PCI委员会表示政府应避免使用支付卡标准

标准机构表示,政府应继续让私营部门制定保护卡数据的规则

转运效应

标准机构表示,尽管主要零售商多次违反安全法规,但政府仍应让私营部门继续制定保护信用卡和借记卡数据的规则。

[PCI DSS 3.0是一个演进,而不是一场革命]

支付卡行业(PCI)安全标准委员会总经理鲍勃·鲁索(Bob Russo)定于周三告诉国会委员会,任何政府机构都不太可能复制“ PCI的广泛覆盖范围,专业知识和果断性”,指的是制定的标准由理事会。

鲁索事先表示:“最近的违规事件等引人注目的事件是国会的合法调查范围,但不应作为强加新政府法规的理由。” 他准备的言论的副本.

“与不断发展的PCI标准相比,该领域的任何政府标准在应对当前威胁方面的效率可能大大降低,在保护消费者免受未来威胁方面的敏捷性也将大大降低。”

Russo是计划在众议院能源和商业委员会下属委员会作证的几位行业专家之一。其他国会小组也一直在调查Target,Neiman Marcus,Michaels Stores和最近的White Lodging最近披露的数据泄露事件。

这家酒店管理公司周一警告称,在去年的大部分时间里,其14家酒店的餐厅和休息室的电子收银机可能已经遭到破坏。该公司以全国性的品牌名称管理酒店特许经营权,例如 希尔顿,万豪,喜来登和威斯汀.

一系列数据泄露事件引起了立法者的注意,他们要求支付卡行业,零售商和安全专家解释保护消费者的过程。周一,来自Neiman Marcus和Target的高管在证交会前作证。 参议院司法委员会。

窃取了Target和Neiman Marcus的卡数据的攻击者使用了恶意软件,该恶意软件在信息被加密之前从收银机的内存中窃取了数据,这称为销售点(POS)系统。

Russo说,该理事会POS系统标准的最新版本要求零售商每24小时执行一次默认重置,以删除可能驻留在内存中的任何恶意软件。

[对零售商的重大攻击使安全卡受到关注]

该委员会还支持部署具有嵌入式芯片的智能卡,这使得犯罪分子更难创建带有被盗数据的伪造信用卡。所谓的EMV芯片在欧洲广泛使用,而在美国,信用卡行业使用的磁条安全性较低。

使用智能卡将需要对硬件和软件进行昂贵的更改,因此零售,银行和信用卡行业多年来一直在为谁支付过渡费用而奋斗。然而,当消费者要求时,信用卡公司开始发行这种卡。

Russo指出,EMV芯片虽然对安全性很有用,但不会阻止在线使用信用卡号。他们也不会阻止最近的数据泄露。

他说:“ EMV芯片技术不可能阻止未经授权的访问,引入恶意软件以及随后泄露持卡人数据。”

尽管政府应该避免制定标准,但它可以通过在全球范围内加强执法力度来阻止支付卡欺诈。此外,国会可以对这类罪行通过更严厉的处罚。

政府还可以简化数据泄露通知法律,并促进公共部门和私营部门之间的网络攻击信息共享。

俄罗斯政府说:“这些都是政府帮助应对这一挑战的机会。”

版权© 2014 IDG通讯,Inc.