在最近的数据外泄的零售商Target,留下七名千万美国人的,并在他们的个人信息的风险,这个星期收到了一些对数据安全的听证会的国会的注意。这些听证会的参与者之一是支付委员会行业安全标准委员会(PCI SSC)总经理Bob Russo,该委员会负责监管零售商和支付系统的PCI数据安全标准(PCI DSS)。
Russo准备在星期三的众议院能源和商业委员会作证。2月5日,Russo的同行,PCI SSC首席技术官Troy Leach今天在参议院银行委员会作证。Russo告诉eWEEK,Leach和Russo过去都曾在国会作过关于支付安全性和PCI工作的证词。
Russo说,最近在新闻中出现的零售违规事件凸显了对多层安全性方法的需求,这是PCI DSS标准所承诺的。但他强调,仅靠技术并不是解决方案。已经有一些讨论认为,在信用卡上使用EMV芯片技术可以防止Target数据泄露,因为美国零售商在很大程度上仅支持基于磁条的卡。
Russo说:“安全与人员,流程和技术有关。” “我们认为PCI最适合驱动这一信息,并且我们有一个全球性机构在过去七年半的时间里一直在这样做。
多年来,PCI标准随着市场需求的发展而发展。Russo说,美国政府希望尽自己的一份力量来帮助防止将来发生零售违规行为,而政府提供帮助的最佳场所是将其资源用于执法和信息共享。
今天的美国政府没有直接参与PCI SSC,尽管Russo指出PCI委员会确实会与政府合作。
关于最近发生的一系列零售违规事件,Russo说,现在断言真正出了问题还为时过早。美国主要零售商通常都遵守PCI DSS,这可能导致人们猜测该标准可能缺少某些导致违规的内容。
“很难弄清到底是怎么回事,但是如果我们坚持认为这是某种形式的销售点恶意软件,那么当今的PCI标准中有很多东西可以防止恶意软件进入。”鲁索说。
一旦提供了有关Target漏洞的取证信息,了解恶意软件如何进入系统将是一个重要的难题。
Russo说:“标准告诉您,您需要在门上放一个锁,但是人为因素意味着您必须实际锁上门。”
Russo说,一旦恶意软件入侵,PCI标准就包含了对组织进行监视以了解正在发生的事情的规定。
总体而言,Russo强调,据他所知,PCI标准及其强调人员,流程和技术的方法足以限制零售支付系统的风险。
鲁索说:“我向国会传达的信息是,到目前为止,有很多'小鸡没落的天空',但是直到我们真正看到正在发生的事情之前,还没有办法下定决心。”
尽管当前的支付零售系统是一个非常复杂的环境,Russo总体上表示,他坚信PCI标准为安全性提供了真正可靠的基准。最终,Russo希望传达的信息是PCI合规性将成为“一切照旧”运营的一部分,而不是每年一次的合规性活动。该消息也是新PCI DSS 3.0标准的关键部分,该标准于1月1日生效。
尽管Russo相信PCI本身是安全性的坚实基础,但他仍渴望看到Target漏洞中出现了真正的详细法医信息。
“我的直觉是PCI标准中没有任何遗漏,但是如果标准中有遗漏,那么我们想知道,这就是为什么我们将敦促政府在信息共享和协作方面进行合作。执法”,Russo说。“让我们不要忘记谁是坏人;不是商人,也不是PCI;是世界某个地方的人侵入了系统并窃取了所有信息。”