銀行賬戶數據應該加入PCI安全要求嗎?
為什么在銀行帳號中不存在PCI安全要求呢? Gartner公司的副總裁兼著名分析師Avivah Litan表示,她一直很奇怪,在敏感的銀行賬戶數據中居然缺乏行業安全標準。最近,她就在一篇博文里面提出了這個問題。
Litan寫到,通過執行PCI安全要求,信用卡品牌很好地推動了用戶的安全意識,那些處理支付卡交易的公司也對自己的系統進行了升級。Litan補充到,“我經常在想,為什么一個類似的銀行聯盟沒有盡全力去加強對銀行賬戶和相關數據的保護呢?”
一般說來,雖然在PCI數據安全標準體系下的信用卡品牌(如Visa、MasterCard)都嚴謹組織,但是支付卡的安全缺陷卻越來越多。隨著網上銀行詐騙的增多,安全方面的情況可能會發生改變。她還說,“如果你問銀行威脅在哪里,他們肯定會說是ACH和電信詐騙,因為這兩者都依賴于銀行賬戶的數據。”
由于針對小型企業、市政機構和非盈利機構銀行賬戶的欺騙行為不斷增加,聯邦政府官員已經對此發出了警告。據聯邦存款保險公司(FDIC)估計,因為欺詐性的轉賬行為,在2009年第三季度已經導致了約1.2億美元的損失。
Litan表示,網上企業銀行賬戶正受到攻擊,但是欺詐造成的損失一般都會轉嫁到銀行客戶身上,這也讓銀行沒有多少動力去增強保護措施。
Litan說,“PCI的實施是用來保護信用卡公司而不是消費者的。當銀行采取措施保護自己免受經濟損失時,他們做得很好,但是如果這種損失能轉移到客戶身上,那么他們就不一定愿意去加強同樣的保護了。”
一些企業告訴Litan,當他們為支付卡數據執行PCI安全要求時,他們計劃將圍繞銀行賬戶和社會保險號碼等敏感數據執行一些安全措施。除此之外,像ProPay公司這樣的外包支付提供商已經開始提供除支付卡數據之外的銀行賬戶標記化(tokenization)服務。
ProPay最近宣布它將把自動結算所(Automated Clearing House,ACH)數據(包括匯款線路和銀行賬戶號碼)加密和標記化功能添加到ProtectPay服務中去。該公司的高層表示,這種服務是第一個允許組織在沒有存儲或處理銀行賬戶數據的ACH網絡上進行交易的服務。通過使用在線接口或API,ProPay可以捕獲ACH數據、對其進行加密,并返回一個標記(token)。
ProPay的產品管理副總裁Raya Oaks說,“一旦在自己的環境中擁有了那個標記,他們就可以在公司任何正常的業務流程中使用。如果他們需要提取匯款路線和往來賬戶號碼的最后四位數字,可以調用一些APS來使用這個標記獲得最后四位數字,這樣就可以在客戶服務中心進行顯示和核對。當真正敏感的數據從他們的系統中移除的時候,也能給予數據安全保障。”
Oakes表示,這項服務是為需要存儲銀行帳戶信息的組織設計的,比如擁有自動繳費或直接存款業務的公司。一些公共事業公司已經在使用這項服務了。
ProPay的首席信息官Mark Johnson表示,由于ACH詐騙不斷涌現,用戶開始表達他們對ACH數據的擔憂。Oakes說,他期望像PCI這樣的標準最終會出現在ACH數據中。
Unisys系統公司風險智能解決方案管理全球總監Sid Pearl表示,FS-ISAC等組織可以和銀行一起為銀行賬戶數據建立一套安全標準,當然這需要在理解了到底是什么應該得到保護之后,例如需要從網絡攻擊者的角度想問題。
Unisys 公司上個月發布的一項研究顯示,身份盜竊、信用卡和借記卡欺詐是美國人最擔憂的問題。根據最新的Unisys安全指數(調查了超過1000名消費者)結果顯示:超過64%的受訪者非常關注身份盜竊,而超過62%的受訪者擔心信用卡和借記卡欺騙。
咨詢公司R.I.S.C. Associates的常務董事David Schneier表示,銀行業已經制定了一套新的制度來管理銀行賬戶信息,即GLBA。
Schneier說,“管理帳戶數據固有風險的問題在于,各個機構能做的不多,而信息會以‘借記卡購買’和‘ATM活動’的形式在多個渠道上傳播,這也是當前供應商管理背后的主要動力之一。”
【編輯推薦】
