遵循支付卡行业安全标准可以为企业继续与支付卡行业从事业务提供保障,但是这并不能保证你的企业就是安全的。如果企业只有小部分业务需要遵守支付卡行业安全标准,他们可能就会回避承担预防网络犯罪的责任。在此Knowledge Center的撰稿人约翰.林卡斯总结了七种企业要提高安全性并确保他们符合支付卡行业数据安全标准的规定所必须遵守的要求。
随着企业不断为执行支付卡行业数据安全标准而努力,有关如何执行这一行业安全标准的建议和意见也如雨后春笋,遵循行业标准的重要性是显而易见的:信用卡诈骗动辄牵扯到数十亿美元的金融犯罪,因此信用卡信息是激发这些犯罪的关键性商品。
但是有关遵循支付卡行业数据安全标准的细节经常会被人误解。特别是在某些安全软件厂商的眼里,支付卡行业数据安全标准法规遵从就是简单的购买和部署正确的软件类型:安全信息和事件管理(简称SIEM),数据防损(简称DLP),网络准入控制(简称NAC)和入侵检测和防御系统(简称IDS/IPS)软件,然后就可以安枕无忧了。
但问题是遵循这种重要标准需要的不只是软件。不过好消息是对于多数企业来说,遵守支付卡行业标准数据安全标准必须符合的一套基本需求对构建成功的支付卡行业数据安全计划是有所帮助的。
基本上说支付卡行业数据安全标准的存在是为了保护一种类型的数据:即持卡人的数据–这个包罗万象的术语包含在信用卡中发现的可视信息(比如说持卡人的姓名,卡号和过期日)以及信用卡磁条中的压缩数据。支付卡行业数据安全标准会对任何存储,处理或者传输持卡人数据的企业产生影响。当然这种宽泛的定义包括许多不同类型的企业,比如说以下的四种:
1.商人
从单兵作战的小型零售商店到大型的国际零售商,只要他们接收信用卡或者借记卡,他们就必须遵守支付卡行业数据安全标准。幸运的是,规模较小的贸易公司通常是将部分或者全部技术外包给服务提供商。按照支付卡行业数据安全标准的规定,这些服务提供商要承担保证商业数据安全的大部分责任。
2.付款处理方
这是信用卡和借记卡使用链中的关键部分,付款处理方要代表贸易企业承担将支付卡付款请求传递给金融机构的责任。
3.金融机构
金融机构是信用卡和借记卡的发行方,他们要管理持卡人的账户,要对是否批准交易的执行承担责任,需要根据持卡人可用资金,持卡人信誉,支付卡最新动态可能的异常情况或者潜在诈骗做出判断。
4.服务提供商
这些服务提供商都是向贸易公司和其他企业提供与持卡人相关的设备和服务的厂商。按照支付卡行业数据安全标准的规定,服务提供商必须对执行支付卡行业数据安全标准和控制他们所管理的持卡人数据承担全部责任。即使持卡人不是他们的直接客户也是如此。因此需要小型的零售商会和他们的服务提供商合作来确保他们能遵循支付卡行业数据安全标准的规定。