信用卡機構加入法規遵循行列

【2006/10/05 CNET】

多家信用卡業者，如威士卡（Visa）、萬事達卡（Mastercard）開始嚴密要求發卡銀行能夠有效確保持卡人的資料受到安全管理。

包含了American Express、Discover Financial Service s、JCB、MasterCard Worldwide、Visa International 等五大國際組織，日前共同宣布創設獨立的支付卡產業安全標準協會(PCI Security Standards Council)，負責發展與管理支付卡產業的資料安全標準。決定一併向發卡銀行要求遵照一稱之為「支付卡產業安全（PCI，Payment Card Industry Security ）」標準，依照規範內容，倘發卡銀行未在明年底之前完成上述要求，上述組織將予以罰鍰，或者調高手續費；若迄2010年尚未完成部署，則會取消其發卡資格。

大體而言，這項標準的內容係所有信用卡會員、商店、服務提供者，在儲存、處理、與傳遞持卡人資料時需要做到的安全事項。要求不論是在傳輸或是閒置時 ( 例如：存放在資料庫裡 )，這些持卡人的敏感資料必須被加密。

「預計此一規定，將敦促銀行業者開始在儲存設備端，著手部署符合規範的安全管理措施；只不過相信還不會即知即行，」NetApp台灣區總經理張懷宇說。

PCI標準的出現，無疑視為民間版的法規遵循（Regulatory compliance）。所謂的法規遵循，係指從去年開始在歐美國家頒佈的各項法規如巴塞爾協定（Basel II）、沙賓法案（Sarbanes-Oxley Act），或是BS7799／ISO17799、COBIT等規定：公司內部文件必須被保留2到5年，且企業中的資訊、稽核或法律等不同部門，能夠在很短的時間以內，調閱檢查郵件紀錄與內容。且在美國上市或與美國貿易有往來者，也必須以同等規格儲存資料。

為了符合上述規範，各大儲存廠商早已磨刀霍霍。訴求儲存產品能夠確保資料一旦存入儲存設備，即不再被竄改、未被授權者無法存取，且提取資料的時間也非常快速。產品內容則包括了NetApp佈建在伺服器和儲存設備之間的資料加密產品DataFort；HP則有參考資訊儲存系統（Reference Information Storage System, RISS）；EMC則提出CAS Content-addressed storage）儲存架構產品Centera。

惟由於法規遵循規範的範圍僅限在歐美國家上市的公司，對於本地企業影響有限。導致國內企業用戶對於法規遵循反應不大。HP網路儲存解決方案事業處儲存方案產品經理蕭舜華即表示，目前RISS的客戶群偏重在製造業，且多用來做內部控管，歸檔員工的電子郵件、文件內容等。

PCI標準的出現又再度為國內法規遵循市場添加新動能。NetApp資深系統顧問工程師姜群表示，相較於法規遵循要求快速調閱檢查資料、且效應偏重在歐美國家，PCI標準更在乎的是持卡人的資料是不是能受到縝密的安全管理，且由於信用卡的使用不分國界，因此NetApp預料，這將是相較於傳統的法規遵循，更能驅動銀行業者投入部署安全的儲存環境的要素。

根據PCI標準白皮書內容，共有12項要求，大致可分為：建立和維持安全的網路、保護持卡人的資料、保有完善的管理機制、嚴密的存取控制、定期監控和測試網路、遵守資訊安全政策。

「不過效應不會那麼快浮現，」張懷宇坦言。原因在於今年銀行金融業飽受卡債風暴影響，縮減IT預算支出。

「現在遇到另一棘手問題是，沒有人想先當白老鼠；先做的人也可能會被同業批評，因為這樣金管會就會馬上要求其他銀行業者跟進，」姜群說。

---------------------------------

http://www.asiapeak.com/download/securedb_visamastercard.pdf

http://www.asiapeak.com/download/pci-1.pdf