【IT168专稿】私营部门的公司在2006年推出了PCI数据安全标准，旨在提高信用卡数据的安全性。但PCI反而引发了一场推卸责任的大闹剧，从零售商、审查机构到各大信用卡公司，无不如此。

    数据是否因此变得更安全了？这仍有待观察。尽管支付卡行业数据安全标准（即PCI DSS，或简称PCI）要求采取诸多安全机制及定期审查，但我们的调查表明，零售商对于PCI只是应付了事，那样不用真正提高存储数据的安全性，就让人觉得他们在遵守标准。而本该推动标准遵守的信用卡公司没有多大的动力来打破现状。

    这项标准由包括维萨（Visa）、万事达卡（MasterCard）、美国运通（American Express）和JP摩根大通（JPMorgan Chase）在内的各大信用卡公司制订，标准规定：零售商应当实施12项账户保护机制，其中包括加密、漏洞扫描及使用防火墙和反病毒软件。维萨公司在推动标准遵守计划方面起到了带头作用。由于近期发生了一系列安全入侵事件，导致成千上万的信用卡账户泄密，这项计划显得越来越急迫。比如，最有名的安全泄密事件先后发生在折扣商店TJX、鞋店连锁店DSW和信用卡处理公司Card System Solutions身上。

    遗憾的是，遵守PCI标准的概念变得过于抽象，脱离了实际安全。零售商可以钻空子，不一定要提高信用卡数据的安全性，就能够“符合标准”。举例说，只有极少一部分零售店得到了物理审查，尽管数据窃贼经常盯上商店的网络和设备。我们采访过的一名PCI专家评审了几份标准遵守审查报告后，发现其实不合要求。PCI安全标准委员会（PCI Security Standards Council）也承认，有些审查机构的标准不如其他审查机构来得严格。

    这倒不是说，信用卡公司和许多零售商并不重视安全；他们确实重视安全。外界广泛认为，PCI规定的要求代表了一种健全――有些人甚至认为是补救性――的安全架构。但要确保安全，成本高、难度大，而零售商的利润本来就很微薄。PCI提供了花最少的钱来遵守标准的一种经济刺激手段。

    同时，维萨及其他信用卡公司在竭力宣传这项标准得到了广泛采用，因为证明PCI计划取得了成功符合他们的既得利益，这意味着他们也许不会认真考虑PCI是否在真正提高信用卡数据的安全性。

    如果遵守标准的零售商随后出现了安全泄密事件——势必会有更多的攻击得逞，那么信用卡公司就让PCI标准显得极其含糊，那样到时可以把责任推得一干二净，声称是零售商并没有正确解读PCI标准，哪怕零售商明明通过了它所把关的审查。

    数字问题

    根据每年处理的信用卡交易，PCI标准把零售商分成了四个级别。零售商的级别决定了它要采取哪些措施来遵守PCI的规定。一级零售商是指美国最大的零售商，每年处理的交易至少达到600万笔。一级零售商每年接受合格安全评估商（QSA）的审查，负责对QSA进行培训的是信用卡公司当初为了起草PCI标准而设立的PCI安全标准委员会。评估方即QSA与零售商合作，共同确保商家满足PCI标准规定的所有要求。QSA把零售商遵守标准的情况汇报给处理信用卡交易的机构（名为收单银行）；然后，收单银行把零售商遵守标准的情况汇报给各信用卡公司。

    二级、三级和四级零售商不需要接受QSA审查。他们只要填写自我评估调查表，评估遵守PCI的情况，并且每个季度接受合格扫描厂商进行的漏洞评估扫描。

    今年1月，维萨表示遵守PCI的美国最大零售商和中型零售商分别达到了77%和62%。维萨宣称这些数字证明信用卡数据的安全性得到了提高；PCI计划取得了进展。

    不过另一些数字对维萨的说法表示了异议。一家独立零售调研公司声称，它自己的调查估计遵守PCI的大零售商和中型零售商分别只有46%和50%。零售系统研究公司的合伙人Steve Rowen说：“零售商远远没有做好应该完成的工作。”该公司对174家零售商作了调查，其中45%获得的年收入至少为10亿美元。值得一提的是，Rowen的调查根据年收入而不是根据信用卡交易来对零售商进行分类，所以他的数字无法与维萨的数字进行同类比较。

    但Rowen还提到了更令人担忧的统计数字：只有40%的调查对象完成了全面评估，以发现保存客户账户数据的所有地方。PCI标准的第三项要求规定要保护存储的持卡人数据。但要是零售商不知道数据在哪里，就无法确保其安全，遵守标准也就无从谈起。

    Rowen说，维萨夸大遵守标准的比例也许有几个原因。首先，遵守标准的比例很高，这让PCI显得很成功。其次，如果信用卡公司未能对零售商执行比较严格的信用卡数据保护机制，联邦政府就有可能干预。联邦法规不但要求更严、成本更高，而且还有可能对零售商能够搜集的信息类别和数量予以严格限制。

    这引起了零售商们的注意。

    Rowen说：“客户数据可以说是如今开展的每项营销和促销运动的命根子。如果零售商失去了这些数据，他们就会回到石器时代。”

    美国国会在过去几年曾就信用卡安全性举行过几次听证会。2005年，众议院法案提议出台联邦法律，规定一旦个人数据外泄，商家就要通知顾客。该法案最终并未成为法律，随后出现TJX之类的安全事件也就可以理解了。