早在去年11月份,Stone就曾介绍过一番信用卡,那儿有好多有趣的信息,大家不妨再回顾一下。我这儿介绍的也是与信用卡相关,但是是侧重安全相关的内容。
不知道大家是否有过信用卡被盗用的经历,scorp的VISA卡倒是有一次就被人在墨西哥使用了。若是要发展成一段对话或者埋怨,倒也可以模仿成Friends里Monica被人盗用信用卡的那集--自己都还不舍得花钱去墨西哥玩,怎么就有人那么大方帮自己花了钱甚至还代玩了。幸好一经我们申诉之后,信用卡公司倒是马上撤销了这笔费用,还给办了新卡。事件也就没有了后文,估计也就是无法抓住盗用者,信用卡公司成了冤大头。
信用卡公司自然不愿意老来背这样的黑锅,至少他们希望那些信用卡信息不要轻易的泄露。可是并不是事事如人愿,比如今年的T.J Maxx事件。可能这个牌子不如Walmart等来得响亮,但T.J. Maxx也已是零售界里的巨头,尤其是服装类。据报道,今年三月该公司首次证实有4千5百万左右的信用卡或者借记卡泄露,这系列泄露事件可能最早开始于两年前,但最近才被公司发现。(我们倒还的确曾在该公司超市购物)。可以想象,就只需要一家这样的商家,就会给信用卡公司带来无尽的烦恼。
于是信用卡提供商的大头们/联盟们,包括Visa, MasterCard, American Express等等,就也已开始采取措施让那些商家要好好的保护信用卡信息。 这也就有了Payment Card Industry (PCI) Data Security Standard(支付行安全标准)。这个标准里的很多内容其实已经在很多方面都已经得到了体现,大家在平常的一些场合中也都已经或多或少的遇到过。下面就粗略说说。
不过还需要指出,这个标准也划分了商家的规模大小:对大规模的商家, 支付行所提出的要求是在今年年底前,必须所有指标都达到规定要求,否则就得不断的承受巨额罚款直到达标为止。现在就不妨来看看到底有哪些安全措施:
1、不允许商家存储任何信用卡的三位或者四位确认码,虽然在网上购物的时候很有可能需要这些数字,但是商家只允许暂时的传递给信用卡公司用来确认,而不能保存这个信息。(这个确认码有好多称谓,比如CAV: Card Authentication Value; CVV: Card Verification Value; CSC: Card Security Code等等,主要就是各个信用卡公司各自取名不同)
2、不允许商家无必要的显示信用卡的所有位数:常见的也就只有后四位数字才能显示,但商家的确可以保存完整的信用卡号码,但只是显示了部分而已,一旦泄露还是十分危险,所以就要求对用户信息有必要的一些加密手段。(在上面的TJ Maxx事件里,据说入侵者甚至也知道了解密办法)
3、在实现网上交易时,传递信用卡的信息时必须使用加密,比如会看见链接就从http变成了https。现在无线网更为普遍,安全标准对此也有要求。大家可能注意到过无线网加密有WEP和WPA两种常见的手段,而由于WEP加密性没有WPA强,安全标准甚至要求前者需要和别的手段一起联用才符合标准。
4、对用户也会有或多或少的影响,主要比如密码的选择,至少要有7位,必须有数字和字母;如果遗忘了密码,修改密码时不能提供和前四次相同的密码;试密码不能超过6次,等等。
此外,还有诸如要求商家内部网络安装防火墙,监测重要数据的使用记录,等等重要措施来保护信用卡数据安全。我们也倒可以在年底再追踪报道一下,看看还会有那些商家达不到这些标准。