数据存储产业服务平台

信用卡产业安全标准建立 存储厂商蓄势待发

    存储在线 10月8日消息:多家信用卡业者,如维萨卡(Visa)、万事达卡(Mastercard)开始严密要求发卡银行能够有效确保持卡人的数据受到安全管理。 
  
    包含了American Express、Discover Financial Service s、JCB、MasterCard Worldwide、Visa International 等五大国际组织,日前共同宣布创设独立的支付卡产业安全标准协会(PCI Security Standards Council),负责发展与管理支付卡产业的数据安全标准。决定一并向发卡银行要求遵照一称之为“支付卡产业安全(PCI,Payment Card Industry Security )”标准,依照规范内容,倘发卡银行未在明年底之前完成上述要求,上述组织将予以罚锾,或者调高手续费;若迄2010年尚未完成部署,则会取消其发卡资格。
   
    大体而言,这项标准的内容系所有信用卡会员、 商店、服务提供者,在存储、处理、与传递持卡人资料时需要做到的安全事项。要求不论是在传输或是闲置时 ( 例如:存放在数据库里 ),这些持卡人的敏感数据必须被加密。 
  
    “预计此一规定,将敦促银行业者开始在存储设备端,着手部署符合规范的安全管理措施;只不过相信还不会即知即行,”NetApp台湾区总经理张怀宇说。 
  
    PCI标准的出现,无疑视为民间版的法规遵循(Regulatory compliance)。所谓的法规遵循,系指从去年开始在欧美国家颁布的各项法规如巴塞尔协议(Basel II)、萨宾法案(Sarbanes-Oxley Act),或是BS7799/ISO17799、COBIT等规定:公司内部文件必须被保留2到5年,且企业中的信息、稽核或法律等不同部门,能够在很短的时间以内,调阅检查邮件纪录与内容。且在美国上市或与美国贸易有往来者,也必须以同等规格存储数据。 
  
    为了符合上述规范,各大存储厂商早已磨刀霍霍。诉求存储产品能够确保数据一旦存入存储设备,即不再被窜改、未被授权者无法存取,且提取数据的时间也非常快速。产品内容则包括了NetApp布建在服务器和存储设备之间的数据加密产品DataFort;HP则有参考信息存储系统(Reference Information Storage System, RISS);EMC则提出CAS Content-addressed storage)存储架构产品Centera。


    惟由于法规遵循规范的范围仅限在欧美国家上市的公司,对于本地企业影响有限。导致国内企业用户对于法规遵循反应不大。HP网络存储解决方案事业处存储方案产品经理萧舜华即表示,目前RISS的客户群偏重在制造业,且多用来做内部控管,归档员工的电子邮件、文件内容等。 
  
    PCI标准的出现又再度为国内法规遵循市场添加新动能。NetApp资深系统顾问工程师姜群表示,相较于法规遵循要求快速调阅检查数据、且效应偏重在欧美国家,PCI标准更在乎的是持卡人的数据是不是能受到缜密的安全管理,且由于信用卡的使用不分国界,因此NetApp预料,这将是相较于传统的法规遵循,更能驱动银行业者投入部署安全的存储环境的要素。 
  
    根据PCI标准白皮书内容,共有12项要求,大致可分为:建立和维持安全的网络、保护持卡人的数据、保有完善的管理机制、严密的存取控制、定期监控和测试网络、遵守信息安全政策。 
  
    “不过效应不会那么快浮现,”张怀宇坦言。原因在于今年银行金融业饱受卡债风暴影响,缩减IT预算支出。 
  
    “现在遇到另一棘手问题是,没有人想先当白老鼠;先做的人也可能会被同业批评,因为这样金管会就会马上要求其它银行业者跟进,”姜群说。

未经允许不得转载:存储在线-存储专业媒体 » 信用卡产业安全标准建立 存储厂商蓄势待发