為什么在銀行帳號中不存在PCI安全要求呢? Gartner公司的副總裁兼著名分析師Avivah Litan表示，她一直很奇怪，在敏感的銀行賬戶數(shù)據(jù)中居然缺乏行業(yè)安全標準。最近，她就在一篇博文里面提出了這個問題。

Litan寫到，通過執(zhí)行PCI安全要求，信用卡品牌很好地推動了用戶的安全意識，那些處理支付卡交易的公司也對自己的系統(tǒng)進行了升級。Litan補充到，“我經(jīng)常在想，為什么一個類似的銀行聯(lián)盟沒有盡全力去加強對銀行賬戶和相關(guān)數(shù)據(jù)的保護呢？”

一般說來，雖然在PCI數(shù)據(jù)安全標準體系下的信用卡品牌（如Visa、MasterCard）都嚴謹組織，但是支付卡的安全缺陷卻越來越多。隨著網(wǎng)上銀行詐騙的增多，安全方面的情況可能會發(fā)生改變。她還說，“如果你問銀行威脅在哪里，他們肯定會說是ACH和電信詐騙，因為這兩者都依賴于銀行賬戶的數(shù)據(jù)?！?/P>

由于針對小型企業(yè)、市政機構(gòu)和非盈利機構(gòu)銀行賬戶的欺騙行為不斷增加，聯(lián)邦政府官員已經(jīng)對此發(fā)出了警告。據(jù)聯(lián)邦存款保險公司（FDIC）估計，因為欺詐性的轉(zhuǎn)賬行為，在2009年第三季度已經(jīng)導(dǎo)致了約1.2億美元的損失。

Litan表示，網(wǎng)上企業(yè)銀行賬戶正受到攻擊，但是欺詐造成的損失一般都會轉(zhuǎn)嫁到銀行客戶身上，這也讓銀行沒有多少動力去增強保護措施。

Litan說，“PCI的實施是用來保護信用卡公司而不是消費者的。當銀行采取措施保護自己免受經(jīng)濟損失時，他們做得很好，但是如果這種損失能轉(zhuǎn)移到客戶身上，那么他們就不一定愿意去加強同樣的保護了?！?/P>

一些企業(yè)告訴Litan，當他們?yōu)橹Ц犊〝?shù)據(jù)執(zhí)行PCI安全要求時，他們計劃將圍繞銀行賬戶和社會保險號碼等敏感數(shù)據(jù)執(zhí)行一些安全措施。除此之外，像ProPay公司這樣的外包支付提供商已經(jīng)開始提供除支付卡數(shù)據(jù)之外的銀行賬戶標記化（tokenization）服務(wù)。

ProPay最近宣布它將把自動結(jié)算所（Automated Clearing House，ACH）數(shù)據(jù)（包括匯款線路和銀行賬戶號碼）加密和標記化功能添加到ProtectPay服務(wù)中去。該公司的高層表示，這種服務(wù)是第一個允許組織在沒有存儲或處理銀行賬戶數(shù)據(jù)的ACH網(wǎng)絡(luò)上進行交易的服務(wù)。通過使用在線接口或API，ProPay可以捕獲ACH數(shù)據(jù)、對其進行加密，并返回一個標記（token）。

ProPay的產(chǎn)品管理副總裁Raya Oaks說，“一旦在自己的環(huán)境中擁有了那個標記，他們就可以在公司任何正常的業(yè)務(wù)流程中使用。如果他們需要提取匯款路線和往來賬戶號碼的最后四位數(shù)字，可以調(diào)用一些APS來使用這個標記獲得最后四位數(shù)字，這樣就可以在客戶服務(wù)中心進行顯示和核對。當真正敏感的數(shù)據(jù)從他們的系統(tǒng)中移除的時候，也能給予數(shù)據(jù)安全保障。”

Oakes表示，這項服務(wù)是為需要存儲銀行帳戶信息的組織設(shè)計的，比如擁有自動繳費或直接存款業(yè)務(wù)的公司。一些公共事業(yè)公司已經(jīng)在使用這項服務(wù)了。

ProPay的首席信息官Mark Johnson表示，由于ACH詐騙不斷涌現(xiàn)，用戶開始表達他們對ACH數(shù)據(jù)的擔憂。Oakes說，他期望像PCI這樣的標準最終會出現(xiàn)在ACH數(shù)據(jù)中。

Unisys系統(tǒng)公司風險智能解決方案管理全球總監(jiān)Sid Pearl表示，F(xiàn)S-ISAC等組織可以和銀行一起為銀行賬戶數(shù)據(jù)建立一套安全標準，當然這需要在理解了到底是什么應(yīng)該得到保護之后，例如需要從網(wǎng)絡(luò)攻擊者的角度想問題。

Unisys 公司上個月發(fā)布的一項研究顯示，身份盜竊、信用卡和借記卡欺詐是美國人最擔憂的問題。根據(jù)最新的Unisys安全指數(shù)（調(diào)查了超過1000名消費者）結(jié)果顯示：超過64%的受訪者非常關(guān)注身份盜竊，而超過62%的受訪者擔心信用卡和借記卡欺騙。

咨詢公司R.I.S.C. Associates的常務(wù)董事David Schneier表示，銀行業(yè)已經(jīng)制定了一套新的制度來管理銀行賬戶信息，即GLBA。

Schneier說，“管理帳戶數(shù)據(jù)固有風險的問題在于，各個機構(gòu)能做的不多，而信息會以‘借記卡購買’和‘ATM活動’的形式在多個渠道上傳播，這也是當前供應(yīng)商管理背后的主要動力之一。”

【編輯推薦】

1. 不要忘記安全教訓(xùn)銀行黑客事件大盤點
2. 由PCI保障持卡人數(shù)據(jù)安全看國內(nèi)支付安全