携程刚启动PCI认证

       在一些业内人士眼中，携程此次出现安全漏洞，与其一直未做PCI标准认证有着较大的关联。

       国内首个提供PCI合规咨询与认证的机构——北京航天亿展科技有限公司(以下简称“航天亿展”)的一位相关负责人对法治周末记者表示，PCI是一套针对支付卡行业的国际安全认证标准，主要对持卡人数据在公网上传输、存储、处理进行安全认证，防止卡支付的数据泄露。

       该负责人进一步表示，凡是业务中涉及到对持卡人数据的存储、传输和处理的公司，都建议做PCI认证。Visa和银行也会强制涉及到外卡业务的第三方支付公司通过PCI认证。

       不过某旅游网站工作人员告诉法治周末记者，目前大多数电商都还没有通过PCI认证，但是也都是按照相应的规范去执行的。

       “在线旅游网站中，去哪儿网已经通过了PCI认证，但是携程则没有。”张百川表示。

       携程在曝出安全漏洞后也在其公告中称，已经启动了PCI认证程序，以期更好的符合监管要求。

       那么，为何携程此前一直没有加入该项认证？

       闫鑫告诉法治周末记者：“国家并未强制规定电商一定要加入这个认证才可以在网上进行支付，它只是一个商业性标准。”

       不过有消息称，此前携程曾有意向接入该系统，但是公司工作人员去考察之后发现，携程系统要整改难度太大，业务种类多且交叉多，如果按照该系统接入而整改会使架构有所变化。

       闫鑫表示，目前尚未获知这一情况。

       据航天亿展相关负责人介绍，企业要申请通过此认证，并没有具体的资质要求，只要是有完善的网络系统就可以在专业的PCI合规咨询及认证机构的指导下，完成差距分析和整改工作，并最终获得PCI认证。

       不过该负责人告诉法治周末记者，PCI标准有6大项目，下属12个中型项目，再细分为242个小型项目，终端细分为399个流程测试项，整个PCI标准基本就围绕这些项目进行的，需要逐项对所需验证的系统环境进行评估整改，直到满足要求为止。

       中国电子商务协会政策法律委员会副主任阿拉木斯告诉法治周末记者，电子商务领域发展较快，变化也较大，一般的鼓励性、参照性、指引性的安全标准比较多。

       “针对当前信息安全问题多发的现状，以后在制定强制性标准以及相关法律的建设方面，还需要进一步加强力度。”阿拉木斯表示，“规范需要和法律法规相结合，不履行标准该承担怎样的法律责任，这也需要有相应的规定。”

       不过阿拉木斯也坦言，相对来说，系统很难达到绝对安全，它是一个动态的过程，就像操作系统一样，总会不断有漏洞出现，需要不断去打补丁修复，而这种动态性也是当前修法和立法所面临的一个困境。

       链接

       CFCA：

       即中国金融认证中心(China Financial Certification Authority)，是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构，是重要的国家金融信息安全基础设施之一。

       PIC认证：

       即支付卡行业数据安全标准(Payment Card Industry Data Security Standard）。Visa、MasterCard、American Express、Discover Financial Services、JCB这全球五大国际卡组织在2006年一起创办了PCI安全标准委员会，并制定了这套保护持卡人数据的技术和操作的基本安全要求措施。

上一页  [1] [2] [3]