隨著各種銀行卡或者信用卡持卡人及其交易量的不斷增多，持卡人賬戶的存儲和交易相關(guān)的信息安全問題備受關(guān)注。而面對即將商用的巨大市場和產(chǎn)業(yè)發(fā)展的關(guān)鍵時期，2009年7月24日在北京召開了“2009中國移動支付產(chǎn)業(yè)高峰論壇”。通過本屆產(chǎn)業(yè)論壇，支付產(chǎn)業(yè)鏈各界同仁進行了初步的協(xié)商與研討，為今后的合作打下了良好的基礎(chǔ)。但與此同時，持卡人的帳戶安全問題、頻頻發(fā)生的支付安全事件也不得不讓我們敲響警鐘。

本文將通過介紹目前最為專業(yè)的支付卡安全標準(PCI DSS：Payment Card Industry Data Security Standard)及其相應(yīng)體系規(guī)范的維護方式。結(jié)合國內(nèi)現(xiàn)狀提出筆者的一些建議。希望通過本文的討論，使得支付卡產(chǎn)業(yè)鏈的各個角色在未來更加重視信息安全工作，從而更為有效、全面、標準化地保護持卡人的機密信息。結(jié)合中國的現(xiàn)實國情，制定出符合中國支付安全領(lǐng)域的行業(yè)規(guī)范和標準。

PCI安全標委會機構(gòu)設(shè)置

PCI SSC是由美國運通(American Express)、美國發(fā)現(xiàn)金融服務(wù)(Discover Financial Services)、JCB、萬事達(MasterCard Worldwide)和Visa國際組織五家支付品牌在06年秋共同籌辦設(shè)立的統(tǒng)一且專業(yè)的信息安全標準委員會。此外整個產(chǎn)業(yè)鏈中的商戶、支付設(shè)備和服務(wù)廠商、處理機構(gòu)和金融機構(gòu)都可以成為PCI安全標準委員會的參與組織，因為支付安全問題不僅僅是支付品牌的責任，保護持卡人利益對于任何參與角色都是至關(guān)重要的。

PCI安全標準委員會(PCI SSC)的最高級別執(zhí)行委員會(Executive Committee)是由上述五家支付卡品牌中負責風(fēng)險管理或相關(guān)服務(wù)技術(shù)的副總裁組成。執(zhí)行委員會下設(shè)管理委員會(Management Committee)，也由五家支付卡品牌的相關(guān)負責人組成，負責該安全標委會的重大決策。委員會設(shè)有總經(jīng)理(General Manager)，并設(shè)立專門的DSS工作組、PED工作組、QSA體系管理、ASV體系管理、PA體系管理等部門，分別負責各自領(lǐng)域的標準開發(fā)和體系維護等技術(shù)工作，此外還設(shè)有市場工作組和立法委員會。

標準的歷史和發(fā)展

目前，支付卡產(chǎn)業(yè)安全標準委員會(PCI SSC：Payment Card Industry Security Standards Council)承擔了VISA等信用卡品牌組織早先的信息安全工作，統(tǒng)一地推廣和采用PCI安全標準，從而推動和提高全球范圍的支付賬戶安全。

PCI安全標準包括廣泛的工作內(nèi)容范圍，而過去這些工作是由各個支付品牌自行開展或者由非正式的支付品牌聯(lián)盟管理維護的。為了更好的適應(yīng)全球技術(shù)的發(fā)展和使用，PCI安全標準推出的重要意義在于它是面向所有支付卡產(chǎn)業(yè)鏈參與者的統(tǒng)一且正式的標準體系，它涉及到支付卡產(chǎn)業(yè)鏈中所有的參與者，比如商戶、金融機構(gòu)、處理機構(gòu)、服務(wù)提供商等。

PCI數(shù)據(jù)安全標準(DSS：Data Security Standard)提供了保障敏感信息安全性的產(chǎn)業(yè)工具和方法的通用集合。標準的原型來自于VISA的客戶信息安全(AIS：Account Information Security)/ 持卡人信息安全(CISP：Cardholder Information Security)體系和MasterCard的站點數(shù)據(jù)保護(SDP：Site Data Protection)體系，該安全標準提供了可靠性較高的、適合操作的數(shù)據(jù)安全流程框架結(jié)構(gòu)，包括安全事件的阻止、檢測和反應(yīng)。目前所采用的標準1.2版本是由PCI安全標準委員會編制修訂發(fā)布的。最新版本的標準更具有可實施性，因為制定過程得到了合作伙伴和客戶的積極反饋。

PCI DSS包括技術(shù)基礎(chǔ)描述、需求，以及測評方法。標準提出了持卡人數(shù)據(jù)的安全存儲、處理和傳輸?shù)脑敱M的技術(shù)需求。標準同時提出了面向測評的通用的審計流程和掃描流程，以及通用的安全自評估問卷。PCI DSS描述了6個邏輯相關(guān)組“控制目標”的12項安全需求，他們分別是建設(shè)和維護安全網(wǎng)絡(luò)(build and maintain a secure network)、保護持卡人數(shù)據(jù)(protect cardholder data)、確保脆弱性管理體系的維護(ensure the maintenance of vulnerability management programs)、實施強訪問控制(implement strong access control measures)、經(jīng)常性地監(jiān)控和測試網(wǎng)絡(luò)(regularly monitor and test networks)、確保信息安全策略的維護(ensure the maintenance of information security policies)。標準涉及的安全需求應(yīng)用于所有的“系統(tǒng)組件”。系統(tǒng)組件是指任何被包含或者連接到持卡人數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)組件、服務(wù)器、或者應(yīng)用系統(tǒng)。持卡人數(shù)據(jù)環(huán)境是處理持卡人數(shù)據(jù)或者敏感認證數(shù)據(jù)的網(wǎng)絡(luò)組成部分。適當?shù)木W(wǎng)絡(luò)分割使存儲、處理或傳輸持卡人數(shù)據(jù)的系統(tǒng)與其他系統(tǒng)獨立出來，從而可以簡化持卡人數(shù)據(jù)范圍。網(wǎng)絡(luò)組件包括但不限于防火墻、交換機、路由器、無線訪問點、網(wǎng)絡(luò)設(shè)備、以及其他持卡人數(shù)據(jù)環(huán)境范圍內(nèi)的設(shè)備。服務(wù)器類型包括但不限于如下：網(wǎng)頁、數(shù)據(jù)庫、認證、郵件、代理、網(wǎng)絡(luò)時間協(xié)議(NTP)、和域名服務(wù)器(DNS)。應(yīng)用包括所有購買的和客戶定制的應(yīng)用，包括內(nèi)部和外部(互聯(lián)網(wǎng))的應(yīng)用。

PCI標準委員會根據(jù)各個參與方的反饋和實施情況負責標準的更新修訂，但一般來講更新的頻率不會多于一年一次。如果必要，最新標準符合性完成的生效期限將被規(guī)定，從而確保實施符合性建設(shè)能夠平穩(wěn)過渡且及時達到最新要求。

標準的參與機構(gòu)以及標準的實施

支付卡產(chǎn)業(yè)的各個參與機構(gòu)均應(yīng)該考慮實施符合性工作，即使是中小型的商戶也應(yīng)該考慮標準的符合性建設(shè)，特別是所有的商戶(merchants)和服務(wù)提供商(Service providers)需要符合該標準的要求。各支付品牌(如VISA)各自維護其符合性驗證體系，如何向支付品牌證明符合性，不同的支付品牌有各自明確的準則和要求。

如果機構(gòu)完成了很多其他業(yè)務(wù)領(lǐng)域或者法規(guī)的符合性要求，比如SOX、GLB、FFIEC等，他們與PCI DSS的關(guān)系是相輔相成、互相促進的。PCI DSS更加專業(yè)地關(guān)注于保護存儲的支付帳戶信息，并最大限度的減少未授權(quán)的入侵或者帳戶安全事件發(fā)生的風(fēng)險。機構(gòu)應(yīng)該致力于PCI DSS的符合性，從而降低由于潛在的支付賬戶危害所帶來的品牌、聲譽以及財政的風(fēng)險。

除了完成PCI DSS的符合性，各機構(gòu)應(yīng)根據(jù)支付品牌的審核驗證策略和流程，通過第三方中立且經(jīng)授權(quán)的合格評估機構(gòu)(QSA：Qualified Security Assessor)和安全掃描供應(yīng)商(ASV：Approved Scanning Vendor)進行符合性驗證，審核和驗證應(yīng)該根據(jù)不同的支付品牌的特定策略和流程來進行。基于目前的體系，PCI SSC不涉及出現(xiàn)賬戶安全事件后的取證調(diào)查，以及相關(guān)授權(quán)認可工作，各支付品牌將繼續(xù)使用已有的過程和流程。

PCI安全標準委員會在其官方網(wǎng)站上維護QSA的列表，該列表中的QSA是經(jīng)過SSC(以及相應(yīng)的支付品牌)授權(quán)認可開展評估工作。而另一方面，PCI SSC并不負責維護獲得符合性認證的商戶或者服務(wù)提供商，因為各支付品牌自行接受QSA和ASV所完成符合性評估和審核。PCI標準委員會嚴格地維護和管理第三方中立的評估機構(gòu)QSA和ASV。PCI SSC負責認可和授權(quán)世界范圍內(nèi)的QSA和ASV機構(gòu)，及其重新驗證流程;培訓(xùn)和考核相應(yīng)的審核人員并執(zhí)行每年一次的人員重新資格評定，培訓(xùn)和考核工作針對PCI DSS的相關(guān)需求以及針對特定復(fù)雜需求和操作環(huán)境修補控制的評估。目前各支付品牌已經(jīng)不再自行維護和管理QSA和ASV，統(tǒng)一由PCI SSC負責。

一般來講，處理大量交易或者已經(jīng)被發(fā)現(xiàn)缺陷的支付卡產(chǎn)業(yè)參與角色都需要獨立的第三方評估，因為他們存在較高的風(fēng)險。不同的支付品牌針對評估有不同的要求。比如典型的方法是根據(jù)商戶的交易量確定商戶的特定“級別”，不同的支付品牌可能要求特定級別的符合性評估由獨立的合格的安全評估機構(gòu)QSA來執(zhí)行。比如在中國atsec信息安全是經(jīng)過PCI授權(quán)認可的QSA，同時可以提供專業(yè)的信息安全咨詢，協(xié)助理解標準和體系要求;機構(gòu)也可以聯(lián)系收單銀行(acquiring bank)或者直接聯(lián)系支付品牌(payment brand)，從而了解要求的評估方式。

評估工作的開展遵從于支付卡產(chǎn)業(yè)數(shù)據(jù)安全標準(PCI DSS)安全審計流程，該流程提供了檢查清單(checklist)和測評流程。典型的模式是合格的安全評估機構(gòu)(QSA)首先審核環(huán)境和流程的文檔。文檔審核之后，進行現(xiàn)場評估(Onsite review)驗證文檔體系實現(xiàn)的正確性，以及敏感數(shù)據(jù)的處理和存儲是否符合標準的要求。最終QSA提供(以及在適當?shù)那闆r提供給支付品牌)符合性證書(CoC：Certificate of Compliance)證明滿足了標準的要求，或者在滿足CoC頒發(fā)要求之前提供需要解決的問題清單。

所有涉及存儲、處理和傳輸主賬戶號碼(PAN：Primary Account Numbers)，也即信用卡號碼和與其在同一邏輯網(wǎng)絡(luò)的所有系統(tǒng)，他們必須符合PCI數(shù)據(jù)安全標準。通過減少涉及交易或者有可能進入相關(guān)數(shù)據(jù)的系統(tǒng)數(shù)量、實施網(wǎng)絡(luò)分割(比如通過防火墻)、以及其他的有效方法都建議被使用，從而有效的減少符合性評估工作的工作量。

如果機構(gòu)懷疑或者已經(jīng)確認安全漏洞事件導(dǎo)致了支付卡數(shù)據(jù)的泄露，應(yīng)該啟動應(yīng)急響應(yīng)流程并按照支付品牌的特定流程進行通知。包括在規(guī)定時間內(nèi)通知受影響的支付品牌和適當?shù)姆蓤?zhí)行機構(gòu)。對于上述工作，作為擁有多年國際聲譽和信息安全測評、管理和技術(shù)咨詢經(jīng)驗的atsec信息安全可以為相關(guān)機構(gòu)提供符合性的支持和策略制定的指導(dǎo)。而對于評估驗證的時間和成本，根據(jù)范圍的不同存在差異。比如一些小型商戶可能只是包括一臺單獨的PC;而某大規(guī)模數(shù)據(jù)中心可能涉及更廣泛的范圍。一般情況可以與評估機構(gòu)取得初步聯(lián)系進行時間和成本的確定。

PCI標準委員會不負責管理符合性體系，而各支付品牌擁有各自的符合性要求。如果出現(xiàn)了安全事件，沒有符合標準的商戶或者服務(wù)提供商可能面對支付品牌的經(jīng)濟處罰和相關(guān)操作處理。各個商戶應(yīng)該聯(lián)系其收單金融機構(gòu)(acquiring financial institutions)決定針對他們的符合性驗證要求。服務(wù)提供商也應(yīng)該聯(lián)系支付品牌獲得更多的信息。各個支付品牌均已經(jīng)建立了各自的驗證和時間要求，符合性體系中的罰金管理也由各支付品牌自行負責。

PCI符合性狀態(tài)

根據(jù)Forrester Research在2007年7月對于美國和歐洲PCI符合性研究報告顯示[3]，很多的商戶和服務(wù)提供商存儲了過多的信用卡號碼之外的機密數(shù)據(jù)信息。在被統(tǒng)計的機構(gòu)當中，81%的機構(gòu)存儲了信用卡號碼，73%的機構(gòu)存儲了信用卡過期時間，71%存儲了驗證碼(Verification codes)，而且超過50%的機構(gòu)都表示存儲了信用卡磁條(magnetic stripe)上的用戶數(shù)據(jù)。很多處理大批量交易的機構(gòu)都暴露出了極其錯誤的行為，特別是一些金融服務(wù)、醫(yī)療、保險和高等教育行業(yè)，相當比例的機構(gòu)存儲了絕對禁止進行存儲的數(shù)據(jù)。這些機構(gòu)存儲信用卡數(shù)據(jù)的動機也不盡相同，基本上可以歸納為使用這些信息進行防止欺騙的分析、用戶唯一識別、業(yè)務(wù)智能分析、退款、與合作伙伴信息共享等。相當多的機構(gòu)還需要在信息存儲上進行優(yōu)化和改進，以符合PCI信息安全標準中針對存儲的規(guī)定。

報告還顯示，密碼和訪問控制是PCI安全工作的重中之重，也是實際審計中發(fā)現(xiàn)最多的問題所在。數(shù)據(jù)泄露風(fēng)險的減免是最高優(yōu)先級的任務(wù)，而且交易量越大，其優(yōu)先級就相應(yīng)越高。機構(gòu)中的IT部門將負責信用卡數(shù)據(jù)的保護，其直接負責人可能為CIO、CISO或者CTO等相應(yīng)的職能角色。

通常，機構(gòu)如果首次進行PCI的信息安全建設(shè)，其投資力度可能需要占據(jù)相當部分的IT預(yù)算(通常會占整個IT預(yù)算的2%-5%)，某機構(gòu)CIO認為其投資甚至可能會超過SOX法案的符合性和審計工作。不過，筆者認為任何的信息安全工作都不是互不相干、獨立為營的，比如ISO/IEC 27001的信息安全管理體系框架將會直接平穩(wěn)的應(yīng)用于PCI的符合性建設(shè);Cobit和ITIL標準框架也對PCI符合有所幫助。

通過近期的PCI符合工作狀態(tài)分析，可以看到大量機構(gòu)需要重新構(gòu)建業(yè)務(wù)流程，從而實現(xiàn)信用卡數(shù)據(jù)的保護;符合性體系應(yīng)整體考慮，建立一套適合機構(gòu)自身特點的風(fēng)險管理模型，需要將PCI符合性建設(shè)融入到風(fēng)險管理策略之中，而不是完全孤立的去考慮它;PCI符合性建設(shè)工作還需要加大資金和時間投入;另外應(yīng)更多地優(yōu)化保護信用卡數(shù)據(jù)的存儲和傳輸，而不是僅僅著眼于其運行環(huán)境。

很多的歐美的機構(gòu)已經(jīng)通過PCI的符合性建設(shè)提高了其信息安全水平，近一半的歐美機構(gòu)于2008年內(nèi)全面的完成PCI的符合性工作并通過認證，而30%左右的機構(gòu)計劃2年內(nèi)完成該項工作;目前主要的關(guān)注行業(yè)集中在零售業(yè)、金融服務(wù)、媒體和娛樂、保險行業(yè)等等。

中國支付安全標準現(xiàn)狀

PCI在中國所受的關(guān)注程度還具有提高的空間，但是目前信用卡支付和電子商務(wù)的交易量越來越大，出現(xiàn)的安全隱患也與日俱增，中國與國際的經(jīng)濟往來越來越緊密，對于支付安全的需求也必然越來越高。

目前，中國尚未制定相關(guān)行業(yè)標準，各國家主管部門雖然意識到制定中國自己的支付行業(yè)標準是刻不容緩的，但是標準的統(tǒng)一尤其是相關(guān)安全標準的統(tǒng)一，是一個漫長和曲折的過程。有了行業(yè)標準之后，為了將標準充分應(yīng)用和切實落實，還需要相關(guān)國家主管部門出臺一套完整的合規(guī)評估體系，包括相關(guān)的制度、流程以及合規(guī)評估機構(gòu)的規(guī)范和統(tǒng)一。

結(jié)合現(xiàn)狀提出建議

atsec作為中立的第三方機構(gòu)，經(jīng)過多年來在信息安全領(lǐng)域的實踐經(jīng)驗，結(jié)合目前國內(nèi)的支付安全現(xiàn)狀就未來支付行業(yè)的發(fā)展提出以下建議：

◆可由國家相關(guān)政府職能部門和主管部門共同建立支付行業(yè)標準委員會。

◆PCI DSS標準已經(jīng)得到世界范圍廣泛的專業(yè)認可，可通過該標準中對于審核對象的要求和最佳實踐結(jié)合中國國情制定適合于我國的支付行業(yè)標準。

◆在合規(guī)評估體系的建設(shè)工作中，可借鑒國際上對于標準評估認證的管理辦法。比如，由政府職能部門聯(lián)合中國銀聯(lián)、銀行、卡商以及中立的第三方評估機構(gòu)共同合作開展合規(guī)評估規(guī)范工作。采用維護評估實驗室的方式，加強審核方管理辦法，制定嚴謹?shù)脑u估體系，嚴格依據(jù)標準進行規(guī)范化審核。

◆授權(quán)專業(yè)的支付信息安全評估實驗室，實驗室應(yīng)該為第三方中立的咨詢和評估機構(gòu)，而非大型產(chǎn)品代理商或者廠商。被授權(quán)的評估實驗室應(yīng)具備多年信息安全工作經(jīng)驗。

◆支付標準委員會只負責維護評估實驗室和掃描機構(gòu)，并對執(zhí)行的審核結(jié)果進行核查和監(jiān)管。

◆為了確保被授權(quán)機構(gòu)的中立，便于維護，被授權(quán)的實驗室可定期向授權(quán)機構(gòu)繳納年金。對于被授權(quán)機構(gòu)所執(zhí)行的審核項目，應(yīng)由被審核機構(gòu)向授權(quán)機構(gòu)提交實驗室評定。授權(quán)機構(gòu)定期整理，取消不符合要求的實驗室資質(zhì)。