完全信息动态博弈标准式 [PCI安全标准:商家与政府的博弈]
美国折扣零售巨头tjx公司的4570万张信用卡和借记卡资料遭黑客窃取,成为美国迄今最严重的一次金融信息安全事件,于是,用于信用卡安全支付标准的pci安全标准再次受到关注。
政府和企业碰撞激烈
pci不仅仅是一项数据安全标准,它更是迄今为止美国企业界证明能自我监管的最宏伟的一项计划。但即使这项标准万事俱备,可能也不足以制止信用卡的数据失窃。
2006年12月中旬,就在visa信用卡公司宣布实行2000万美元的奖励,试图督促商家遵守信用卡行业的这项数据安全标准时,tjx公司的一名顾问发现了这项标准本应防止的安全事件:tjmaxx、marshalls及tjx的商店交易记录遭到了泄密,甚至被攻击者“清除”。至于具体是哪些记录、何时被何人动了手脚,这家年收入达160亿美元的零售商尚不能确定,不过《华尔街日报》后来估计受影响的信用卡数量超过了4000万张。
与此同时,visa在旧金山发表了一份声明。从技术上来说,如果visa的商家未遵守支付卡行业数据安全标准,visa就会禁止商家接受visa信用卡――这无异于宣判了商家的死刑。不过尽管截止时间一再变化,但visa的大商家中仍然只有36%遵守相关规则。于是从今年4月开始,visa规定,如果银行的零售客户遵守标准,并且没有发生安全事件,就有资格获得高达2000万美元的奖金。
对于visa,这项标准切实可行,但前提是商家愿意采用。visa公司负责支付系统风险的副总裁eduardoperez曾对《cso》杂志说:“迄今为止,我们还没有看到遵守pci标准的哪家公司发生过安全事件。”虽然他不愿就tjx事件发表评论,不过他继续说:“在我们处理的每个案例中,发生安全事件的公司都没有遵守pci标准。”
不过在批评人士看来,tjx安全事件完全证明了另一点。gartner的副总裁兼调研主任avivahlitan说:“这个例子很好地说明了pci计划并不可行。这个措施是很好,也有助于信用卡公司的安全,但期望500万个零售商个个成为安全专家是不合实际的。”
实际上,tjx安全事件与其说是一个例子,还不如说是一次检验。美国企业界长期坚持认为:解决信息安全难题的关键是自我监管,而不是政府干预。他们声称,政府法规往往制定不力,难以实施,到头来成了费用高得离谱的官僚文件。行业部门一直在试图制定自愿的指导准则,或者是业务合作伙伴采用的指导准则,实现自我监管。
pci计划是迄今规模最大、野心最大的一次努力。去年秋天,美国运通、万事达卡、visa及其他极具竞争力的对手们聚在一起,筹资设立了独立的pci安全标准委员会,信用卡协会希望传达一个清楚的信息:他们在着手处理这个问题。
可是单单这就够了吗。
长期担任首席信息安全官(ciso)的johnkirkwood坦率地说:“pci标准存在的原因是为
了避免国会的立法。”kirkwood对pci并不陌生,他以前是美国运通公司的ciso,现在是年产值520亿美元的荷兰杂货连锁集团royalahold的全球信息安全官,他必须确保stop&shop等集团的子公司遵守pci标准。
kirkwood指出。“信用卡公司称没必要为我们立法,我们会监管自己。tjx事件后会出现什么事情,这非常值得关注。另一部《金融服务现代化法案》或者另一部《萨班斯-奥克斯利法案》可能会出台。”的确,tjx事件披露后不久,立法者开始强调这起事件并指出国会必须采取措施。
(未完,全文共5237字,当前显示1429字)
(请认真阅读下面的提示信息)
