PCI标准促使企业增加安全开支

由维萨国际组织（Visa）和万事达卡国际组织（MasterCard）所创立的支付卡产业数据安全标准，是许多IT工作和支出的焦点——因为许多公司希望按此要求行事，从而加强保护客户信用和借记卡数据。两名来自于财富企业榜上50家零售企业的首席信息安全官员，参加了美林公司（Merrill Lynch）举行的一场在线公开讨论，把这个问题谈论得很透彻。

为免于回避敏感安全议题，这两名首席安全官隐去了姓氏。他们一致认为，PCI兼容将是明年安全开支的最大驱动力。“我们在纠正PCI上的费用要比萨班斯·奥克斯利法案（Sarbanes-Oxley Act）多得多，”马克（Mark）说。另一位名为托尼（Tony）的首席安全官则说，安全支出一般不超过公司IT预算的1%，但是今年由于PCI的原因，预算额翻了一番。

PCI标准自2004年12月生效，去年9月进行了更新，它要求防火墙、持卡人的加密数据、其他公众网络上传输的敏感数据，此外还有对持卡人数据进行物理访问的限制。不兼容的商户就无法处理维萨卡或者万事达卡客户的支付要求。

这是一个“执行安全策略的伟大的通用性办法，”托尼说，“但不幸的是，一家大型的公司，就像我所供职的那一家，3年前根本没有严肃地考虑这个问题，”当时这个标准正被提上议程。幸好自那时候起已经发生了很多改变，他说，而现在，PCI标准是这家公司安全动力的主要驱动者，并因此而加速了对数据加密的使用。公司正在准备对进入公司IT系统中的所有数据进行加密，“这样每个人都能进一步减少风险。”他说。

将PCI标准凌驾于其他所有规定之上，令每个公司都对其兼容，做到这一点确实很不容易。但如果首席安全官考虑到风险问题，就别无它选。