钻空子

    虽然许多零售商利用PCI标准来改善安全状况，但这项标准的空子太多了，可以让一些零售商不用对现有的安全做法进行大幅改动，就能证明自己在遵守标准。一个关键问题就是，接收QSA物理审查的零售店数量太多了。针对一级零售商的指导方针要求每一家零售店都要接受审查。这是该标准的一个重要方面，从TJX信用卡失窃案来看更是如此：窃贼最初通过一家T.J. Maxx零售商店的安全很薄弱的无线网络闯入了该公司的系统。

    不过，该标准并没有规定多少比例的零售店需要物理审查；只是表明了零售商必须验证诸商店的IT和网络配置符合要求。零售商往往拥有数量众多的商店，采用类似的技术配置，这意味着审查机构可能只审查一小部分商店。

    一家大型服务零售商表示，审查人员只审查了其1000家商店中的4家，样本大小只有0.4%。这家零售商表示，它的所有商店都采用同样配置，并且集中管理，但这么小的样本极有可能发现不了安全问题。那位PCI专家说：“我可以把许多问题隐藏起来，不让QSA看到。”

    尽管有些零售商抱怨审查人员过于严格，但现有体系让零售商可以寻找实施标准可能不如其他QSA来得严格的QSA。那位PCI专家称：“我看过事后送过来的几份标准遵守报告，我认为它们并不合适。这些报告居然通过了，我不知道是怎么通过的。”被问及零售商是不是在寻找简单评估一下的QSA时，他说：“我能保证是这样。他们为什么不这样做呢？”连负责对QSA进行培训及认证的PCI安全标准委员会也承认，在现有的100多家QSA当中，素质水平可能良莠不齐。

    PCI安全标准委员会的总经理Bob Russo说：“这是一个竞争领域。一家QSA对现场评估收取的费用可能是X美元，而另一家QSA对同一项服务收取的费用比较低。零售商就会想‘要是这人收我5万美元，那个人收我1万美元，这里面肯定有猫腻。’”

    为此，委员会正准备启动质量保证计划――定于本季度晚些时候推出，旨在确保所有QSA执行评估的标准一样严格。Russo说：“目的在于确保竞争公平，那样我们就不会收到来自QSA零售商的指控，说有人只是在例行公事。”

    例行公事这个问题与责任问题密切相关。要是遵守标准的零售商出现了安全事件，那QSA需要为此承担任何责任吗？这个问题让QSA觉得很不自在。

    Verizon的安全产品营销经理Barbara Mitchell说：“谁说零售商没有听我们的意见、扔到一边？”Verizon与互联网安全系统（ISS）和TrustWave公司共同获得了一级零售商的大部分评估业务。Mitchell说：“我们应当参与其中，但如果零售商决定不听我们的建议，那就很难说得清楚。如果要我们承担责任，我们就需要审查所有商店、所有服务器。这会导致成本高得让人望而生畏。”

    接受采访的零售商并不清楚责任问题。那家大型服装零售商的网络架构师说：“我认为，这将取决于我们的控制是否有缺点、取决于审查方法。我认为，应当承担一定的责任；但我们并没有对此深入探究。我可能没注意到合同里面的有些条文，而我关注的重点是预防安全事件的控制措施，而不是将来指责谁。”遗憾的是，一旦信用卡数据失窃，指责现象在所难免。思科安全解决方案公司的产品营销经理Teri Quinn-Andry说：“一旦发生安全事件，如果他们发现出了问题，就会回去找审查机构，就像安然和安达信那样。”

    接下来就是二级、三级和四级零售商实际上依赖诚信制度的问题。没有外部机构验证某零售商针对自我评估调查表采取的响应机制。一家二级零售商的IT主管说：“事实上，你不一定要遵守PCI标准，如果贵公司愿意承担相应风险的话。”

    二级零售商胜骑士快餐（Church’s Chicken）连锁店的CIO Alan Stukalsky同意这一观点，他说：“PCI方面有许多有待你去解读。”