信用卡产业安全标准建立 存储厂商蓄势待发

    存储在线 10月8日消息：多家信用卡业者，如维萨卡（Visa）、万事达卡（Mastercard）开始严密要求发卡银行能够有效确保持卡人的数据受到安全管理。 
  
    包含了American Express、Discover Financial Service s、JCB、MasterCard Worldwide、Visa International 等五大国际组织，日前共同宣布创设独立的支付卡产业安全标准协会(PCI Security Standards Council)，负责发展与管理支付卡产业的数据安全标准。决定一并向发卡银行要求遵照一称之为“支付卡产业安全（PCI，Payment Card Industry Security ）”标准，依照规范内容，倘发卡银行未在明年底之前完成上述要求，上述组织将予以罚锾，或者调高手续费；若迄2010年尚未完成部署，则会取消其发卡资格。
   
    大体而言，这项标准的内容系所有信用卡会员、 商店、服务提供者，在存储、处理、与传递持卡人资料时需要做到的安全事项。要求不论是在传输或是闲置时 ( 例如：存放在数据库里 )，这些持卡人的敏感数据必须被加密。 
  
    “预计此一规定，将敦促银行业者开始在存储设备端，着手部署符合规范的安全管理措施；只不过相信还不会即知即行，”NetApp台湾区总经理张怀宇说。 
  
    PCI标准的出现，无疑视为民间版的法规遵循（Regulatory compliance）。所谓的法规遵循，系指从去年开始在欧美国家颁布的各项法规如巴塞尔协议（Basel II）、萨宾法案（Sarbanes-Oxley Act），或是BS7799／ISO17799、COBIT等规定：公司内部文件必须被保留2到5年，且企业中的信息、稽核或法律等不同部门，能够在很短的时间以内，调阅检查邮件纪录与内容。且在美国上市或与美国贸易有往来者，也必须以同等规格存储数据。 
  
    为了符合上述规范，各大存储厂商早已磨刀霍霍。诉求存储产品能够确保数据一旦存入存储设备，即不再被窜改、未被授权者无法存取，且提取数据的时间也非常快速。产品内容则包括了NetApp布建在服务器和存储设备之间的数据加密产品DataFort；HP则有参考信息存储系统（Reference Information Storage System, RISS）；EMC则提出CAS Content-addressed storage）存储架构产品Centera。

    惟由于法规遵循规范的范围仅限在欧美国家上市的公司，对于本地企业影响有限。导致国内企业用户对于法规遵循反应不大。HP网络存储解决方案事业处存储方案产品经理萧舜华即表示，目前RISS的客户群偏重在制造业，且多用来做内部控管，归档员工的电子邮件、文件内容等。 
  
    PCI标准的出现又再度为国内法规遵循市场添加新动能。NetApp资深系统顾问工程师姜群表示，相较于法规遵循要求快速调阅检查数据、且效应偏重在欧美国家，PCI标准更在乎的是持卡人的数据是不是能受到缜密的安全管理，且由于信用卡的使用不分国界，因此NetApp预料，这将是相较于传统的法规遵循，更能驱动银行业者投入部署安全的存储环境的要素。 
  
    根据PCI标准白皮书内容，共有12项要求，大致可分为：建立和维持安全的网络、保护持卡人的数据、保有完善的管理机制、严密的存取控制、定期监控和测试网络、遵守信息安全政策。 
  
    “不过效应不会那么快浮现，”张怀宇坦言。原因在于今年银行金融业饱受卡债风暴影响，缩减IT预算支出。 
  
    “现在遇到另一棘手问题是，没有人想先当白老鼠；先做的人也可能会被同业批评，因为这样金管会就会马上要求其它银行业者跟进，”姜群说。

未经允许不得转载：DOIT » 信用卡产业安全标准建立 存储厂商蓄势待发