2023年完全信息动态博弈标准式ＰＣＩ安全标准商家与政府的博弈.docx

完全信息动态博弈标准式[ＰＣＩ平安标准：商家与政府的博弈] 美国折扣零售巨头tjx公司的4570万张信用卡和借记卡资料遭黑客窃取，成为美国迄今最严重的一次金融信息平安事件，于是，用于信用卡平安支付标准的pci平安标准再次受到关注。 政府和企业碰撞剧烈 pci不仅仅是一项数据平安标准，它更是迄今为止美国企业界证明能自我监管的最宏伟的一项方案。但即使这项标准万事俱备，可能也缺乏以制止信用卡的数据失窃。 2023年12月中旬，就在visa信用卡公司宣布实行2022万美元的奖励，试图催促商家遵守信用卡行业的这项数据平安标准时，tjx公司的一名参谋发现了这项标准本应防止的平安事件：tjmaxx、marshalls及tjx的商店交易记录遭到了泄密，甚至被攻击者“去除〞。至于具体是哪些记录、何时被何人动了手脚，这家年收入达160亿美元的零售商尚不能确定，不过华尔街日报后来估计受影响的信用卡数量超过了4000万张。 与此同时，visa在旧金山发表了一份声明。从技术上来说，如果visa的商家未遵守支付卡行业数据平安标准，visa就会禁止商家接受visa信用卡――这无异于宣判了商家的死刑。不过尽管截止时间一再变化，但visa的大商家中仍然只有36%遵守相关规那么。于是从今年4月开始，visa规定，如果银行的零售客户遵守标准，并且没有发生平安事件，就有资格获得高达2022万美元的奖金。 对于visa，这项标准切实可行，但前提是商家愿意采用。visa公司负责支付系统风险的副总裁eduardoperez曾对cso杂志说：“迄今为止，我们还没有看到遵守pci标准的哪家公司发生过平安事件。〞虽然他不愿就tjx事件发表评论，不过他继续说：“在我们处理的每个案例中，发生平安事件的公司都没有遵守pci标准。〞 不过在批评人士看来，tjx平安事件完全证明了另一点。gartner的副总裁兼调研主任avivahlitan说：“这个例子很好地说明了pci方案并不可行。这个措施是很好，也有助于信用卡公司的平安，但期望500万个零售商个个成为平安专家是不合实际的。〞 实际上，tjx平安事件与其说是一个例子，还不如说是一次检验。美国企业界长期坚持认为：解决信息平安难题的关键是自我监管，而不是政府干预。他们声称，政府法规往往制定不力，难以实施，到头来成了费用高得离谱的官僚文件。行业部门一直在试图制定自愿的指导准那么，或者是业务合作伙伴采用的指导准那么，实现自我监管。 pci方案是迄今规模最大、野心最大的一次努力。去年秋天，美国运通、万事达卡、visa及其他极具竞争力的对手们聚在一起，筹资设立了独立的pci平安标准委员会，信用卡协会希望传达一个清楚的信息：他们在着手处理这个问题。 可是单单这就够了吗。 长期担任首席信息平安官（ciso）的johnkirkwood坦率地说：“pci标准存在的原因是为 了防止国会的立法。〞kirkwood对pci并不陌生，他以前是美国运通公司的ciso，现在是年产值520亿美元的荷兰杂货连锁集团royalahold的全球信息平安官，他必须确保stopshop等集团的子公司遵守pci标准。 kirkwood指出。“信用卡公司称没必要为我们立法，我们会监管自己。tjx事件后会出现什么事情，这非常值得关注。另一部金融效劳现代化法案或者另一部萨班斯－奥克斯利法案可能会出台。〞确实，tjx事件披露后不久，立法者开始强调这起事件并指出国会必须采取措施。 这一切意味着现在到了政府法规和行业自我监管进行摊牌的时候。接受、处理及从事信用卡交易的公司将不得不说服立法者（更不用说要说服群众）：pci方案有望阻止数据泄密事件的发生。要是他们说服不了，那么产生的影响绝不仅仅涉及支付卡行业，因为pci标准将淹没于历史长河，变成对私营行业自我监管能力的一次碰撞试验而已。 鞭策业务伙伴执行 pci标准的根源可以追溯到2022年夏天，当时visa公布了“digitaldozen〞规那么：要求安装防火墙、对数据进行加密和限制对持卡人信息的访问等等，商家必须遵守这些规那么才能使用信用卡和借记卡。visa的一名主管在2022年曾告诉cio杂志的记者：“要是我们从独立第三方拿不到证据说明你符合我们的要求，我们就不能让你使用信用卡。〞 显而易见，visa当时用一根特别尖的棍子在戳业务合作伙伴――由于它的信用卡在全世界众多地方被采用，一群特别广泛的业务合作伙伴可能会受到影响。美国运通、discover和万事达卡等商家很快也挥动类似的棍子，催促各自的业务合作伙伴。较之于联邦政府执行健康保健可携性及责任性法案（hipaa）纯属徒劳的尝试，信用卡公司让人看到了成功的希望。它们财力雄厚，有商业影响力。前联邦检察官markrasch先生，如今是一名计算机的平安参谋，他说：“最终，许多公司遵守pci标准的原因是，visa和万事达卡有能力断掉他们的财路。如果对方告诉你明天你没法使用信用卡，你就没生意了。〞 至于说目前商家犹犹豫豫的态度，并缺乏为怪。随着各个信用卡协会制订的标准逐步成形，商家们抱怨的主要有两方面：一是标准过多；二是它们对标准的制订缺少足够的参与。 行业协会商家风险理事会的创办人之一、理事会成员juliefergerson解释：“商家必须通过每个信用卡品牌的认证。四大品牌都提出了各自的不同产品，未必彼此可以通用。〞 为了解决这些问题，在visa制订了digitaldozen五年多后，与之竞争的信用卡公司联合起来，成立了一个组织。pci平安标准委员会在去年9月成立，这是美国运通、discover、jcb、万事达卡和visa国际等公司之间达成的一项联合协议。每家公司都拿出局部资金，共同推行一套平安标准――这就是pci数据平安标准，它有12项主要准那么，包括安装防火墙、加密数据、限制对持卡人信息的访问等方面。 委员会成立后，所有提议及规那么手册的变动都通过该组织提交上去。此外，委员会还负责确定哪些审计人员有资格执行pci评估、哪些厂商有资格对企业根底设施中存在的平安漏洞和不当配置进行检查。女主席seanapitt指出，委员会的资金将不是来自信用卡协会，而是来自培训费和认证费。 pitt还是美国运通公司的副总裁，她说。“我们现在已逐渐成为卓越的中心，谁要是在解释标准或者提议改进方面有问题，都会来找我们；而过去，他们会去找相应的信用卡公司。〞 与此同时，棍子仍在各个信用卡协会手里。这是因为标准委员会本身没有执行能力。实际上，被问到当前的法规遵守状况时，pitt成认委员会没有可供参照比较的数字，成员们只是根据信用卡公司和成员的反响来评估成功与否。“其实我们感到满意的方面是推动了教育和法规遵守，或者说起到了积极主动的作用。〞 需克服的技术难题 万豪国际酒店集团的chriszoladz属于竭力遵守pci标准的一员，他是万豪国际酒店负责信息保护及隐私的副总裁。在过去的几年里，这家年收入达120亿美元的酒店连锁集团一直在遵守这项标准，但“要做到全面遵守难度相当大〞zoladz说。 加密是第一个难题。虽然万豪长期以来对传输中的数据进行加密，但pci标准还要求对静态数据加密，但万豪一直没有这么做，它采取了其他保护措施。信用卡数据最初保存在中央预订系统中，但随后传送到客户预订了房间的每家酒店的财产管理系统。难题就在于对保存到两个地方的数据进行加密，又要让这些系统能够彼此互通。 另一个难题是需要双因素验证。pci标准规定，用户名和密码缺乏以对远程访问含有借记卡或信用卡信息的任何系统的员工、管理员或者第三方的身份进行验证。商家必须设定第二个因素用于验证，例如令牌或者生物特征。对于像万豪这样员工数量众多、分布在各地的公司而言，这绝非易事。 但zoladz并不抱怨。他说。“我认为这项标准相当可靠。我看了标准的每项要求后，发现其中许多要求与iso17799标准或者有关信息平安最正确实践的众多文章中的要求相一致。〞 checkfree公司的副总裁兼首席平安官edsarama也在为他公司遵守pci标准而努力。sarama的公司年收入达8.8亿美元，为美国许多大银行提供支付处理效劳。 sarama说，他现在面临的主要难题是，这项标准在不断变化。譬如说，去年秋天，pci平安标准委员会对数据保存要求做一些变动，这影响了checkfree。现在，所有访问持卡人数据和网络资源的审计跟踪记录都必须保存三个月、离线保存九个月，这意味着checkfree必须购置额外的在线存储设备。另一处变动意味着checkfree必须在web效劳器前面设置应用防火墙。sarama得弄清楚如何来完成这项工作，又不导致任何应用系统出故障。 有些技术问题会更早得到解决。譬如说，paypal的cisomichaelbarrett在设法弄清楚如何应对该标准在unix效劳器是否要安装反病毒软件的。 “pci规定，如果你在windows运行效劳器，那么需要对反病毒控制；如果你在运行unix效劳器，那么这种需要不大适用。〞barrett说。paypal隶属ebay旗下，2023年处理的网上支付金额高达378亿美元。“标准其实没有规定，如果你在运行unix效劳器，用不着符合这项要求。你需要与审查人员谈论这是不是够平安。我预计pci会在今后一年左右内日趋成熟，那样这样的讨论就会变得更加平常。〞 barrett和kirkwood都提到：得到一个信用卡协议认可的pci审计并不总是能够得到其他协会的认可。kirkwood说：“这是同一项标准，但不是说你符合了pci标准，就符合了所有信用卡组织的要求。我认为，这是我们将来的出路，我们现在离这条出路还很远。〞 是最好的平安支付标准吗。 当然，政府干预的效果不比pci标准好，这有许多原因。联邦机构的cio和ciso们抱怨，2022的联邦信息平安管理法案结果成了官僚文件、而不是提高平安的一种摆设。联邦法案真正促使人们广泛致力于促进信息平安控制的一局部是塞班斯－奥克斯利法案中的第404条款。而美国企业界公开反对，认为不值得为此投入上百万美元。经济因素始终是问题所在：倒不是遵守标准费用太高，准确地说，是这笔钱不值得去花。 信用卡协会如今面临两方面的挑战：一是证明pci标准本身的价值；二是制订一套鼓励体系，要是标准本身起不到足够作用，这套体系可以最后帮助组织一把。遵守标准的一次性奖励可能数额太小：visa的2022万美元奖金可能分给多达33家商业银行，然后这些银行自行决定要不要把这笔奖金让利给成千上万的商业顾客。就连罚款的金额可能也不够大。譬如，visa在2023年和2023年分别开出了340万美元和460万美元的罚单。但这些受罚组织要是遵守标准要花更大的费用。 chiefsecurityofficers的rowe说：“这好比是你不保车险也可以开车，但要是出了问题，麻烦就大了。我认为，许多商家在接受这个风险，希望自己实施的控制措施能够防止平安事件，即使它可能没有遵守标准。〞 令人鼓舞的是，visa宣布将开始遵守pci标准，回报是局部减少向采用信用卡支付的商家收取的交换费。这更像是一种反向处分，而不是新的奖励：目前有资格获得减免费的商家要是没有遵守pci，可能享受不到这种优惠。visa的perez说，那些最大的商家势必每年会损失上百万美元。“这种奖励非常诱人。〞 首席平安官（他们实际上是风险经理）以务实的眼光来分析所有这些变化。kirkwood说：“要是我被罚款500万，却做成了1.5亿美元的生意，那没什么不好，这成了业务经营费用。〞不过，更大的鼓励因素是交换费。“这影响了每笔交易