经济衰退 PCI DSS标准深陷困境

    由于经济衰退和资金短缺，合规预算不够，商家们联名向PCI安全标准委员会总经理写信寻求帮助，他们表示经济衰退让商家很难满足支付卡行业的数据安全标准(PCI DSS)的要求。

　　【IT专家网独家】近日，面对商家的联名上书，PCI安全标准委员会总经理Russo在接受记者采访时，表示他理解商家们的难处，对于将于2010年9月份发布的新版本标准，每个人都可以为如何设立标准提出建议。

　　在这封信中，美国便利商店协会、美国零售商联合会、美国餐馆协会、美国酒店和住宿协会、美国连锁餐厅委员会、商家咨询小组以及国际特许经营协会的领导人列举除了商家所面临的困难：

　　“我们的大多数成员都很认真对待数据安全性问题，已经花费了10亿美元的资金在PCI DSS合规项目上，以作为他们安全计划的一部分。然而，在目前这种经济局势下，我们的商家越来越难从成本有效性以及及时性角度来符合PCI标准的要求。”

　　为了在不破坏保护持卡人数据的安全需求前提下来减轻商家们的压力，这些组织向PCI标准委员会提出了以下建议：

　　1.在正式发布新版PCI DSS标准前，应该在标准相关成员的参与下，添加正式审查和评论阶段，这样做将能够保证新版标准的有效性并能够提高商家对有效部署修订版标准的理解和执行能力。我们建议PCI SSC为在开放环境中编写的标准采用类似的方式，正如Accredited Standards Committee X9 (ASC X9)使用的一样。ASC X9也保持数据安全标准，我们建议PCI SSC能够与他们合作以建立能够被所有人使用的统一标准。

　　2. 确保发布修订版PCI DSS以及有效执行所需要的时间适合所有的商家，包括需要进行企业范围内更改的一级商家，以及没有足够资源可以遵守合规的小本经营商家等。这样做将使商家最有效的评估和部署必要的行动以满足修订版标准的需要。同时，我们要求PCI DSS 1.1版的终止日期推迟到2009年12月31日。

　　3. 参照并采用ASC X9所宣布的计划来开发保护持卡人数据的新标准(可能将涵盖端到端数据加密)。通过利用对信用卡交易的端到端加密技术，支付行业将能够对消费者、企业和全球电子支付系统提供广泛的统一的保护。

　　4. 利用关键控制和控制合理化的概念来重新制定有超过200条详细要求的PCI DSS，这些概念与美国政府对公开上市公司颁布的部分SOX法案类似。这样将减少企业的报告和维护负担，确保他们将重点放在关键控制上，以降低特殊商业模式的整体风险。

　　5. 要求信用卡公司及其银行为商家提供这样的选择，只需要保留销售时提供的授权代码以及截断收据，而不是要求商家保存信用卡信息以解决纠纷问题，这样给客户带来不必要的风险。

　　考虑到经济危机对众多商家带来的合规困难，Russo表示，由于经济衰退的“副产品”---网络犯罪的不断上升，很多商家都强烈要求PCI标准要求的改进。他表示，商家不必过于担心，PCI标准委员会正在努力研究如何对PCI进行最好的改进。

　　“我们的目标并不是让大家因为合规而背负重担，”Russo表示，“事实上，商家们反馈回来的信息正是我们所期望的，很多标准都已经在发挥作用。”

　　他补充说，在今后几个月内，商家们将有足够的时间来迎接下一版本的PCI DSS，PCI标准委员会正在收集大家的反馈意见，并将计划进行一系列的组织会议和讲习班来集思广益。

　　“组织会议是最有效的，来自全球各地的合作伙伴的利益关系者都齐聚一堂来共同讨论PCI标准以实现更加安全的支付环境，”他表示，“为了让PCI在保护持卡人数据安全方面继续发挥重要作用，我们必须继续征求世界各地商家的意见听取他们的声音。”