無(wú)論是搞實(shí)體還是選擇在線業(yè)務(wù)，商家們都發(fā)現(xiàn)支付卡行業(yè)（簡(jiǎn)稱PCI）已經(jīng)成了他們不可或缺的商業(yè)伙伴，但由此帶來(lái)的信用卡數(shù)據(jù)保護(hù)工作卻充滿挑戰(zhàn)且令人困惑。

相信每位零售商都會(huì)有這樣的感受，自己需要了解如何保護(hù)來(lái)自在線交易的信用卡及其它客戶數(shù)據(jù)，因?yàn)檫@世界上有一大幫緊盯著這塊肥肉打算漁利的犯罪分子。零售商目前已經(jīng)成為第二大數(shù)據(jù)泄露受害者（僅次于酒店服務(wù)業(yè)），根據(jù)Verizon公司2012數(shù)據(jù)泄露調(diào)查報(bào)告，有20%的違規(guī)事件發(fā)生在零售行業(yè)。而且雖然在美國(guó)人口普查局公布的研究結(jié)果中，全美只有5%的公民擁有電子商務(wù)賬戶，但這一數(shù)字顯然正在穩(wěn)健地逐年遞增。

“現(xiàn)在這個(gè)世界充滿新鮮與誘惑，但在商家眼中卻又暗藏著無(wú)數(shù)殺機(jī)，因?yàn)閺奈覀儾饺肷虡I(yè)領(lǐng)域的第一天開始就已經(jīng)被惡意人士給盯上了，”支付業(yè)務(wù)企業(yè)Hearland支付系統(tǒng)公司首席安全官John South表示。

在這個(gè)危機(jī)四伏的網(wǎng)絡(luò)世界中生存的零售商大部分只是小型企業(yè)，而他們的安全漏洞也最為嚴(yán)重：幾乎95%的數(shù)據(jù)泄露事故發(fā)生在員工數(shù)量低于100人的小公司，Verizon報(bào)告指出。他們顯然不像大企業(yè)那樣養(yǎng)得起安全及風(fēng)險(xiǎn)管理團(tuán)隊(duì)。

“我們幾乎看不到什么大規(guī)模數(shù)據(jù)泄露事件，反倒是小型違規(guī)狀況時(shí)有發(fā)生，”PCI安全標(biāo)準(zhǔn)委員會(huì)總經(jīng)理Bob Russo告訴我們，該委員會(huì)是專門制定PCI數(shù)據(jù)安全標(biāo)準(zhǔn)（即PCI DSS）的政府主管部門。“這些標(biāo)準(zhǔn)對(duì)于擁有完善安全部門的大型企業(yè)而言非常適用，但我們正在想辦法讓小商家也能獲得可供實(shí)施的精簡(jiǎn)方案。”

在線零售商對(duì)于安全性的要求極高，這一點(diǎn)與傳統(tǒng)的實(shí)業(yè)型企業(yè)有所區(qū)別，因?yàn)榇蟛糠纸灰锥际且噪p方不碰面的刷卡形式完成的。由于客戶在網(wǎng)絡(luò)購(gòu)物過程中不需要使用真正的支付卡，因此整個(gè)付款流程要求商戶接受經(jīng)過審批的安全廠商的定期（每季度）網(wǎng)絡(luò)掃描。這類掃描的目的在于檢測(cè)安全漏洞與錯(cuò)誤配置。

許多在線零售商并不知道PCI的要求哪些安全機(jī)制、也不了解該如何打理這些機(jī)制。但即使如此，在保護(hù)客戶數(shù)據(jù)方面稍做改進(jìn)也能夠帶來(lái)極大的安全性提升。Verizon公司的調(diào)查報(bào)告發(fā)現(xiàn)，96%的網(wǎng)絡(luò)攻擊受害者并沒有嚴(yán)格遵循PCI管理規(guī)則，而且97%的數(shù)據(jù)泄露只要通過簡(jiǎn)單或中等強(qiáng)度的保護(hù)手段即可避免。

下面我為大家總結(jié)了十種方式，希望它們能幫助大家了解自己企業(yè)所需要的控制方案，以保護(hù)持卡人的利益免受分割、PCI規(guī)則得到確切執(zhí)行。

1.了解自己的基礎(chǔ)架構(gòu)

網(wǎng)絡(luò)商家最需要了解的內(nèi)容就是自己的在線交易系統(tǒng)與日常業(yè)務(wù)網(wǎng)絡(luò)的集成方式。大家可以嘗試親自訪問基礎(chǔ)架構(gòu)，了解哪些系統(tǒng)用于處理交易流程及持卡人數(shù)據(jù)。

網(wǎng)絡(luò)掃描及日志分析工具能夠幫助我們識(shí)別觸及支付卡數(shù)據(jù)的系統(tǒng)類別，安全管理服務(wù)供應(yīng)商Trustwave公司認(rèn)證安全評(píng)估師Greg Rosenberg指出。這些涉及敏感信息的系統(tǒng)必須嚴(yán)格遵循PCI DSS安全標(biāo)準(zhǔn)。

“其實(shí)很多系統(tǒng)在不知不覺中成為了攻擊活動(dòng)的跳板，通過檢測(cè)與定位我們發(fā)現(xiàn)了大量普通消費(fèi)者所不了解的安全漏洞，”Rosenberg表示。

他認(rèn)為讓一位經(jīng)過認(rèn)證的安全評(píng)估師參與測(cè)試非常必要。“我要尋找的并不是能幫自己快速通過審計(jì)工作的家伙，專家的職責(zé)在于幫商家了解潛在風(fēng)險(xiǎn)，”Rosenberg告訴我們。“別把PCI標(biāo)準(zhǔn)看成是麻煩的形式主義流程，認(rèn)真完成會(huì)顯著降低大家可能遭遇的安全風(fēng)險(xiǎn)。”#p#

2. 查找數(shù)據(jù)

企業(yè)保留支付卡數(shù)據(jù)一般出于三大原因：更好地掌握客戶服務(wù)需求、方便客戶重復(fù)使用信用卡以及處理退款事務(wù)，波尼蒙研究所在其2011年P(guān)CI DSS合規(guī)性趨勢(shì)研究報(bào)告中總結(jié)道。“目前絕大多數(shù)公司仍然在以信用卡號(hào)碼作為客戶的主要識(shí)別手段，”互聯(lián)網(wǎng)服務(wù)企業(yè)Akamai公司安全部門發(fā)言人Martin McKeay指出。

無(wú)論出于何種目的，一旦選擇保留客戶數(shù)據(jù)，企業(yè)就應(yīng)該對(duì)業(yè)務(wù)系統(tǒng)中的每一個(gè)運(yùn)行實(shí)例展開監(jiān)控，包括Web服務(wù)器、客戶服務(wù)應(yīng)用以及銷售人員的筆記本電腦。了解數(shù)據(jù)駐留在何處、誰(shuí)在對(duì)其進(jìn)行訪問以及訪問者是否擁有明確的訪問理由。

舉例來(lái)說，營(yíng)銷團(tuán)隊(duì)就可能希望保留這些信息，“因?yàn)樗麄兡軌蛟跁r(shí)機(jī)合適時(shí)向客戶發(fā)送優(yōu)惠券或其它促銷建議，”PCI SSC的Russo解釋道。“但如果大家確信自己并不需要這些數(shù)據(jù)，請(qǐng)盡快丟掉這塊燙手的山芋。”

疑難雜癥

2011年企業(yè)在處理PCI安全要求中的三大首要難題：

保護(hù)客戶數(shù)據(jù)（42%）

制定管理政策、確保信息安全（39%）

定期檢測(cè)系統(tǒng)及業(yè)務(wù)流程安全性（37%）

3.數(shù)據(jù)處理系統(tǒng)越少越好

任何一款需要訪問交易數(shù)據(jù)或支付卡數(shù)據(jù)的系統(tǒng)都要由PCI DSS來(lái)把關(guān)，而由此帶來(lái)的評(píng)估及檢測(cè)成本非常高昂。因此將網(wǎng)絡(luò)劃分成不同區(qū)塊，并將員工指派給與個(gè)人工作相關(guān)的網(wǎng)絡(luò)區(qū)域就顯得非常重要，這能夠有效控制訪問支付卡數(shù)據(jù)的員工及系統(tǒng)數(shù)量。一旦與敏感信息扯上關(guān)系，PCI安全需求也將接踵而至，因此削減涉入系統(tǒng)的數(shù)量能夠提高安全性、降低合規(guī)性成本。“回避交易流程能夠幫我們大幅降低基礎(chǔ)設(shè)施構(gòu)建難度，這類方案效果明顯、深受商家歡迎，”應(yīng)用程序安全企業(yè)Veracode公司副總裁Chris Eng表示。

要想實(shí)施此類方案，關(guān)鍵在于記錄交易流程的同時(shí)不能觸及信用卡號(hào)碼。“記錄是絕對(duì)必要的，記錄信息越詳盡交易雙方的權(quán)益就越有保障，”Web應(yīng)用安全供應(yīng)商WhiteHat安全公司靜態(tài)代碼分析部門副總裁Jerry Hoff指出。“但請(qǐng)確保敏感數(shù)據(jù)本身沒有被記錄進(jìn)來(lái)。”#p#

4. 把數(shù)據(jù)交給他人打理

網(wǎng)絡(luò)商家也可以選擇對(duì)基礎(chǔ)架構(gòu)進(jìn)行外包處理，讓第三方服務(wù)商來(lái)接手這些麻煩的支付流程細(xì)節(jié)并承擔(dān)安全責(zé)任，這也是一種不錯(cuò)的方式。“舉例來(lái)說，如果大家在網(wǎng)上做滑雪板銷售生意，那么確保信用卡數(shù)據(jù)安全根本就不應(yīng)該成為咱們的關(guān)注重點(diǎn)，拿出精力好好做生意才是正事，”Hoff評(píng)論稱。

根據(jù)波尼蒙研究所的調(diào)查，選擇放棄支付卡數(shù)據(jù)的企業(yè)往往在安全性方面更為積極，也較少遭受數(shù)據(jù)泄露的分割。在一份針對(duì)670位美國(guó)本土及跨國(guó)公司IT管理者的調(diào)查當(dāng)中，放棄保留持卡人信息的企業(yè)有85%在近兩年內(nèi)沒有遭受到數(shù)據(jù)泄露事件。而在保留該數(shù)據(jù)的企業(yè)中只有40%表示近兩年自己未受泄露困擾。

雖然很多企業(yè)仍然在這么做，但需要注意的是，有一類數(shù)據(jù)大家千萬(wàn)不要保留：這就是支付卡驗(yàn)證碼，簡(jiǎn)稱CVV。“由于不必再次輸出驗(yàn)證碼，所以很多商家認(rèn)為保留這類信息能夠促進(jìn)消費(fèi)者的購(gòu)物欲望，”Trustwave公司的Rosenberg說，“然而問題在于作為商家，我們根本沒有資格在交易結(jié)束之后繼續(xù)保留這類數(shù)據(jù)。”

從數(shù)據(jù)的負(fù)擔(dān)中解脫出來(lái)，讓PCI認(rèn)證成為別人的工作。這樣比起遵守12條安全規(guī)范，我們就能把關(guān)注重點(diǎn)縮小到其中的兩條上：阻斷數(shù)據(jù)的訪問渠道（第九條）與制定管理政策、確保信息安全（第十二條）。

大家還必須對(duì)數(shù)據(jù)存儲(chǔ)方案的合規(guī)性保持關(guān)注，并填寫一份自我評(píng)估問卷。但總體而言，這種宏觀上的工作還是要輕松得多，Hearland公司的South認(rèn)為。

僅僅進(jìn)行網(wǎng)絡(luò)劃分與放棄支付卡數(shù)據(jù)并不足以讓你的企業(yè)滿足PCI安全要求，安全服務(wù)企業(yè)Accuvant公司PCI解決方案架構(gòu)師Evan Tegethoff聲稱。沒有哪位商家能夠完全跳出PCI安全要求之外，而只能想辦法盡量減少它所帶來(lái)的影響。如果把公司數(shù)據(jù)交給第三方供應(yīng)商打理，我們?nèi)匀挥胸?zé)任考核其實(shí)際表現(xiàn)及信息保護(hù)成效。

這一點(diǎn)在技術(shù)方面也同樣適用。采購(gòu)一套PCI數(shù)據(jù)合規(guī)保護(hù)產(chǎn)品并不能讓企業(yè)高枕無(wú)憂。“商家常常會(huì)認(rèn)為‘買套PCI合規(guī)產(chǎn)品不就結(jié)了’，”PCI SCC的Russo無(wú)奈地表示。其實(shí)根本沒這么簡(jiǎn)單，數(shù)據(jù)安全技術(shù)只有經(jīng)過針對(duì)企業(yè)需求的調(diào)整與嚴(yán)格監(jiān)管才能實(shí)現(xiàn)數(shù)據(jù)保護(hù)功能。#p#

5. 嚴(yán)格檢驗(yàn)?zāi)愕暮献骰锇?/strong>