【IT专家网独家】距离Visa U.S.A. Inc实施支付卡(PCI)数据安全标准(DSS)的硬性期限只剩下一星期了,商家们都在严阵以待。 然而问题却依然存在:Visa会去抓那些不遵行该标准的人吗?
“进展过程有点混乱, 基于对财务方面的影响,人们开始严肃地对待此事,” 位于剑桥Mass市Forrester Research Inc.的一位分析员Khalid Kark说。“在过去的6个月中,我们有着很多关于商家需要做些什么和商家应该和谁对话之类的问题和疑虑。 这些问题都有没很好地跟上。”
PCI DSS是信用卡行业制定的一套方针和程序,其目的是为了更好地保护交易安全和持卡人信息安全。 该标准于2004年由信用卡行业设立,但是专家声称由于对不遵行的商家缺乏硬性规制,因此商家在遵行的过程中表现参差不齐。 之前,信用卡公司只对数据侵害惩以罚金。
当Visa在去年12月针对大型零售商宣布了它的加速遵守计划后,一切都改变了。 它将9月30日定为第一层商家的最后遵守期限,这些商家每年处理超过600万次的信用卡交易。 对于每年处理1百万到6百万次之间的第二层商家,最后遵守期限是12月31日。
不遵行该标准的商家将会面临月度罚金并被收取更高的交易佣金。
“与我所交谈过的公司中有超过50%的公司需要在12月前开始遵行该标准,但他们不一定会这么做。 现在问题变成了Visa能有多快的抓到他们,”Kark说。
位于康涅狄格州Stamford市的Gartner Inc.的副总裁兼调研总监Avivah Litan表示,“大致上位于第一层的不遵守该标准的公司都在努力地尝试他们是否能通过测试。”
Litan表示这些预计数量在1,200家左右的最大的第一层和第二层零售商们如果不遵守该标准的话会被很明显地察觉。
“他们的雷达正对准了第一层的商家,”Litan说。 “他们会很仔细的监督并明确的知道哪些商家正在遵行而哪些商家则不是。”
这项最后期限的出现给那些为商家提供技术来帮助他们实施和遵守该标准的厂商带来了大笔的业务。
“由于最后期限的迫近,我们看到了PCI市场上存在的大量商机,”位于加利福尼亚Cupertino市的Solidcore Systems Inc.的市场部副总裁Bob Vieraitis说道。该公司是一家为销售点技术和其它关键性系统开发变革控制软件的厂商。
Vieraitis表示不遵守PCI标准的商家自然将会被惩以罚金。 “再过一个星期就可能会有公司要支付罚金了,”他说。 “也将会有公司去和Visa商洽关于罚金的具体事项。”
“我们看到在市场上出现了很多的活动,不光是看到顾客们要求文字说明材料、范例演示和举行会议说明,而且也看到市场上各厂商为了争夺份额而喧嚣起来,”Vieraitis说。 “在市场上有其它100家厂商,而对于公司来说很难从中挑选出他们想要的。 厂商总是打包票说自己可以做到一切跟PCI相关的事,但是事实却不是这样。 没有人可以解决PCI的所有要求。”
位于加利福尼亚州Cupertino市的ArcSight Inc公司是一家从事安全和符合性管理技术的厂商,该公司的产品市场高级经理Dave Anderson说,“许多零售商仍在苦苦搜寻,希望找到一款合适的销售点技术。 他们希望能在9月份的最终期限前找到一款最有价值的技术。 他们在寻找一款全面地监控技术。 他们或许还没有准备好要加密,但是他们希望能够全面地监控数据,并确保没有人在不恰当地访问数据。”
Litan表示Visa正进一步地将它的实施目标锁定到了那些最大的商家身上,因为他们占了交易总额的80%。 不管怎样,仍有数以百万计的小型商家或可钻这个空子。
“Visa公司甚至没有这些第三层和第四层商家的系统报告。” 如果从数量上来计算的话,几乎有600万家年度交易不超过20,000次的零售商可被划入第四层。 对于银行和信用卡公司来说,他们没有足够的资源去像跟踪大型商家一样地跟踪每一个商家是否遵守了该标准。
