器，这种驱动可以自行产生并认可一系列记号。而这种方法只需在由POS设备进行加密数据的传送和接收时，PCI要求升级的费用中的很小一部分。由于这种记号并不是实际的卡号或账号，因此在PCI标准下，这种记号不会对客户数据反应敏感，从而不需要进行加密。

　　与大企业进行合作

　　中小企业还可以使用第三方来处理其信用卡。但是，仅推荐小的零售商使用这种方法。中型规模的企业将不会从中受益。这种方法并不会宣布一个店面免除对其客户数据保护进行最小的安全防范。然而，全方面地遵循PCI标准令企业感到头疼，这将会使得它们最终停止用信用卡进行交易的服务。

　　然而，虽然PCI标准创立的理由是值得肯定的，但也存在一些各种各样的批评、评论。其中一条批评是，企业在维持标准的遵循时变化太快。他们可能会在今年遵循，但当预期标准将进行较大的修订时，可能对于遵循标准只是一纸空谈而言。同样，另有一条批评是，PCI审计员在回答有关标准的同一个部分所制定的法律规定时，有时会给出自相矛盾的答案。

　　附：

　　PCI DDS条目和规则构建和维护安全网络

　　规则1：安装并维护防火墙配置以保护持卡人数据。

　　规则2：不要使用供货商提供的默认的系统密码以及其他安全参量。

　　保护持卡人数据

　　规则3：保护所储存的持卡人的数据。

　　规则4：在公开的、公共的网络上传输持卡人数据时采用加密术。

　　运用易损性管理程序

　　规则5：使用并定期升级反病毒软件。

　　规则6：开发并运用安全系统和应用软件。

　　严格执行访问控制措施

　　规则7：在交易所需知道数据的情况下也要严格控制访问持卡人数据。

　　规则8：对每一个访问计算机的人分配一个唯一的ID。

　　规则9：对持卡人数据的物理进入进行严格控制。

　　例行监控和检测网络

　　规则10：跟踪和监控对网络资源和持卡人数据进行的所有访问。

　　规则11：例行检测安全系统和程序。坚持执行信息安全政策。

　　规则12：坚持执行有关信息安全的政策。