包含了American Express、Discover Financial Service s、JCB、MasterCard Worldwide、Visa International 等五大国际组织,日前共同宣布创设独立的支付卡产业安全标准协会(PCI Security Standards Council),负责发展与管理支付卡产业的信息安全标准。
决定一并向发卡银行要求遵照一称之为“支付卡产业安全(PCI,Payment Card Industry Security )”标准,依照标准内容,倘发卡银行未在明年底之前完成上述要求,上述组织将予以罚锾,或者调高手续费;若迄2010年尚未完成部署,则会取消其发卡资格。
大体而言,这项标准的内容系所有信用卡会员、商店、服务提供者,在存储、处理、与传递持卡人信息时需要做到的安全事项。要求不论是在传输或是闲置时 ( 例如:存放在数据库里 ),这些持卡人的敏感信息必须被加密。
“预计这种规定,将敦促银行企业开始在存储设备端,着手部署符合标准的安全管理措施;只不过相信还不会即知即行,”NetApp台湾区总经理张怀宇说。
PCI标准的出现,无疑视为民间版的法规遵循(Regulatory compliance)。所谓的法规遵循,系指从去年开始在欧美国家颁布的各项法规如巴塞尔协定(Basel II)、沙宾法案(Sarbanes-Oxley Act),或是BS7799/ISO17799、COBIT等规定:公司内部文件必须被保留2到5年,且企业中的信息、稽核或法律等不同部门,能够在很短的时间以内,调阅检查邮件纪录与内容。且在美国上市或与美国贸易有往来者,也必须以同等规范存储信息。
为了符合上述标准,各大存储厂商早已磨刀霍霍。诉求存储产品能够确保信息一旦存入存储设备,即不再被窜改、未被授权者无法存取,且提取信息的时间也非常快速。产品内容则包括了NetApp布建在服务器和存储设备之间的信息加密产品DataFort;惠普则有参考信息存储系统(Reference Information Storage System, RISS);EMC则提出CAS Content-addressed storage)存储架构产品Centera。
惟由于法规遵循标准的范围仅限在欧美国家上市的公司,对于本地企业影响有限。导致台湾地区企业用户对于法规遵循反应不大。惠普台湾网络存储解决方案事业处存储方案产品经理萧舜华即表示,目前RISS的客户群偏重在制造业,且多用来做内部控管,归档员工的电子邮件、文件内容等。
PCI标准的出现又再度为台湾地区法规遵循市场添加新动能。NetApp资深系统顾问工程师姜群表示,相较于法规遵循要求快速调阅检查信息、且效应偏重在欧美国家,PCI标准更在乎的是持卡人的信息是不是能受到缜密的安全管理,且由于信用卡的使用不分国界,因此NetApp预料,这将是相较于传统的法规遵循,更能驱动银行企业投入部署安全的存储环境的要素。
根据PCI标准白皮书内容,共有12项要求,大致可分为:建立和维持安全的网络、保护持卡人的信息、保有完善的管理机制、严密的存取控制、定期监控和测试网络、遵守信息安全政策。
“不过效应不会那么快浮现,”张怀宇坦言。原因在于今年银行金融业饱受卡债风暴影响,缩减IT预算支出。
“现在遇到另一棘手问题是,没有人想先当白老鼠;先做的人也可能会被同业批评,因为这样金融管理机构就会马上要求其他银行企业跟进,”姜群说。