在最近的數(shù)據(jù)外泄的零售商Target，留下七名千萬美國人的，并在他們的個人信息的風(fēng)險，這個星期收到了一些對數(shù)據(jù)安全的聽證會的國會的注意。這些聽證會的參與者之一是支付委員會行業(yè)安全標(biāo)準(zhǔn)委員會(PCI SSC)總經(jīng)理Bob Russo，該委員會負(fù)責(zé)監(jiān)管零售商和支付系統(tǒng)的PCI數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)。

Russo準(zhǔn)備在星期三的眾議院能源和商業(yè)委員會作證。2月5日，Russo的同行，PCI SSC首席技術(shù)官Troy Leach今天在參議院銀行委員會作證。Russo告訴eWEEK，Leach和Russo過去都曾在國會作過關(guān)于支付安全性和PCI工作的證詞。

Russo說，最近在新聞中出現(xiàn)的零售違規(guī)事件凸顯了對多層安全性方法的需求，這是PCI DSS標(biāo)準(zhǔn)所承諾的。但他強調(diào)，僅靠技術(shù)并不是解決方案。已經(jīng)有一些討論認(rèn)為，在信用卡上使用EMV芯片技術(shù)可以防止Target數(shù)據(jù)泄露，因為美國零售商在很大程度上僅支持基于磁條的卡。

Russo說：“安全與人員，流程和技術(shù)有關(guān)。” “我們認(rèn)為PCI最適合驅(qū)動這一信息，并且我們有一個全球性機構(gòu)在過去七年半的時間里一直在這樣做。

多年來，PCI標(biāo)準(zhǔn)隨著市場需求的發(fā)展而發(fā)展。Russo說，美國政府希望盡自己的一份力量來幫助防止將來發(fā)生零售違規(guī)行為，而政府提供幫助的最佳場所是將其資源用于執(zhí)法和信息共享。

今天的美國政府沒有直接參與PCI SSC，盡管Russo指出PCI委員會確實會與政府合作。

關(guān)于最近發(fā)生的一系列零售違規(guī)事件，Russo說，現(xiàn)在斷言真正出了問題還為時過早。美國主要零售商通常都遵守PCI DSS，這可能導(dǎo)致人們猜測該標(biāo)準(zhǔn)可能缺少某些導(dǎo)致違規(guī)的內(nèi)容。

“很難弄清到底是怎么回事，但是如果我們堅持認(rèn)為這是某種形式的銷售點惡意軟件，那么當(dāng)今的PCI標(biāo)準(zhǔn)中有很多東西可以防止惡意軟件進(jìn)入。”魯索說。

一旦提供了有關(guān)Target漏洞的取證信息，了解惡意軟件如何進(jìn)入系統(tǒng)將是一個重要的難題。

Russo說：“標(biāo)準(zhǔn)告訴您，您需要在門上放一個鎖，但是人為因素意味著您必須實際鎖上門。”

Russo說，一旦惡意軟件入侵，PCI標(biāo)準(zhǔn)就包含了對組織進(jìn)行監(jiān)視以了解正在發(fā)生的事情的規(guī)定。

總體而言，Russo強調(diào)，據(jù)他所知，PCI標(biāo)準(zhǔn)及其強調(diào)人員，流程和技術(shù)的方法足以限制零售支付系統(tǒng)的風(fēng)險。

魯索說：“我向國會傳達(dá)的信息是，到目前為止，有很多'小雞沒落的天空'，但是直到我們真正看到正在發(fā)生的事情之前，還沒有辦法下定決心。”

盡管當(dāng)前的支付零售系統(tǒng)是一個非常復(fù)雜的環(huán)境，Russo總體上表示，他堅信PCI標(biāo)準(zhǔn)為安全性提供了真正可靠的基準(zhǔn)。最終，Russo希望傳達(dá)的信息是PCI合規(guī)性將成為“一切照舊”運營的一部分，而不是每年一次的合規(guī)性活動。該消息也是新PCI DSS 3.0標(biāo)準(zhǔn)的關(guān)鍵部分，該標(biāo)準(zhǔn)于1月1日生效。

盡管Russo相信PCI本身是安全性的堅實基礎(chǔ)，但他仍渴望看到Target漏洞中出現(xiàn)了真正的詳細(xì)法醫(yī)信息。

“我的直覺是PCI標(biāo)準(zhǔn)中沒有任何遺漏，但是如果標(biāo)準(zhǔn)中有遺漏，那么我們想知道，這就是為什么我們將敦促政府在信息共享和協(xié)作方面進(jìn)行合作。執(zhí)法”，Russo說。“讓我們不要忘記誰是壞人;不是商人，也不是PCI;是世界某個地方的人侵入了系統(tǒng)并竊取了所有信息。”