Visa,万事达卡发布新的安全规则

更新的PCI标准将涵盖Web应用程序和第三方控件

Visa官员上周表示,Visa美国公司和万事达卡国际公司将在未来30至60天内针对所有处理信用卡数据的组织发布新的安全规则。

该规则将是已经使用了一年的“支付卡行业”数据安全标准的第一个重大更新,分析师称该标准正在缓慢但肯定会被采用。

总部位于加利福尼亚州福斯特城的Visa的公司风险与合规性副总裁Eduardo Perez说,一组PCI扩展旨在保护信用卡数据免遭新兴的Web应用程序安全威胁。其他新规则将要求公司确保与之打交道的任何第三方(例如托管服务提供商)都具有适当的控制措施来保护信用卡数据。

对于所有处理信用卡数据的实体,PCI于2005年6月30日成为一项普遍要求。不遵守PCI的商家可能会面临罚款或被排除在处理信用卡之外。

该标准列出了零售商,在线商人,数据处理者和其他企业为了保护持卡人数据必须实施的12种广泛控制措施。它们包括技术控制,例如数据加密,最终用户访问控制和活动监视,以及程序要求。

总部位于加利福尼亚州红木海岸的托管安全服务提供商Qualys Inc.首席执行官Philippe Courtot表示,大多数现有的PCI要求都集中在网络级别的安全性上,但是许多最新的威胁都在应用程序方面。因此,有必要更新PCI以防御Web应用程序威胁,例如SQL注入攻击,跨站点脚本缺陷,错误处理问题和验证错误。

未来几年,PCI标准可能会变得更加严格。佩雷斯说,目前,鼓励但不要求公司使用满足一套付款应用最佳实践标准的付款应用,但在未来两年内这将成为强制性的。

几位分析师表示,经过缓慢的启动之后,符合PCI要求的公司数量最终似乎正在回升。 Visa表示,大约22%的第1级商家(该公司将其定义为每月处理超过600万张卡交易的商家)已经符合PCI,还有72%有望完全符合标准。

Gartner Inc.的分析师Avivah Litan表示,这些数字表明,尽管进展缓慢,但进展缓慢。

Litan说,最大的技术挑战之一是PCI对加密的要求。她指出,一些公司不确定是否需要加密数据或可以实施其他补偿控制。

San Jose审计公司Payment Software Co.的PCI审计师Nigel Tranter表示,采用速度缓慢的另一个因素是人们认为PCI与政府的命令不同,它是一种缺乏执行力的私有标准。

信用卡数据安全

建议的支付卡行业数据安全标准更新:

medium_orange_bullet.gif
  Web应用程序安全性准则。

medium_orange_bullet.gif
  确保第三方保护持卡人数据的规则。

medium_orange_bullet.gif
  要求公司跟踪向第三方发送或接收的信用卡数据的规则。

medium_orange_bullet.gif
  计划在大约两年内强制执行付款应用程序最佳实践。

版权© 2006 IDG通讯,Inc.

  
在亚马逊上购买技术产品