PCI标准长期被吹捧为私营部门的最佳尝试,以规范数据安全性,越来越多地显示在接缝处分开的迹象。
周三代表的听证会,联邦立法者和零售业的代表挑战了PCI规则的有效性,这是正式所知的支付卡行业数据安全标准(PCI DSS)。他们声称是由主要信用卡公司创建的标准,用于接受信贷和借记卡交易的所有组织,过于复杂,并且迄今为止已经停止付款卡数据盗窃和欺诈。
由房屋委员会委员会小组委员会举行的听证会,也强调了长期的苦涩鸿沟在一方面的零售商和银行和信用卡公司之间的作用,后者组织应该在保护卡数据方面发挥作用。
在迄今为止的PCI DSS的谴责之一,授予听证会的小组委员会的主席Yvette Clarke(D-N.Y。)表示,该标准本身不足以保护持卡人数据。克拉克说,PCI规则不是“毫无价值”。但是,她补充说:“我确实想要消除一次神话,并且所有这些都是PCI合规性足以让公司保证安全。它不是,信用卡公司承认这一点。”
根据Clarke的说法,PCI的大部分限制与标准要求的静态性质有关,克拉克表示,该规则在处理高度方面无效动态安全威胁现在零售商和其他商人脸。
例如,她指出去年初披露的数据泄露Hannaford Bros. Co.据说攻击者偷了卡号和到期日期在服务器上安装恶意软件在每个斯卡伯勒,基于缅因杂交的杂货链的商店和捕获数据作为卡的数据被播放在现金寄存器上。
2008年2月,汉联官员被第三方评估员认证为PCI标准,只有一天才被告知该公司的系统入侵,该侵犯了两个月早些时候开始。这意味着杂货商收到了PCI认证“虽然在其网络中的非法入侵正在进行中,”克拉克说。
同样,RBS WorldPay Inc.和Heartland Idance Systems Inc.在违反12月和1月份违反的违反PCI标准之前,符合PCI标准。Visa Inc.丢弃的心地和rbs worldpay从它上个月的其符合PCI的服务提供商列表,并要求他们重新认证,尽管商家可以继续做生意与两家公司在此期间。
Clarke还抨击了信用卡公司和卡片发行银行,继续使用她所谓的“20世纪 - 时代”支付系统。她呼吁他们投资需要远离磁条和签名交易,以解决欧洲和亚洲的那种方法,例如所谓的芯片销钉技巧。
“底线,”克拉克说,“如果我们关心恐怖分子的手和有组织罪犯的手掌,我们必须做更多,我们现在必须这样做。”
一个独立的理事机构PCI安全标准理事会LLC如果来自信用卡公司,银行和商家的代表,设立了2006年管理PCI DSS。
但迈克尔·琼斯,CIO arts和Crafts零售商迈克尔斯店公司和周二听证会上作证的人之一表示,PCI规则似乎已经开发出更多的“从卡公司的角度来看,而不是来自卡公司的角度那些预期跟随他们的人。“因此,他争辩,要求并不总是关于更好的保护数据,但是关于卡公司及其金融机构合作伙伴最适合的东西。
琼斯指出,当发生违规时,它始终是受影响的商家,以说唱和承担财务成本。“我们是媒体中的那些,我们是那些被妖魔化的人,”他说。但是,他补充说,银行要求零售商在其系统上存储卡数据,即使许多人都不愿意。
“作为零售CIO,我想什么比在我们的系统网络中的任何地方都没有更好地存储单一信用卡号,”琼斯说。但是,如果有争议的交易,则必须保留数据,其中一家银行可能会要求零售商证明实际发生的购买。据琼斯表示,如果行业切换到分配给每次交易的唯一标识符的模型,据琼斯表示,无法提供此类证据的零售商必须承担有争议的交易的成本。
加入PCI Bashing是国家零售联合会的Cio David Hogan,他声称PCI不仅仅是将银行和卡公司资产负债表和零售商的资产负债表的金融风险转移的工具。Hogan抨击卡公司,用于迫使零售商废除现有的安全计划,并将数十亿美元花费总体上花费数十亿美元来实施他所争辩的标准,以便提高数据安全性。
呼应琼斯的评论,Hogan说,关于目前情况的讽刺是讽刺意见的是,零售商正在被迫存储卡数据 - 使它们成为攻击者的有吸引力的目标。“如果目标是使信用卡数据更脆弱,则最终解决方案是停止要求商家首先存储卡数据,”他说。
PCI委员会总经理Bob Russo揭示了担忧,并坚持安全规则是基于各种利益攸关方的共识和投入的基础。russo.捍卫PCI DSS的有效性并说在正确实施时,标准可用于保护数据泄露。他还重复了以前的争论,在组织被突破的各种情况下,它被发现不符合PCI DSS在违规时。
Russo添加了评估员的验证代表了公司安全状态的“一个快照”。“有效的合规是一个全长的功能电影,组织在那部电影的每一帧中符合,”他说。
宣传类似情绪是约瑟夫马卡,欺诈控制和签证调查。Majka Refured Clarke声称PCI要求是静态的,并表示定期评论和标准的更新意味着要确保规则与当前的威胁保持一致。他还认为,虽然趋势一直专注于数据妥协,但该标准有助于减少符合其的公司的违规和欺诈。
此外,Majka坚持认为,签证不需要零售商将卡数据存储在其系统上,并表示,如果他们希望采用这种方法,他们可以使用独特的交易标识符的卡片发行银行。他指出努力让零售商从他们的系统中吹扫磁条和引脚数据作为正在进行的工作的示例,以减少保留的持卡人数据量。
昨天的听证会肯定会增加对PCI规则的有效性的日益增长的疑问。最初,PCI DSS被视为私营部门如何对安全事项负责任地规范本身的闪亮示例。但是一个看似永无止境的数据泄露流已经采取了一些亮光的标准。
听证会的关键外卖是,在核心安全技术安全知识分子安全意识副总裁兼安全软件供应商中,Tom Kellerman表示,这项时间可能已经“信用卡行业的一些真正的监督”。波士顿。“我们看到PCI以一种从未成功的方式挑战,”他说。
Kellerman是一个签发一套思想坦克委员会的成员网络安全建议对于12月的联邦政府来说,补充说,安全标准应基于实际威胁,而不是旨在旨在安抚所有利益攸关方的共识方法。他说,信用卡公司需要意识到仅仅转移到商家与保护数据相关的风险和责任不会再削减。
这个故事,“PCI安全标准在众议院听证会上被剥夺”最初发布Computerworld. 。