为什么在银行帐号中不存在PCI安全要求呢? Gartner公司的副总裁兼著名分析师Avivah Litan表示,她一直很奇怪,在敏感的银行账户数据中居然缺乏行业安全标准。最近,她就在一篇博文里面提出了这个问题。
Litan写到,通过执行PCI安全要求,信用卡品牌很好地推动了用户的安全意识,那些处理支付卡交易的公司也对自己的系统进行了升级。Litan补充到,“我经常在想,为什么一个类似的银行联盟没有尽全力去加强对银行账户和相关数据的保护呢?”
一般说来,虽然在PCI数据安全标准体系下的信用卡品牌(如Visa、MasterCard)都严谨组织,但是支付卡的安全缺陷却越来越多。随着网上银行诈骗的增多,安全方面的情况可能会发生改变。她还说,“如果你问银行威胁在哪里,他们肯定会说是ACH和电信诈骗,因为这两者都依赖于银行账户的数据。”
由于针对小型、市政机构和非盈利机构银行账户的欺骗行为不断增加,联邦政府官员已经对此发出了警告。据联邦存款保险公司(FDIC)估计,因为欺诈性的转账行为,在2009年第三季度已经导致了约1.2亿美元的损失。
Litan表示,网上企业银行账户正受到攻击,但是欺诈造成的损失一般都会转嫁到银行客户身上,这也让银行没有多少动力去增强保护措施。
Litan说,“PCI的实施是用来保护信用卡公司而不是消费者的。当银行采取措施保护自己免受经济损失时,他们做得很好,但是如果这种损失能转移到客户身上,那么他们就不一定愿意去加强同样的保护了。”
一些企业告诉Litan,当他们为支付卡数据执行PCI安全要求时,他们计划将围绕银行账户和社会保险号码等敏感数据执行一些安全措施。除此之外,像ProPay公司这样的外包支付提供商已经开始提供除支付卡数据之外的银行账户标记化(tokenization)服务。
ProPay最近宣布它将把自动结算所(Automated Clearing House,ACH)数据(包括汇款线路和银行账户号码)加密和标记化功能添加到ProtectPay服务中去。该公司的高层表示,这种服务是第一个允许组织在没有或处理银行账户数据的ACH网络上进行交易的服务。通过使用在线接口或API,ProPay可以捕获ACH数据、对其进行加密,并返回一个标记(token)。
ProPay的产品管理副总裁Raya Oaks说,“一旦在自己的环境中拥有了那个标记,他们就可以在公司任何正常的业务流程中使用。如果他们需要提取汇款路线和往来账户号码的最后四位数字,可以调用一些APS来使用这个标记获得最后四位数字,这样就可以在客户服务中心进行显示和核对。当真正敏感的数据从他们的系统中移除的时候,也能给予数据安全保障。”
Oakes表示,这项服务是为需要存储银行帐户信息的组织设计的,比如拥有自动缴费或直接存款业务的公司。一些公共事业公司已经在使用这项服务了。
ProPay的首席信息官Mark Johnson表示,由于ACH诈骗不断涌现,用户开始表达他们对ACH数据的担忧。Oakes说,他期望像PCI这样的标准最终会出现在ACH数据中。
Unisys系统公司风险智能解决管理全球总监Sid Pearl表示,-ISAC等组织可以和银行一起为银行账户数据建立一套安全标准,当然这需要在理解了到底是什么应该得到保护之后,例如需要从网络攻击者的角度想问题。
Unisys 公司上个月发布的一项研究显示,身份盗窃、信用卡和借记卡欺诈是美国人最担忧的问题。根据最新的Unisys安全指数(调查了超过1000名消费者)结果显示:超过64%的受访者非常关注身份盗窃,而超过62%的受访者担心信用卡和借记卡欺骗。
咨询公司R.I.S.C. Associates的常务董事David Schneier表示,银行业已经制定了一套新的制度来管理银行账户信息,即GLBA。
Schneier说,“管理帐户数据固有风险的问题在于,各个机构能做的不多,而信息会以‘借记卡购买’和‘活动’的形式在多个渠道上传播,这也是当前供应商管理背后的主要动力之一。”