支付行数据安全标准(PCI DSS)

　　早在去年11月份，Stone就曾介绍过一番信用卡，那儿有好多有趣的信息，大家不妨再回顾一下。我这儿介绍的也是与信用卡相关，但是是侧重安全相关的内容。

　　不知道大家是否有过信用卡被盗用的经历，scorp的VISA卡倒是有一次就被人在墨西哥使用了。若是要发展成一段对话或者埋怨，倒也可以模仿成Friends里Monica被人盗用信用卡的那集－－自己都还不舍得花钱去墨西哥玩，怎么就有人那么大方帮自己花了钱甚至还代玩了。幸好一经我们申诉之后，信用卡公司倒是马上撤销了这笔费用，还给办了新卡。事件也就没有了后文，估计也就是无法抓住盗用者，信用卡公司成了冤大头。

　　信用卡公司自然不愿意老来背这样的黑锅，至少他们希望那些信用卡信息不要轻易的泄露。可是并不是事事如人愿，比如今年的T.J Maxx事件。可能这个牌子不如Walmart等来得响亮，但T.J. Maxx也已是零售界里的巨头，尤其是服装类。据报道，今年三月该公司首次证实有4千5百万左右的信用卡或者借记卡泄露，这系列泄露事件可能最早开始于两年前，但最近才被公司发现。（我们倒还的确曾在该公司超市购物）。可以想象，就只需要一家这样的商家，就会给信用卡公司带来无尽的烦恼。

　　于是信用卡提供商的大头们/联盟们，包括Visa, MasterCard, American Express等等，就也已开始采取措施让那些商家要好好的保护信用卡信息。 这也就有了Payment Card Industry (PCI) Data Security Standard(支付行安全标准)。这个标准里的很多内容其实已经在很多方面都已经得到了体现，大家在平常的一些场合中也都已经或多或少的遇到过。下面就粗略说说。

　　不过还需要指出，这个标准也划分了商家的规模大小：对大规模的商家， 支付行所提出的要求是在今年年底前，必须所有指标都达到规定要求，否则就得不断的承受巨额罚款直到达标为止。现在就不妨来看看到底有哪些安全措施：

　　1、不允许商家存储任何信用卡的三位或者四位确认码，虽然在网上购物的时候很有可能需要这些数字，但是商家只允许暂时的传递给信用卡公司用来确认，而不能保存这个信息。（这个确认码有好多称谓，比如CAV: Card Authentication Value; CVV: Card Verification Value; CSC: Card Security Code等等，主要就是各个信用卡公司各自取名不同）
　　2、不允许商家无必要的显示信用卡的所有位数：常见的也就只有后四位数字才能显示，但商家的确可以保存完整的信用卡号码，但只是显示了部分而已，一旦泄露还是十分危险，所以就要求对用户信息有必要的一些加密手段。（在上面的TJ Maxx事件里，据说入侵者甚至也知道了解密办法）

　　3、在实现网上交易时，传递信用卡的信息时必须使用加密，比如会看见链接就从http变成了https。现在无线网更为普遍，安全标准对此也有要求。大家可能注意到过无线网加密有WEP和WPA两种常见的手段，而由于WEP加密性没有WPA强，安全标准甚至要求前者需要和别的手段一起联用才符合标准。

　　4、对用户也会有或多或少的影响，主要比如密码的选择，至少要有7位，必须有数字和字母；如果遗忘了密码，修改密码时不能提供和前四次相同的密码；试密码不能超过6次，等等。

　　此外，还有诸如要求商家内部网络安装防火墙，监测重要数据的使用记录，等等重要措施来保护信用卡数据安全。我们也倒可以在年底再追踪报道一下，看看还会有那些商家达不到这些标准。