玉山科技 AsiaPeak  
 


  中文首頁
  最新消息

  解決方案

  產品

  硬體加密模組(HSM)

>網路型 HSM

>單機型(PCIe卡) HSM

>USB介面 HSM

>Payment HSM

>KMIP金鑰管理

  PGP加密

>PGP加密原理

>電子郵件加密

>網路磁碟機加密

>硬碟加密

>企業郵件加密環境建置

>企業資料加密整合

  OpenPGP加密

>PGP加密伺服器

>PGP加密指令集與API

>PGP for Java API

   電子時戳

  儲存/資料庫/網路加密

>Storage/Tape加密器

>Data at Rest 加密

>網路加密器

>MS SQL 資料庫加密
   檔案傳輸管理(MFT)

>檔案加密傳輸服務

>檔案傳輸管理員

>檔案傳輸代理服務

  資源

  連絡我們

 English Version

信用卡機構加入法規遵循行列


【2006/10/05 CNET】

多家信用卡業者,如威士卡(Visa)、萬事達卡(Mastercard)開始嚴密要求發卡銀行能夠有效確保持卡人的資料受到安全管理。

包含了American Express、Discover Financial Service s、JCB、MasterCard Worldwide、Visa International 等五大國際組織,日前共同宣布創設獨立的支付卡產業安全標準協會(PCI Security Standards Council),負責發展與管理支付卡產業的資料安全標準。決定一併向發卡銀行要求遵照一稱之為「支付卡產業安全(PCI,Payment Card Industry Security )」標準,依照規範內容,倘發卡銀行未在明年底之前完成上述要求,上述組織將予以罰鍰,或者調高手續費;若迄2010年尚未完成部署,則會取消其發卡資格。

大體而言,這項標準的內容係所有信用卡會員、 商店、服務提供者,在儲存、處理、與傳遞持卡人資料時需要做到的安全事項。要求不論是在傳輸或是閒置時 ( 例如:存放在資料庫裡 ),這些持卡人的敏感資料必須被加密。

「預計此一規定,將敦促銀行業者開始在儲存設備端,著手部署符合規範的安全管理措施;只不過相信還不會即知即行,」NetApp台灣區總經理張懷宇說。

PCI標準的出現,無疑視為民間版的法規遵循(Regulatory compliance)。所謂的法規遵循,係指從去年開始在歐美國家頒佈的各項法規如巴塞爾協定(Basel II)、沙賓法案(Sarbanes-Oxley Act),或是BS7799/ISO17799、COBIT等規定:公司內部文件必須被保留2到5年,且企業中的資訊、稽核或法律等不同部門,能夠在很短的時間以內,調閱檢查郵件紀錄與內容。且在美國上市或與美國貿易有往來者,也必須以同等規格儲存資料。

為了符合上述規範,各大儲存廠商早已磨刀霍霍。訴求儲存產品能夠確保資料一旦存入儲存設備,即不再被竄改、未被授權者無法存取,且提取資料的時間也非常快速。產品內容則包括了NetApp佈建在伺服器和儲存設備之間的資料加密產品DataFort;HP則有參考資訊儲存系統(Reference Information Storage System, RISS);EMC則提出CAS Content-addressed storage)儲存架構產品Centera。

惟由於法規遵循規範的範圍僅限在歐美國家上市的公司,對於本地企業影響有限。導致國內企業用戶對於法規遵循反應不大。HP網路儲存解決方案事業處儲存方案產品經理蕭舜華即表示,目前RISS的客戶群偏重在製造業,且多用來做內部控管,歸檔員工的電子郵件、文件內容等。

PCI標準的出現又再度為國內法規遵循市場添加新動能。NetApp資深系統顧問工程師姜群表示,相較於法規遵循要求快速調閱檢查資料、且效應偏重在歐美國家,PCI標準更在乎的是持卡人的資料是不是能受到縝密的安全管理,且由於信用卡的使用不分國界,因此NetApp預料,這將是相較於傳統的法規遵循,更能驅動銀行業者投入部署安全的儲存環境的要素。

根據PCI標準白皮書內容,共有12項要求,大致可分為:建立和維持安全的網路、保護持卡人的資料、保有完善的管理機制、嚴密的存取控制、定期監控和測試網路、遵守資訊安全政策。

「不過效應不會那麼快浮現,」張懷宇坦言。原因在於今年銀行金融業飽受卡債風暴影響,縮減IT預算支出。

「現在遇到另一棘手問題是,沒有人想先當白老鼠;先做的人也可能會被同業批評,因為這樣金管會就會馬上要求其他銀行業者跟進,」姜群說。

---------------------------------

相關資料:

http://usa.visa.com/download/business/accepting_visa/ops_risk_management/cisp_pci_data_security_standard.pdf

http://www.asiapeak.com/download/securedb_visamastercard.pdf

http://www.asiapeak.com/download/pci-1.pdf



 

 







玉山科技 版權所有 © Copyright AsiaPeak 2006, All Rights Reserved