在最近的數據外泄的零售商Target，留下七名千萬(wàn)美國人的，并在他們的個(gè)人信息的風(fēng)險，這個(gè)星期收到了一些對數據安全的聽(tīng)證會(huì )的國會(huì )的注意。這些聽(tīng)證會(huì )的參與者之一是支付委員會(huì )行業(yè)安全標準委員會(huì )(PCI SSC)總經(jīng)理Bob Russo，該委員會(huì )負責監管零售商和支付系統的PCI數據安全標準(PCI DSS)。

Russo準備在星期三的眾議院能源和商業(yè)委員會(huì )作證。2月5日，Russo的同行，PCI SSC首席技術(shù)官Troy Leach今天在參議院銀行委員會(huì )作證。Russo告訴eWEEK，Leach和Russo過(guò)去都曾在國會(huì )作過(guò)關(guān)于支付安全性和PCI工作的證詞。

Russo說(shuō)，最近在新聞中出現的零售違規事件凸顯了對多層安全性方法的需求，這是PCI DSS標準所承諾的。但他強調，僅靠技術(shù)并不是解決方案。已經(jīng)有一些討論認為，在信用卡上使用EMV芯片技術(shù)可以防止Target數據泄露，因為美國零售商在很大程度上僅支持基于磁條的卡。

Russo說(shuō)：“安全與人員，流程和技術(shù)有關(guān)。” “我們認為PCI最適合驅動(dòng)這一信息，并且我們有一個(gè)全球性機構在過(guò)去七年半的時(shí)間里一直在這樣做。

多年來(lái)，PCI標準隨著(zhù)市場(chǎng)需求的發(fā)展而發(fā)展。Russo說(shuō)，美國政府希望盡自己的一份力量來(lái)幫助防止將來(lái)發(fā)生零售違規行為，而政府提供幫助的最佳場(chǎng)所是將其資源用于執法和信息共享。

今天的美國政府沒(méi)有直接參與PCI SSC，盡管Russo指出PCI委員會(huì )確實(shí)會(huì )與政府合作。

關(guān)于最近發(fā)生的一系列零售違規事件，Russo說(shuō)，現在斷言真正出了問(wèn)題還為時(shí)過(guò)早。美國主要零售商通常都遵守PCI DSS，這可能導致人們猜測該標準可能缺少某些導致違規的內容。

“很難弄清到底是怎么回事，但是如果我們堅持認為這是某種形式的銷(xiāo)售點(diǎn)惡意軟件，那么當今的PCI標準中有很多東西可以防止惡意軟件進(jìn)入。”魯索說(shuō)。

一旦提供了有關(guān)Target漏洞的取證信息，了解惡意軟件如何進(jìn)入系統將是一個(gè)重要的難題。

Russo說(shuō)：“標準告訴您，您需要在門(mén)上放一個(gè)鎖，但是人為因素意味著(zhù)您必須實(shí)際鎖上門(mén)。”

Russo說(shuō)，一旦惡意軟件入侵，PCI標準就包含了對組織進(jìn)行監視以了解正在發(fā)生的事情的規定。

總體而言，Russo強調，據他所知，PCI標準及其強調人員，流程和技術(shù)的方法足以限制零售支付系統的風(fēng)險。

魯索說(shuō)：“我向國會(huì )傳達的信息是，到目前為止，有很多'小雞沒(méi)落的天空'，但是直到我們真正看到正在發(fā)生的事情之前，還沒(méi)有辦法下定決心。”

盡管當前的支付零售系統是一個(gè)非常復雜的環(huán)境，Russo總體上表示，他堅信PCI標準為安全性提供了真正可靠的基準。最終，Russo希望傳達的信息是PCI合規性將成為“一切照舊”運營(yíng)的一部分，而不是每年一次的合規性活動(dòng)。該消息也是新PCI DSS 3.0標準的關(guān)鍵部分，該標準于1月1日生效。

盡管Russo相信PCI本身是安全性的堅實(shí)基礎，但他仍渴望看到Target漏洞中出現了真正的詳細法醫信息。

“我的直覺(jué)是PCI標準中沒(méi)有任何遺漏，但是如果標準中有遺漏，那么我們想知道，這就是為什么我們將敦促政府在信息共享和協(xié)作方面進(jìn)行合作。執法”，Russo說(shuō)。“讓我們不要忘記誰(shuí)是壞人;不是商人，也不是PCI;是世界某個(gè)地方的人侵入了系統并竊取了所有信息。”