在违规后,Visa将处理机构从合规名单中删除

《计算机世界》 |

Visa公司上周去除突破付款处理器哈特兰支付系统公司以及苏格兰皇家银行WorldPay Inc.,从其合规公司名单中删除PCI数据安全规则。但分析人士表示,此举可能更多是为了保护Visa本身,而非保护支付卡数据。

在上周五发布的一份简短声明中,Visa表示将把Heartland和RBS WorldPay从符合pci的服务提供商名单中移除(下载)在应对近期数据泄露每家公司披露。退市两种付款处理器的决定是基于“损害事件的调查结果,”维萨说没有详细说明。该公司还表示将“考虑”的兼容列表华伦和RBS WorldPay的复出,但它们是由第三方评估重新认证之后。

同时,新闻聚合网站发布的报道BankInfoSecurity.com一些关注支付卡行业博客的博客还援引了Visa高管3月12日给银行的一封信,信中称Heartland目前处于“试用期”,在此期间,它必须满足比以往更严格的安全要求。根据BankInfoSecurity.com的消息,RBS WorldPay也被试用,尽管支付处理机构否认Visa已经通知了他们任何此类行动。

Gartner Inc.分析师阿维亚?利坦(Avivah Litan)说,严格地说,Visa的行为意味着,如果商家自己想继续遵守PCI规则(正式名称为the),就不能使用Heartland或RBS WorldPay来处理支付业务支付卡行业数据安全标准(PCI DSS)。

不过,利坦说,Visa对这两家支付公司的制裁不太可能被以这种限制性的方式解释。哈特兰和苏格兰皇家银行WorldPay是美国最大的支付处理公司之一,它们拥有数十万客户。Litan和其他分析师认为,指望依赖这两家公司的商户转向其他支付处理供应商是不现实的,至少在短期内是这样。

相反,制裁出现主要设计取签证出来的画面中,可能随之而来的银行和信用社试图收回由华伦和RBS WorldPay的违约相关费用的任何法律纠纷,Litan表示。

根据Visa的安全规则,她指出,一个违反实体能够避免罚款,如果它可以证明它是完全符合PCI DSS要求前,当时的违约发生时。无论华伦和RBS WorldPay的先前宣称,他们已被评估为完全符合PCI标准之前,他们各自的漏洞。签证现在似乎试图使的情况下,无论是公司为标准 - 即利坦认为旨在防止他们使用PCI作为对屏蔽体中的战术银行正在提起诉讼

“这是通过签证的所有法律操纵,”利坦说。“这是PCI执法和往常一样:他们正在做的规则了,因为他们去。”

大卫·泰勒,创始人PCI知识库,一个网站,在PCI-相关问题提供建议,说他不知道到底意味着什么由签证被留作观察付款处理器。但他补充说,他看到了退市和报告的实用文学作为维萨试图表明银行和公众,它的做一些惩罚华伦和RBS WorldPay的为他们的违规行为。

“(Visa)的情况很困难,”泰勒说。“以下是两家规模较大的支付提供商在相对较短的时间内违约的情况。Visa希望让人们知道,他们是认真对待安全问题的。”与此同时,信用卡公司似乎急于避免任何有关信用卡的讨论PCI标准的有效性, 他加了。

泰勒同意利坦的观点,即Visa将Heartland和RBS WorldPay从其pci兼容业务中剔除的举动,对与支付处理商做生意的商家几乎没有实际影响。他说:“不能因为它们不在Visa的名单上,就使商家与这两家加工商签订的合同失效。”“这一切都是为了保护签证。”

RBS WorldPay的,苏格兰皇家银行的总部位于亚特兰大的分工,在十二月透露,约150万持有人的预付工资和礼品卡的个人资料有系统入侵时遭骇客入侵,(下载)。新泽西州普林斯顿的华伦报告类似违规行为1月;该公司每月处理超过1亿笔交易,但尚未透露有多少卡号在入侵中被泄露。

有先例可以对已被违反的支付处理程序采取严厉行动。当CardSystems Solutions公司2005年,就在第一个版本的PCI标准发布几个月后,维萨和美国运通公司遭遇了一次数据泄露,大约4000万张支付卡遭到破坏。停止做生意与CardSystems。它后来被出售给因为停业有另一家公司。

但在柏林布鲁克,伊利诺伊州一个独立的PCI分析师Jim Huguelet,说,Visa的华伦反对和RBS WorldPay的相对温和的制裁措施是可以理解的,在“利益争夺”,信用卡公司在这种情况下考虑。“最终,卡处理器是签证和其他支付品牌的商业伙伴 - 这很难征收显著制裁的最大的业务合作伙伴,”他说。

在回应有关制裁的置评请求时,哈特兰公司在电子邮件中表示,它正在“与Visa和其他信用卡品牌充分合作”,以确保支付处理环境的安全。声明中没有提及哈特兰公司被从符合Visa pci的名单中删除,也没有提到被报告的缓刑。但Heartland公司表示,它正在接受2009年PCI评估,并希望“不迟于2009年5月”获得完全符合安全规则的认证。

还通过e-mail,RBS WorldPay的承认,它已经从兼容PCI-列表中删除,并表示,签证已要求它来获取,因为违反合规的新的认证。付费处理器,这是去年六月认证为符合PCI规则表示,其目标是在四月底重新进行认证。

“有,将有负面改变[去年6月]认证无重大制度变迁,我们已经在事实上提高了我们在此期间系统的安全性,” RBS WorldPay的说。“但是,因为犯罪的侵扰,我们需要将早于正常的作息时间重新认证。”

与此同时,Visa拒绝就两家公司退市的影响发表评论,包括商户是否需要与新的支付处理公司签约以保持与pci的兼容。

这篇文章,“Visa将处理程序从合规名单上删除”最初是由《计算机世界》

加入网络世界社区有个足球雷竞技appFacebook的LinkedIn对那些顶级心态的话题发表评论。
相关:

Jaikumar Vijayan是一名专业从事计算机安全和隐私话题的自由撰稿人。

©2009Raybet2

工资调查:结果在