零售商和银行必须迅速采取行动,找出谁应该负责更有效地确保支付系统网络或有风险国会决定他们。
在因为周海量数据的破坏在零售商Target,银行和零售行业团体一直恶狠狠地指责对方没有采取足够措施来防止此类黑客攻击。最新的争论还在继续已经停滞在努力提高信用卡和借记卡的安全性进步的长期不和。
双方需要在attutude的变化。
美国银行家协会(ABA),信用社协会(CUNA),联邦信贷联盟协会(NAFCU)和其他人续约,要求零售商来实现更强的数据安全控制规定的呼叫。
“当一个像目标零售商讲它的客户具有欺诈性交易‘零责任’的,这是因为我们国家的银行提供救助,而不是遭受破坏的零售商,” ABA总裁弗兰克·基廷在写给国会前面说这个月。
在舆论一片贴在AmericanBanker.com上周,NAFCU首席执行官Dan伯杰责备零售商淡化其在维护客户敏感数据的作用。
多年来,格雷姆 - 里奇比利雷法案要求银行和信用社实现强大的数据安全控制,他指出,现在是时候实现零售商类似的规则。“如果零售商要获得消费者销售的回报,他们也应采取保护他们的数据了积极的作用,”伯杰说。
据CUNA,信用社至今迄今花了超过3000万$在目标断裂影响召回和补发信用卡和借记卡。当欺诈相关费用被纳入其中,信用社也为此付出高得多的价格为目标的愚蠢,根据该协会。
“相反,有些可能会认为,这些费用将不退还给信用社和目标或其他零售商的成员,” CUNA总裁兼首席执行官比尔·切尼在一份声明中说,“相反,信用社必须完全掩盖他们的卡的这些费用计划管理,包括反应商户数据泄露的这些情况“。
与此同时,有影响力的全国零售联合会(NRF)巧妙地回应将之归结为通过围绕美国银行和信用社用在卡技术漏洞
"For years, banks have continued to issue fraud-prone magnetic stripe cards to U.S. customers, putting sensitive financial information at risk while simultaneously touting the security benefits of next-generation PIN and Chip card technology for customers in Europe and dozens of other markets," NRF President and CEO Matthew Shay said in a letter to two lawmakers this week.
零售商已经准备好并愿意切换到PIN和芯片卡,但银行已经拖他们的脚,吉文争辩。“事实是,零售商不能单独做到这一点。”
对谁应承担对数据安全的责任的分歧在过去的几年里每一个主要的漏洞后成为必须。目标违约后表达了同样的问题和顾虑后还播出在TJX重要突破口超过五年前。
零售商继续坚持他们竭尽所能,以保护客户资料的安全,而银行有要求,他们必须承受太多的零售安全漏洞的成本。努力缩小差距,必须看到在过去的几年中取得多少实际进展。
零售商,特别是大的,必须集中大部分的信息安全工作的有关遵守支付卡行业数据安全标准,一组由Visa,万事达卡,美国运通等信用卡协会规定的安全要求。
在PCI标准的目的是让零售商采取保护信用卡和借记卡数据的最佳实践。多年来,符合标准已经成为许多零售商安全的最终目标。Target等大型零售商已投入数百万美元,确保在过去的几年里PCI合规性。
这些投资回收期迄今已被好坏参半。
零售商继续保持巨大的目标数据窃贼。该目标断裂独自导致了超过4000万张信用卡和借记卡的妥协和个人数据从大约70亿人曝光。至少三个其他零售商,包括Neiman Marcus的,最近受到影响以类似的方式。
数据泄露事件在最近几年已经迫使零售商工资数万甚至数百万美元的补救,法律和其他费用。
不过,支付卡行业并没有这么多的信息共享和分析中心传播恶意软件和威胁有关的数据,如几乎所有其他主要部门一样。
一些兼容PCI-公司都出现了漏洞,提高人们的标准,而批评者认为没能跟上快速变化的安全威胁的有效性问题。
Gartner分析师Avivah利坦的注意博客文章本周没有在PCI标准将有助于目标检测用来攻击其点销售系统网络的恶意软件。
其他努力提高支付系统的安全性,如终端到端到端加密和支付卡数据的符号化,也有限制,因为相对较低的采用程度的成功。谁已采取这样的措施零售商有时声称他们被迫解密的数据将它发送到他们的银行前。
银行也继续拖累他们的脚在芯片和PIN技术。
像CUNA组织一直很快就注意到,更新的技术,也称为智能卡EUROPAY万事达卡签证(EMV),也很可能采取什么行动来阻止目标事件。
即便如此,EMV被普遍认为比在美国,这是少数国家不要采取EMV的一个最发出信用卡和借记卡用于编码数据的磁条技术更好。
该NRF坚持认为,零售商已经准备好并愿意投资必要切换到EMV标准。但银行迄今至少不会愿意作出这样的转变。
目标违约的范围提请立法者的注意。众议院金融服务委员会的成员呼吁对违反看聆讯到底发生了什么,并找出是否需要为零售商新的数据保护任务。
虽然ABA,CUNA和其他的银行集团将欢迎这样的联邦干预,它可能会给零售商麻烦。
在2007年的TJX违反回来之后,一些国会议员想要求零售商执行类似的征收金融服务公司的数据安全标准。
零售商认为然后不需要的这些措施,因为他们处理的数据是比银行和其他金融机构保持远不太敏感。即便如此,有一个真正的风险,即违约将促使国会显著扩大的授权数据保护要求的范围。
现在是时候对数据安全性的全行业讨论凯茜Hotka,谁帮年前设立CIO委员会在NRF经过较长时间的零售业咨询师说。
十年前,一个靶样违约将被视为一个不幸的一次性事件,Hotka说。
这些天来,她说,“我们知道有这些壮观复杂的工具,坏人可以用它来获得对任何网络访问,都大大更好的装备比他们曾经是(因此)采取行动的时间就是现在。”
Jaikumar维贾雅恩覆盖数据安全和隐私问题,金融服务安全和计算机世界电子投票。按照Jaikumar在Twitter上@jaivijayan或订阅Jaikumar的RSS提要。他的电子邮件地址是jvijayan@computerworld.com。
了解更多关于网络犯罪和黑客攻击在Computerworld的网络犯罪和黑客主题中心。
这个故事,“透视:支付系统的安全性需求少说话,多行动”最初发表计算机世界 。