Генеральный директор Муниципального Отраслевого Совета по Стандартам обеспечения защиты Платежа обсуждает то, что он планирует сказать Конгрессу о безопасности платежа.Недавняя утечка данных в ритейлере Target – который оставил 70 миллионов американцев и их персональные данные в риске – получает внимание Конгресса на этой неделе на многих слушаниях о безопасности данных.
Одним из участников тех слушаний является Боб Руссо, генеральный директор Муниципального Отраслевого Совета по Стандартам обеспечения защиты Платежа (PCI SSC), который наблюдает за Стандартом по защите данных PCI (DSS PCI) для ритейлеров и платежных систем.Руссо собирается свидетельствовать перед палатой Комитет по энергетике и коммерции на Связанном узами брака.
5 февраля, в то время как дубликат Руссо, Рапа Трои, CTO PCI SSC, свидетельствует перед комитетом по банковскому делу Сената сегодня. Обе Рапы и Руссо свидетельствовали, прежде чем Конгресс в прошлом о безопасности платежа и работе PCI, сказал Руссо eWEEK.Недавние розничные нарушения, которые были в новостях, выделяют потребность в многослойном подходе к безопасности, которая является тем, что обещает стандарт DSS PCI, сказал Руссо.
Он подчеркнул, однако, что одна только технология не является решением. Были некоторые обсуждения, что использование технологии изготовления микросхем EMV на кредитных картах предотвратило бы утечку данных Target, так как американские ритейлеры в основном только поддерживают базируемые карты магнитной дорожки.
«Безопасность о людях, процессе и технологии», сказал Руссо. «Мы думаем, что PCI лучше всего размещен для управления этого сообщения, и у нас есть глобальная организация, которая делала это в течение прошлых семи с половиной лет».Стандарты PCI развились за эти годы, когда рыночный спрос диктует.
Американское правительство хочет внести свое вклад, чтобы помочь предотвратить будущие розничные нарушения, и лучшее место для правительства для помощи, помещая его ресурсы в проведение законов в жизнь и совместное пользование информацией, сказал Руссо.У американского правительства сегодня нет непосредственного участия в PCI SSC, хотя Руссо отметил, что Совет по PCI действительно сотрудничает с правительством во всех шансах, которые это может получить.Относительно недавнего потока розничных нарушений Руссо сказал, что слишком рано для сообщения то, что фактически пошло не так, как надо. Крупные американские ритейлеры являются обычно соответствующими DSS PCI, который мог привести к спекуляции, что, возможно, стандарт пропускает что-то, что включило нарушения.
«Очень трудно выяснить то, что продолжается, но если мы продвигаемся строки, что это была некоторая форма вредоносного программного обеспечения торговой точки, существует много вещей в стандарте PCI сегодня, чтобы препятствовать тому, чтобы вредоносное программное обеспечение вошло», сказал Руссо.Как только судебная информация в нарушение Target доступна, понимая, как вредоносное программное обеспечение вошло в систему, будет важная часть проблемы.«Стандарт говорит Вам, что Вы должны поместить блокировку на дверь, но люди отделяются средств уравнения Вам решать для фактического блокирования двери», сказал Руссо.Как только вредоносное программное обеспечение входит, стандарты PCI включают положения для контроля организации для наблюдения то, что продолжается, сказал Руссо.
В целом, Руссо подчеркнул, что, насколько он знает, стандарт PCI и его подход подчеркивания людей, процесса и технологии достаточны для ограничения рисков для розничных платежных систем.«Мое сообщение к Конгрессу – то, что вплоть до сих пор было много ‘цыпленка мало, небо падает’, но пока мы фактически не видим то, что продолжается, нет никакого способа сделать определение», сказал Руссо.Хотя текущая система розничной торговли платежа является очень сложной средой, полный Руссо сказал, что это – его твердое убеждение, что стандарты PCI предоставляют действительно существенную базовую линию для безопасности. В конечном счете сообщение, что Руссо ожидает, появится, то, что соответствие PCI будет частью операций ‘обычного бизнеса’ и не один раз через год осуществление соответствия.
Это – сообщение, которое является также ключевой ролью нового стандарта PCI DSS 3.0, который вступил в силу 1 января.В то время как Руссо уверен, что сам PCI является сильной базовой линией для безопасности, он стремится видеть, что реальная подробная судебная информация в нем появляется из нарушения Target.«Мое инстинктивное чувство состоит в том, что нет ничего отсутствующего в стандарте PCI, но если существует что-то, что отсутствует в стандарте, тогда мы хотим знать, который является, почему мы будем убеждать правительство сотрудничать на совместном пользовании информацией и проведении законов в жизнь», сказал Руссо. «Давайте не забывать, кто плохой парень здесь; это не продавец, и это не PCI; это – лицо где-нибудь в мире, который взломал систему и украл всю информацию».Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.