信用卡信息安全标准出台 各存储厂商磨刀霍霍

　　CNET科技资讯网10月6日台北报道(旷文溱)多家信用卡企业，如维萨(Visa)、万事达卡(Mastercard)开始严密要求发卡银行能够有效确保持卡人的信息受到安全管理。

　　包含了American Express、Discover Financial Service s、JCB、MasterCard Worldwide、Visa International 等五大国际组织，日前共同宣布创设独立的支付卡产业安全标准协会(PCI Security Standards Council)，负责发展与管理支付卡产业的信息安全标准

。

　　决定一并向发卡银行要求遵照一称之为“支付卡产业安全(PCI，Payment Card Industry Security )”标准，依照标准内容，倘发卡银行未在明年底之前完成上述要求，上述组织将予以罚锾，或者调高手续费；若迄2010年尚未完成部署，则会取消其发卡资格。

　　大体而言，这项标准的内容系所有

　　“预计这种规定，将敦促银行企业开始在存储设备端，着手部署符合标准的安全管理措施；只不过相信还不会即知即行，”NetApp台湾区总经理张怀宇说。

　　PCI标准的出现，无疑视为民间版的法规遵循(Regulatory compliance)。所谓的法规遵循，系指从去年开始在欧美国家颁布的各项法规如巴塞尔协定(Basel II)、沙宾法案(Sarbanes-Oxley Act)，或是BS7799／ISO17799、COBIT等规定：公司内部文件必须被保留2到5年，且企业中的信息、稽核或法律等不同部门，能够在很短的时间以内，调阅检查邮件纪录与内容。且在美国上市或与美国贸易有往来者，也必须以同等规范存储信息。

　　为了符合上述标准，各大存储厂商早已磨刀霍霍。诉求存储产品能够确保信息一旦存入存储设备，即不再被窜改、未被授权者无法存取，且提取信息的时间也非常快速。产品内容则包括了NetApp布建在服务器和存储设备之间的信息加密产品DataFort；惠普则有参考信息存储系统(Reference Information Storage System, RISS)；EMC则提出CAS Content-addressed storage)存储架构产品Centera。

　　惟由于法规遵循标准的范围仅限在欧美国家上市的公司，对于本地企业影响有限。导致台湾地区企业用户对于法规遵循反应不大。惠普台湾网络存储解决方案事业处存储方案产品经理萧舜华即表示，目前RISS的客户群偏重在制造业，且多用来做内部控管，归档员工的电子邮件、文件内容等。

　　PCI标准的出现又再度为台湾地区法规遵循市场添加新动能。NetApp资深系统顾问工程师姜群表示，相较于法规遵循要求快速调阅检查信息、且效应偏重在欧美国家，PCI标准更在乎的是持卡人的信息是不是能受到缜密的安全管理，且由于信用卡的使用不分国界，因此NetApp预料，这将是相较于传统的法规遵循，更能驱动银行企业投入部署安全的存储环境的要素。

　　根据PCI标准白皮书内容，共有12项要求，大致可分为：建立和维持安全的网络、保护持卡人的信息、保有完善的管理机制、严密的存取控制、定期监控和测试网络、遵守信息安全政策。

　　“不过效应不会那么快浮现，”张怀宇坦言。原因在于今年银行金融业饱受卡债风暴影响，缩减IT预算支出。

　　“现在遇到另一棘手问题是，没有人想先当白老鼠；先做的人也可能会被同业批评，因为这样金融管理机构就会马上要求其他银行企业跟进，”姜群说。