隨著各種銀行卡或者信用卡持卡人及其交易量的不斷增多，持卡人賬戶的存儲和交易相關的信息安全問題備受關注。而面對即將商用的巨大市場和產業發展的關鍵時期，2009年7月24日在北京召開了“2009中國移動支付產業高峰論壇”。通過本屆產業論壇，支付產業鏈各界同仁進行了初步的協商與研討，為今后的合作打下了良好的基礎。但與此同時，持卡人的帳戶安全問題、頻頻發生的支付安全事件也不得不讓我們敲響警鐘。

本文將通過介紹目前最為專業的支付卡安全標準(PCI DSS：Payment Card Industry Data Security Standard)及其相應體系規范的維護方式。結合國內現狀提出筆者的一些建議。希望通過本文的討論，使得支付卡產業鏈的各個角色在未來更加重視信息安全工作，從而更為有效、全面、標準化地保護持卡人的機密信息。結合中國的現實國情，制定出符合中國支付安全領域的行業規范和標準。

PCI安全標委會機構設置

PCI SSC是由美國運通(American Express)、美國發現金融服務(Discover Financial Services)、JCB、萬事達(MasterCard Worldwide)和Visa國際組織五家支付品牌在06年秋共同籌辦設立的統一且專業的信息安全標準委員會。此外整個產業鏈中的商戶、支付設備和服務廠商、處理機構和金融機構都可以成為PCI安全標準委員會的參與組織，因為支付安全問題不僅僅是支付品牌的責任，保護持卡人利益對于任何參與角色都是至關重要的。

PCI安全標準委員會(PCI SSC)的最高級別執行委員會(Executive Committee)是由上述五家支付卡品牌中負責風險管理或相關服務技術的副總裁組成。執行委員會下設管理委員會(Management Committee)，也由五家支付卡品牌的相關負責人組成，負責該安全標委會的重大決策。委員會設有總經理(General Manager)，并設立專門的DSS工作組、PED工作組、QSA體系管理、ASV體系管理、PA體系管理等部門，分別負責各自領域的標準開發和體系維護等技術工作，此外還設有市場工作組和立法委員會。

標準的歷史和發展

目前，支付卡產業安全標準委員會(PCI SSC：Payment Card Industry Security Standards Council)承擔了VISA等信用卡品牌組織早先的信息安全工作，統一地推廣和采用PCI安全標準，從而推動和提高全球范圍的支付賬戶安全。

PCI安全標準包括廣泛的工作內容范圍，而過去這些工作是由各個支付品牌自行開展或者由非正式的支付品牌聯盟管理維護的。為了更好的適應全球技術的發展和使用，PCI安全標準推出的重要意義在于它是面向所有支付卡產業鏈參與者的統一且正式的標準體系，它涉及到支付卡產業鏈中所有的參與者，比如商戶、金融機構、處理機構、服務提供商等。

PCI數據安全標準(DSS：Data Security Standard)提供了保障敏感信息安全性的產業工具和方法的通用集合。標準的原型來自于VISA的客戶信息安全(AIS：Account Information Security)/ 持卡人信息安全(CISP：Cardholder Information Security)體系和MasterCard的站點數據保護(SDP：Site Data Protection)體系，該安全標準提供了可靠性較高的、適合操作的數據安全流程框架結構，包括安全事件的阻止、檢測和反應。目前所采用的標準1.2版本是由PCI安全標準委員會編制修訂發布的。最新版本的標準更具有可實施性，因為制定過程得到了合作伙伴和客戶的積極反饋。

PCI DSS包括技術基礎描述、需求，以及測評方法。標準提出了持卡人數據的安全存儲、處理和傳輸的詳盡的技術需求。標準同時提出了面向測評的通用的審計流程和掃描流程，以及通用的安全自評估問卷。PCI DSS描述了6個邏輯相關組“控制目標”的12項安全需求，他們分別是建設和維護安全網絡(build and maintain a secure network)、保護持卡人數據(protect cardholder data)、確保脆弱性管理體系的維護(ensure the maintenance of vulnerability management programs)、實施強訪問控制(implement strong access control measures)、經常性地監控和測試網絡(regularly monitor and test networks)、確保信息安全策略的維護(ensure the maintenance of information security policies)。標準涉及的安全需求應用于所有的“系統組件”。系統組件是指任何被包含或者連接到持卡人數據環境的網絡組件、服務器、或者應用系統。持卡人數據環境是處理持卡人數據或者敏感認證數據的網絡組成部分。適當的網絡分割使存儲、處理或傳輸持卡人數據的系統與其他系統獨立出來，從而可以簡化持卡人數據范圍。網絡組件包括但不限于防火墻、交換機、路由器、無線訪問點、網絡設備、以及其他持卡人數據環境范圍內的設備。服務器類型包括但不限于如下：網頁、數據庫、認證、郵件、代理、網絡時間協議(NTP)、和域名服務器(DNS)。應用包括所有購買的和客戶定制的應用，包括內部和外部(互聯網)的應用。

PCI標準委員會根據各個參與方的反饋和實施情況負責標準的更新修訂，但一般來講更新的頻率不會多于一年一次。如果必要，最新標準符合性完成的生效期限將被規定，從而確保實施符合性建設能夠平穩過渡且及時達到最新要求。

標準的參與機構以及標準的實施

支付卡產業的各個參與機構均應該考慮實施符合性工作，即使是中小型的商戶也應該考慮標準的符合性建設，特別是所有的商戶(merchants)和服務提供商(Service providers)需要符合該標準的要求。各支付品牌(如VISA)各自維護其符合性驗證體系，如何向支付品牌證明符合性，不同的支付品牌有各自明確的準則和要求。

如果機構完成了很多其他業務領域或者法規的符合性要求，比如SOX、GLB、FFIEC等，他們與PCI DSS的關系是相輔相成、互相促進的。PCI DSS更加專業地關注于保護存儲的支付帳戶信息，并最大限度的減少未授權的入侵或者帳戶安全事件發生的風險。機構應該致力于PCI DSS的符合性，從而降低由于潛在的支付賬戶危害所帶來的品牌、聲譽以及財政的風險。

除了完成PCI DSS的符合性，各機構應根據支付品牌的審核驗證策略和流程，通過第三方中立且經授權的合格評估機構(QSA：Qualified Security Assessor)和安全掃描供應商(ASV：Approved Scanning Vendor)進行符合性驗證，審核和驗證應該根據不同的支付品牌的特定策略和流程來進行。基于目前的體系，PCI SSC不涉及出現賬戶安全事件后的取證調查，以及相關授權認可工作，各支付品牌將繼續使用已有的過程和流程。

PCI安全標準委員會在其官方網站上維護QSA的列表，該列表中的QSA是經過SSC(以及相應的支付品牌)授權認可開展評估工作。而另一方面，PCI SSC并不負責維護獲得符合性認證的商戶或者服務提供商，因為各支付品牌自行接受QSA和ASV所完成符合性評估和審核。PCI標準委員會嚴格地維護和管理第三方中立的評估機構QSA和ASV。PCI SSC負責認可和授權世界范圍內的QSA和ASV機構，及其重新驗證流程;培訓和考核相應的審核人員并執行每年一次的人員重新資格評定，培訓和考核工作針對PCI DSS的相關需求以及針對特定復雜需求和操作環境修補控制的評估。目前各支付品牌已經不再自行維護和管理QSA和ASV，統一由PCI SSC負責。

一般來講，處理大量交易或者已經被發現缺陷的支付卡產業參與角色都需要獨立的第三方評估，因為他們存在較高的風險。不同的支付品牌針對評估有不同的要求。比如典型的方法是根據商戶的交易量確定商戶的特定“級別”，不同的支付品牌可能要求特定級別的符合性評估由獨立的合格的安全評估機構QSA來執行。比如在中國atsec信息安全是經過PCI授權認可的QSA，同時可以提供專業的信息安全咨詢，協助理解標準和體系要求;機構也可以聯系收單銀行(acquiring bank)或者直接聯系支付品牌(payment brand)，從而了解要求的評估方式。

評估工作的開展遵從于支付卡產業數據安全標準(PCI DSS)安全審計流程，該流程提供了檢查清單(checklist)和測評流程。典型的模式是合格的安全評估機構(QSA)首先審核環境和流程的文檔。文檔審核之后，進行現場評估(Onsite review)驗證文檔體系實現的正確性，以及敏感數據的處理和存儲是否符合標準的要求。最終QSA提供(以及在適當的情況提供給支付品牌)符合性證書(CoC：Certificate of Compliance)證明滿足了標準的要求，或者在滿足CoC頒發要求之前提供需要解決的問題清單。

所有涉及存儲、處理和傳輸主賬戶號碼(PAN：Primary Account Numbers)，也即信用卡號碼和與其在同一邏輯網絡的所有系統，他們必須符合PCI數據安全標準。通過減少涉及交易或者有可能進入相關數據的系統數量、實施網絡分割(比如通過防火墻)、以及其他的有效方法都建議被使用，從而有效的減少符合性評估工作的工作量。

如果機構懷疑或者已經確認安全漏洞事件導致了支付卡數據的泄露，應該啟動應急響應流程并按照支付品牌的特定流程進行通知。包括在規定時間內通知受影響的支付品牌和適當的法律執行機構。對于上述工作，作為擁有多年國際聲譽和信息安全測評、管理和技術咨詢經驗的atsec信息安全可以為相關機構提供符合性的支持和策略制定的指導。而對于評估驗證的時間和成本，根據范圍的不同存在差異。比如一些小型商戶可能只是包括一臺單獨的PC;而某大規模數據中心可能涉及更廣泛的范圍。一般情況可以與評估機構取得初步聯系進行時間和成本的確定。

PCI標準委員會不負責管理符合性體系，而各支付品牌擁有各自的符合性要求。如果出現了安全事件，沒有符合標準的商戶或者服務提供商可能面對支付品牌的經濟處罰和相關操作處理。各個商戶應該聯系其收單金融機構(acquiring financial institutions)決定針對他們的符合性驗證要求。服務提供商也應該聯系支付品牌獲得更多的信息。各個支付品牌均已經建立了各自的驗證和時間要求，符合性體系中的罰金管理也由各支付品牌自行負責。

PCI符合性狀態

根據Forrester Research在2007年7月對于美國和歐洲PCI符合性研究報告顯示[3]，很多的商戶和服務提供商存儲了過多的信用卡號碼之外的機密數據信息。在被統計的機構當中，81%的機構存儲了信用卡號碼，73%的機構存儲了信用卡過期時間，71%存儲了驗證碼(Verification codes)，而且超過50%的機構都表示存儲了信用卡磁條(magnetic stripe)上的用戶數據。很多處理大批量交易的機構都暴露出了極其錯誤的行為，特別是一些金融服務、醫療、保險和高等教育行業，相當比例的機構存儲了絕對禁止進行存儲的數據。這些機構存儲信用卡數據的動機也不盡相同，基本上可以歸納為使用這些信息進行防止欺騙的分析、用戶唯一識別、業務智能分析、退款、與合作伙伴信息共享等。相當多的機構還需要在信息存儲上進行優化和改進，以符合PCI信息安全標準中針對存儲的規定。

報告還顯示，密碼和訪問控制是PCI安全工作的重中之重，也是實際審計中發現最多的問題所在。數據泄露風險的減免是最高優先級的任務，而且交易量越大，其優先級就相應越高。機構中的IT部門將負責信用卡數據的保護，其直接負責人可能為CIO、CISO或者CTO等相應的職能角色。

通常，機構如果首次進行PCI的信息安全建設，其投資力度可能需要占據相當部分的IT預算(通常會占整個IT預算的2%-5%)，某機構CIO認為其投資甚至可能會超過SOX法案的符合性和審計工作。不過，筆者認為任何的信息安全工作都不是互不相干、獨立為營的，比如ISO/IEC 27001的信息安全管理體系框架將會直接平穩的應用于PCI的符合性建設;Cobit和ITIL標準框架也對PCI符合有所幫助。

通過近期的PCI符合工作狀態分析，可以看到大量機構需要重新構建業務流程，從而實現信用卡數據的保護;符合性體系應整體考慮，建立一套適合機構自身特點的風險管理模型，需要將PCI符合性建設融入到風險管理策略之中，而不是完全孤立的去考慮它;PCI符合性建設工作還需要加大資金和時間投入;另外應更多地優化保護信用卡數據的存儲和傳輸，而不是僅僅著眼于其運行環境。

很多的歐美的機構已經通過PCI的符合性建設提高了其信息安全水平，近一半的歐美機構于2008年內全面的完成PCI的符合性工作并通過認證，而30%左右的機構計劃2年內完成該項工作;目前主要的關注行業集中在零售業、金融服務、媒體和娛樂、保險行業等等。

中國支付安全標準現狀

PCI在中國所受的關注程度還具有提高的空間，但是目前信用卡支付和電子商務的交易量越來越大，出現的安全隱患也與日俱增，中國與國際的經濟往來越來越緊密，對于支付安全的需求也必然越來越高。

目前，中國尚未制定相關行業標準，各國家主管部門雖然意識到制定中國自己的支付行業標準是刻不容緩的，但是標準的統一尤其是相關安全標準的統一，是一個漫長和曲折的過程。有了行業標準之后，為了將標準充分應用和切實落實，還需要相關國家主管部門出臺一套完整的合規評估體系，包括相關的制度、流程以及合規評估機構的規范和統一。

結合現狀提出建議

atsec作為中立的第三方機構，經過多年來在信息安全領域的實踐經驗，結合目前國內的支付安全現狀就未來支付行業的發展提出以下建議：

◆可由國家相關政府職能部門和主管部門共同建立支付行業標準委員會。

◆PCI DSS標準已經得到世界范圍廣泛的專業認可，可通過該標準中對于審核對象的要求和最佳實踐結合中國國情制定適合于我國的支付行業標準。

◆在合規評估體系的建設工作中，可借鑒國際上對于標準評估認證的管理辦法。比如，由政府職能部門聯合中國銀聯、銀行、卡商以及中立的第三方評估機構共同合作開展合規評估規范工作。采用維護評估實驗室的方式，加強審核方管理辦法，制定嚴謹的評估體系，嚴格依據標準進行規范化審核。

◆授權專業的支付信息安全評估實驗室，實驗室應該為第三方中立的咨詢和評估機構，而非大型產品代理商或者廠商。被授權的評估實驗室應具備多年信息安全工作經驗。

◆支付標準委員會只負責維護評估實驗室和掃描機構，并對執行的審核結果進行核查和監管。

◆為了確保被授權機構的中立，便于維護，被授權的實驗室可定期向授權機構繳納年金。對于被授權機構所執行的審核項目，應由被審核機構向授權機構提交實驗室評定。授權機構定期整理，取消不符合要求的實驗室資質。