信用卡数据安全标准并不保证安全 - 彭博社

摄影：Craig Warga/Bloomberg当一家大型零售商被黑客攻击时，它通常会迅速指出它已遵守信用卡行业设定的网络安全规则。万事达卡、维萨卡和其他卡公司要求零售商通过支付卡行业（PCI）安全标准委员会的审计，这是一个行业组织。

事实证明，PCI的认证并不总能提供对欺诈的有效保护。尼曼·马库斯在一月份表示，客户卡可能在七月至十月期间被泄露时指出它已符合PCI标准。塔吉特在十一月遭遇了创纪录的黑客攻击，而它在两个月前已被认证为合规。杂货连锁店汉纳福德兄弟和支付处理公司WorldPay及哈特兰支付系统也在获得PCI评估员的通过评分后不久遭到黑客攻击，评估员根据六大主要安全措施组对公司进行评估，这些措施又细分为防火墙和杀毒软件等小项。

所有这些都引发了一个问题：PCI的标准是否存在问题？根据行业出版物尼尔森报告的最新数据，零售商和银行在2012年因全球卡欺诈承担了超过110亿美元的损失，比前一年增加了15%。几乎一半的卡欺诈发生在美国，尽管该国仅占全球卡消费的四分之一。这部分是因为对PCI规则的执法不严，以及评估员缺乏问责制，大多数评估员来自数百家获批准的咨询公司，Gartner的网络安全分析师Avivah Litan表示。“他们没有责任，”她说，并将其与2008年金融危机前的信用评级机构进行比较。

维萨，万事达卡，美国运通，发现卡，以及 JCB 国际于 2006 年成立了 PCI 安全委员会，以防止对他们控制的零售支付系统的政府监管。这些系统处理美国 100 万家商户每年 5 万亿美元的交易。大约有 1,800 名独立的兼职或全职审计员，获得认证以审查 PCI 合规性。虽然密集的审计费用高达数万美元，并且持续数月（塔吉特发言人莫莉·斯奈德表示，该公司的年度审查需要九个月），但一些评估员对简单的审计收取几百美元，通常在一个下午完成。审计员可以通过课程在一个周末获得认证，直到 2010 年，这些课程以开卷考试结束。小型零售商自行评估。

大型零售商因违反 PCI 指南可能面临每月 25,000 美元的罚款。但没有任何措施可以阻止公司迅速撤销他们为取悦检查员而对系统所做的更改，Sysnet Global Solutions 的战略执行副总裁布兰登·威廉姆斯表示，该公司与银行合作进行商户合规性工作。

“人们不应该认为审计是一种保险政策，”维萨的首席法律官和首席企业风险官艾伦·里奇说。“这需要每年每天的努力。”她表示，在重大泄露事件之前被认为符合 PCI 标准的公司，后来在攻击发生时被发现不合规。PCI 安全标准委员会总经理鲍勃·鲁索表示，“我们并没有听说所有通过实施 PCI 标准的安全措施而防止的攻击。”

美国在采用更强的安全措施方面落后于其他国家，例如在卡片中使用身份验证芯片、销售点数据加密以及在线替代卡号的二级身份证号码。Richey表示，她的行业正在努力在未来几年内整合这些技术。她补充说，PCI标准已经减少了零售商存储的敏感数据量。

当前的PCI标准为支付系统中的每一方提供了一种可信的方式来转移对数据泄露的责任，在线安全公司WhiteHat Security的创始人Jeremiah Grossman表示。“基本上，你有委员会指责受害者，受害者指责标准，而持卡人则被夹在中间，”他说。“没有任何改变，因为系统中的激励机制已经破裂。”

更安全的卡片技巧

端到端加密 优点：在销售点终端进行编码，从数据进入零售系统的那一刻起就能更安全 缺点：在线购买没有等效方案

芯片和签名 优点：带有芯片的卡提供了第二层验证 缺点：需要升级或更换传统的美国磁条系统

动态身份验证 优点：卡上的一个按钮可以在每次购买时重置其磁条数据，使存储数据变得无用 缺点：可能会减慢交易速度

令牌化 优点：卡片为在线购买生成的临时代码减少了卡号发送到网站的频率 缺点：尚无通用技术标准