Visa Inc.的最高风险管理主管周四驳回了她所说的“最近的隆隆声”,即有关灭亡的可能灭亡PCI数据安全规则作为长期努力的“早产”和“危险”,以确保信用卡和借记卡数据是安全的。
信用卡公司首席企业风险官艾伦·里奇(Ellen Richey)在Visa在华盛顿举行的全球安全峰会上发表讲话。数据泄露在两个付款处理器上,支付卡行业数据安全标准(PCI DSS)“正确实施后仍然是一种有效的安全工具。”
里奇补充说,诸如在Heartland Payment Systems Inc.苏格兰皇家保护区WorldPay Inc.正在塑造公众舆论,并掩盖了过去一年在安全方面的“实质性进步”。
里奇说:“我敢肯定,这个房间里的每个人都已经读到了头条新闻,质疑今天的这种大规模事件如何发生。”心脏地带漏洞。Richey说:“事实是,它永远不应该拥有” - 确实,如果Heartland对维持其PCI合规性保持警惕。她继续说:“正如我们之前所说的那样,尚未发现违反的实体在违规时符合PCI DSS。”
指出上周签证的决定删除两个违反付款处理器里奇(Richey)从其符合PCI的服务提供商名单中说,Heartland将面临与仍在违规行为相称的罚款和试用条款。她谈到PCI规则时说:“尽管这种情况是不幸的,但这并不能使我质疑我们可以使用的工具。”
里奇(Richey)对PCI DSS的辩护和对Heartland的批评是随着信用卡公司寻求执行该标准的领导者的签证本身对其执法行动面临一些批评。
例如,一些分析师对Visa对Heartland强加的所谓试用期持批评态度,称该指定(要求付款处理器比平常达到更严格的安全要求)似乎仅仅是为了响应心脏地带状况。有些人还认为,当违规行为作为信用卡公司试图合法保护自己并防止付款处理器以PCI为防护措施时违反诉讼由银行和信用合作社提交。
此外,关于始终保持完全符合PCI的完全符合PCI的究竟是什么问题。审计的创始人戴维·泰勒(David Taylor)说:“如果那是不合规的人,很容易成为审计的主要目标。”PCI知识库,一个网站,提供有关PCI相关问题的建议。
在本周早些时候的一次采访中,泰勒(Taylor)说,签证从其符合PCI的列表中删除Heartland和RBS WorldPay,泰勒说,如果他们真的愿意,审计师一定会发现问题。他说:“很容易进入说,'您没有这个补丁,或者您没有集中原木。'
在Richey在今天的Visa Summit演讲之后的小组讨论中,第五第三Bancorp的Merchant PCI合规副总裁兼经理Dan Roeber说,PCI标准中有“许多活动部件” - 有时可以使这种情况变得符合他补充说,根据规则的挑战。
罗伯(Roeber)呼吁签证和其他信用卡公司根据他们在自己的环境中面临的特定风险,使商人更加灵活地实施安全控制。他还说,负责管理PCI DSS的组织PCI安全标准委员会有限责任公司“需要做一份更周到的工作”,并“将尽可能多的风险语言掌握在规则中”试图弄清为什么他们需要实施某些控件。
总部位于新泽西州普林斯顿州的Heartland坚持认为,其遵守PCI标准的遵守情况是由审计师去年4月的2008年4月验证的,仅在违反公司系统开始的大约一个月才开始。同样,总部位于亚特兰大的RBS WorldPay被证明符合去年6月的PCI规则。实际上,该公司补充说,它“增强了我们系统的安全性”。
这个故事,“签证:对PCI标准放错位置的爆发后批评”最初由计算机世界 。