完全信息动态博弈标准式 [ＰＣＩ安全标准：商家与政府的博弈]

完全信息动态博弈标准式ＰＣＩ安全标准商家与政府的博弈美国折扣零售巨头公司的万张信用卡和借记卡资料遭黑客窃取，成为美[]国迄今最严重的一次金融信息安全事件，于是，用于信用卡安全支付标准的安tjx4570全标准再次受到关注pci政府和企业碰撞激烈不仅仅是一项数据安全标准，它更是迄今为止美国企业界证明能自我监管的最宏伟的一项计划但即使这项标准万事俱备，可能也不足以制止信用卡的数据失窃pci年月中旬，就在信用卡公司宣布实行万美元的奖励，试图督促商家遵守信用卡行业的这项数据安全标准时，公司的一名顾问发现了这项标准200612visa2000本应防止的安全事件、及的商店交易记录遭到了泄密，甚至被tjx攻击者清除至于具体是哪些记录、何时被何人动了手脚，这家年收入达亿美tjmaxx marshallstjx元的零售商尚不能确定，不过《华尔街日报》后来估计受影响的信用卡数量超过了“”160万张与此同时，在旧金山发表了一份声明从技术上来说，如果的商家未遵守4000支付卡行业数据安全标准，就会禁止商家接受信用卡这无异于宣判了visa visa商家的死刑不过尽管截止时间一再变化，但的大商家中仍然只有遵守相visa visa――关规则于是从今年月开始，规定，如果银行的零售客户遵守标准，并且没有visa36%发生安全事件，就有资格获得高达万美元的奖金4visa对于，这项标准切实可行，但前提是商家愿意采用公司负责支付系统风险2000的副总裁曾对《》杂志说迄今为止，我们还没有看到遵守标visa visa准的哪家公司发生过安全事件虽然他不愿就事件发表评论，不过他继续说eduardoperez cso“pci在我们处理的每个案例中，发生安全事件的公司都没有遵守标准”tjx不过在批评人士看来，安全事件完全证明了另一点的副总裁兼调研主“pci”任说这个例子很好地说明了计划并不可行这个措施是很好，也tjx gartner有助于信用卡公司的安全，但期望万个零售商个个成为安全专家是不合实际avivahlitan“pci的500实际上，安全事件与其说是一个例子，还不如说是一次检验美国企业界长期坚”持认为解决信息安全难题的关键是自我监管，而不是政府干预他们声称，政府法tjx规往往制定不力，难以实施，到头来成了费用高得离谱的官僚文件行业部门一直在试图制定自愿的指导准则，或者是业务合作伙伴采用的指导准则，实现自我监管计划是迄今规模最大、野心最大的一次努力去年秋天，美国运通、万事达卡、及其他极具竞争力的对手们聚在一起，筹资设立了独立的安全标准委员pci会，信用卡协会希望传达一个清楚的信息他们在着手处理这个问题visa pci可是单单这就够了吗长期担任首席信息安全官（）的坦率地说标准存在的原因是为ciso johnkirkwood“pci了避免国会的立法对并不陌生，他以前是美国运通公司的，现在是年产值亿美元的荷兰杂货连锁集团的全球信息安全官，他必”kirkwood pciciso须确保等集团的子公司遵守标准520royalahold指出信用卡公司称没必要为我们立法，我们会监管自己事件后会stopshop pci出现什么事情，这非常值得关注另一部《金融服务现代化法案》或者另一部《萨班斯kirkwood“tjx－奥克斯利法案》可能会出台的确，事件披露后不久，立法者开始强调这起事件并指出国会必须采取措施”tjx这一切意味着现在到了政府法规和行业自我监管进行摊牌的时候接受、处理及从事信用卡交易的公司将不得不说服立法者（更不用说要说服大众）计划有望阻止数据泄密事件的发生要是他们说服不了，那么产生的影响绝不仅仅波及支付卡pci行业，因为标准将淹没于历史长河，变成对私营行业自我监管能力的一次碰撞试验而已pci鞭策业务伙伴执行标准的根源可以追溯到年夏天，当时公布了规则要求安装防火墙、对数据进行加密和限制对持卡人信息的访问等等，商家必须遵守这些pci2000visa“digitaldozen”规则才能使用信用卡和借记卡的一名主管在年曾告诉《》杂志的记者要是我们从独立第三方拿不到证据表明你符合我们的要求，我们就不能让你使visa2002cio用信用卡“显而易见，当时用一根特别尖的棍子在戳业务合作伙伴由于它的信用卡在”全世界众多地方被采用，一群特别广泛的业务合作伙伴可能会受到影响美国运通、visa――和万事达卡等商家很快也挥动类似的棍子，催促各自的业务合作伙伴较之于联邦政府执行《健康保健可携性及责任性法案》（）纯属徒劳的尝试，信用discover卡公司让人看到了成功的希望它们财力雄厚，有商业影响力前联邦检察官hipaa先生，如今是一名计算机的安全顾问，他说最终，许多公司遵守标准的原因是，和万事达卡有能力断掉他们的财路如果对方告诉你明天你没法markrasch“pci使用信用卡，你就没生意了visa至于说目前商家犹犹豫豫的态度，并不足为怪随着各个信用卡协会制订的标准逐”步成形，商家们抱怨的主要有两方面一是标准过多；二是它们对标准的制订缺少足够的参与行业协会商家风险理事会的创办人之

一、理事会成员解释商家必须通过每个信用卡品牌的认证四大品牌都提出了各自的不同产品，未必彼此可以juliefergerson“通用为了解决这些问题，在制订了五年多后，与之竞争的信用卡公司”联合起来，成立了一个组织安全标准委员会在去年月成立，这是美国运通、visa digitaldozenpci

9、、万事达卡和国际等公司之间达成的一项联合协议每家公司都拿出部分资金，共同推行一套安全标准这就是数据安全标准，它有项主discover jcbvisa要准则，包括安装防火墙、加密数据、限制对持卡人信息的访问等方面――pci12委员会成立后，所有提议及规则手册的变动都通过该组织提交上去此外，委员会还负责确定哪些审计人员有资格执行评估、哪些厂商有资格对企业基础设施中存在的安全漏洞和不当配置进行检查女主席指出，委员会的资金将不是来pci自信用卡协会，而是来自培训费和认证费seanapitt还是美国运通公司的副总裁，她说我们现在已逐渐成为卓越的中心，谁要是在解释标准或者提议改进方面有问题，都会来找我们；而过去，他们会去找相应的信pitt“用卡公司与此同时，棍子仍在各个信用卡协会手里这是因为标准委员会本身没有执行能力”实际上，被问到当前的法规遵守状况时，承认委员会没有可供参照比较的数字，成员们只是根据信用卡公司和成员的反馈来评估成功与否其实我们感到满意的pitt方面是推动了教育和法规遵守，或者说起到了积极主动的作用“需克服的技术难题”万豪国际酒店集团的属于竭力遵守标准的一员，他是万豪国际酒店负责信息保护及隐私的副总裁在过去的几年里，这家年收入达亿美元的酒店chriszoladz pci连锁集团一直在遵守这项标准，但要做到全面遵守难度相当大说120加密是第一个难题虽然万豪长期以来对传输中的数据进行加密，但标准还要“”zoladz求对静态数据加密，但万豪一直没有这么做，它采取了其他保护措施信用卡数据最pci初保存在中央预订系统中，但随后传送到客户预订了房间的每家酒店的财产管理系统难题就在于对保存到两个地方的数据进行加密，又要让这些系统能够彼此互通另一个难题是需要双因素验证标准规定，用户名和密码不足以对远程访问含有借记卡或信用卡信息的任何系统的员工、管理员或者第三方的身份进行验证商家pci必须设定第二个因素用于验证，例如令牌或者生物特征对于像万豪这样员工数量众多、分布在各地的公司而言，这绝非易事但并不抱怨他说我认为这项标准相当可靠我看了标准的每项要求后，发现其中许多要求与标准或者有关信息安全最佳实践的众多文章中的要zoladz“求相一致iso17799公司的副总裁兼首席安全官也在为他公司遵守标准而努”力的公司年收入达亿美元，为美国许多大银行提供支付处理服务checkfree edsaramapci说，他现在面临的主要难题是，这项标准在不断变化譬如说，去年秋天，sarama

8.8安全标准委员会对数据保留要求做一些变动，这影响了现在，所有访sarama问持卡人数据和网络资源的审计跟踪记录都必须保存三个月、离线保存九个月，这pci checkfree意味着必须购买额外的在线存储设备另一处变动意味着必须checkfree checkfree在服务器前面设置应用防火墙得弄清楚如何来完成这项工作，又不导致任何应用系统出故障web sarama有些技术问题会更早得到解决譬如说，的在设法弄清楚如何应对该标准在服务器是否要安装反病毒软件的paypal cisomichaelbarrett规定，如果你在运行服务器，那么需要对反病毒控制；如果你在运行unix服务器，那么这种需要不大适用说隶属旗下，年“pci windows处理的网上支付金额高达亿美元标准其实没有规定，如果你在运行服unix”barrett paypalebay2006务器，用不着符合这项要求你需要与审查人员谈论这是不是够安全我预计会378“unix在今后一年左右内日趋成熟，那样这样的讨论就会变得更加平常pci和都提到得到一个信用卡协议认可的审计并不总是能够得”到其他协会的认可说这是同一项标准，但不是说你符合了标准，barrett kirkwoodpci就符合了所有信用卡组织的要求我认为，这是我们将来的出路，我们现在离这条出kirkwood“pci路还很远是最好的安全支付标准吗”当然，政府干预的效果不比标准好，这有许多原因联邦机构的和们抱怨，的《联邦信息安全管理法案》结果成了官僚文件、而不是提高安全的一种摆pci ciociso设联邦法案真正促使人们广泛致力于促进信息安全控制的一部分是《塞班斯－奥2002克斯利法案》中的第条款而美国企业界公开反对，认为不值得为此投入上百万美元经济因素始终是问题所在倒不是遵守标准费用太高，准确地说，是这笔钱404不值得去花信用卡协会如今面临两方面的挑战一是证明标准本身的价值；二是制订一套激励体系，要是标准本身起不到足够作用，这套体系可以最后帮助组织一把遵守标准pci的一次性奖励可能数额太小的万美元奖金可能分给多达家商业银行，然后这些银行自行决定要不要把这笔奖金让利给成千上万的商业顾客就连罚visa200033款的金额可能也不够大譬如，在年和年分别开出了万美元和万美元的罚单但这些受罚组织要是遵守标准要花更大的费用visa20052006340的说这好比是你不保车险也可以开车，但要是出了问460题，麻烦就大了我认为，许多商家在接受这个风险，希望自己实施的控制措施能够chiefsecurityofficers rowe“防止安全事件，即使它可能没有遵守标准令人鼓舞的是，宣布将开始遵守标准，回报是部分减少向采用信用卡支付”的商家收取的交换费这更像是一种反向处罚，而不是新的奖励目前有资格获得减visa pci免费的商家要是没有遵守，可能享受不到这种优惠的说，那些最大的商家势必每年会损失上百万美元这种奖励非常诱人pci visaperez首席安全官（他们实际上是风险经理）以务实的眼光来分析所有这些变化“”说要是我被罚款万，却做成了亿美元的生意，那没什么不好，这成了业务kirkwood“

5001.5经营费用不过，更大的激励因素是交换费这影响了每笔交易的利润，而这带来的影响比其他任何因素来得都大”“自宣布变动以来，发现遵守标准的比率有所上升在每年处理多万笔”交易的一级商家当中，遵守标准的比率从年月的上升到了年visa600visa月的在每年处理万笔到万笔交易的二级商家当中，针对二级20061236%20071商家的要求在年月生效以后，遵守标准的比率从渐渐增到了40%100600visa不过在同一时期，要求监控部门采取措施的比率升得更快安全事件披露后不2006715%16%久，众议院金融服务委员会主席就进行了严厉指责，称这起事件进一tjx步证明国会需要干预这位马萨诸塞州的民主党议员声明中说发生安全事件的那barneyfrank“些组织必须给找出来，它们要承担相应责任具体来说，这意味着零售商或者批发商”“必须承担责任，而现在的通行做法恰恰相反其实谁也不需要更多的监管法规，大家只想制止安全泄密事件是雪佛龙”公司的全球信息保护设计师，他说，从理论上来说，私营企业实行自我监管来得比较jaywhite容易标准正是美国企业界证明能自我监管的大好机会问题是，多久过后才能证明它根本无法自我监管呢（清水编译自《在线》）pcicso。