以安全標準貫徹支付數據安全淺談
日前,一個名為AllWorld.Cards的非法銀行卡集散網站散布了近百萬條流入暗網的被盜信用卡信息,泄露的卡片相關信息包括:卡號、有效期、卡片驗證碼、持卡人姓名、地址、電話等。多家網絡安全研究機構對于被盜卡池的抽樣分析顯示,被盜卡池的整體有效率預計在25%-50%之間,被盜卡片主要來自于印度國立銀行等全球超過500家銀行,其中也包括摩根大通與美國運通的自發卡。這一消息引起了多國政府與社會的廣泛關注,又一次將支付數據安全問題推到了風口浪尖。
各國立法明確數據安全原則
互聯網近20年在全球的迅猛發展,在全球數字化經濟不斷發展的今天,數據作為與土地、勞動力、資本、技術等并列的新型生產要素,毫無疑問地成為了各類企業最重要的資產之一。自2018年以來,許多國家及地區的政府和監管部門陸續編制、發布、實施了各自的數據相關合規政策:歐盟《通用數據保護法案(GDPR)》生效,英國《數據保護法(DPA)》對GPDR的采納,美國多個州發布《消費者隱私保護法案(CPA)》,以及計劃發布的《澳大利亞數據保護法》和加拿大《數字化實施法案(DCIA)》。各國通過法律的形式對數據的主權性、安全性和使用規范性進行了明確和保護。
相應地,我國于6月10日通過了《中華人民共和國數據安全法》(以下簡稱《數據安全法》),并已于2021年9月1日正式生效。《數據安全法》的確立意義在法案第一章第一條予以明確:“為了規范數據處理活動,保障數據安全,促進數據開發利用,保護個人、組織的合法權益,維護國家主權、安全和發展利益,制定本法”。《數據安全法》作為明確了我國數據安全治理體系頂層設計的基本法,其設計范圍涵蓋了各個行業,《數據安全法》第六條同時明確了各個行業的主管部門應承擔本行業、本領域數據安全監管職責,因此,各個行業的主管部門有相應的責任及義務將《數據安全法》貫徹的思想及要求落實到對應行業內的各個企業、機構。
監管部門頒布金融行業標準,規范金融數據安全
金融行業的數據安全關乎人民的財產安全。一方面,大量企業將經營模式從線下轉為線上;另一方面,各類移動支付產品涌入市場。這些變化都進一步增加了金融數據安全的重要性和金融數據保護的緊迫性。因此,我國金融行業的安全監管始終處于較嚴格的狀態。金融行業監管部門已發布多項關于個人金融數據保護的政策,例如,人民銀行自2020年起陸續發布了《個人金融信息保護技術規范》規定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環節的安全防護要求;《金融數據安全分級指南》提出了金融數據安全分級的目標、原則和范圍,以及數據安全定級的要素、規則和定級過程;《金融數據安全數據生命周期安全規范》從安全技術和安全管理兩個方面,規定了金融數據生命周期安全原則、防護要求、組織保障要求以及信息系統運維保障要求,建立覆蓋數據采集、傳輸、存儲、使用、刪除及銷毀過程的安全框架。《數據安全法》對數據安全提出了各項原則性法律條款,確定了數據安全制度及保護義務,人行發布的三項規范則明確了針對金融行業的個人金融數據的各項具體的安全保護要求。
通過標準與認證手段推進支付數據安全
雖然有國家及監管機構的法律、規范要求為數據安全保駕護航,但金融行業的支付領域因支付信息采集頻次高、流轉機構多、留存范圍廣等特點,需要有更為細化、全面、可檢測的安全標準以及合規認證項目,以確保各個合作結構采取了有效的安全技術手段、制定及遵守了全面的數據安全制度等一系列措施來保障金融數據在各個節點的安全。
全球范圍內,Visa、萬事達等卡組織成立的支付卡產業安全標準委員會(PCISSC)是具有較強影響力及較高認可度的支付領域信息安全標準組織。其牽頭制定的多部PCI安全標準從整個支付環境安全、支付應用軟件安全、支付設備安全、點對點加密方案以及卡片生產安全等方面,對支付過程的各個環節提出詳盡的安全要求。卡組織則通過建立自身賬戶信息安全體系,將符合PCI等安全標準作為其成員機構的安全合規要求,以配合其在各地區市場的監管要求,并有針對性地加強支付數據安全。通常,卡組織管理的賬戶安全體系會根據成員機構的交易發生數量(即所接觸到支付數據的量級)、機構類型等對成員機構進行分級,并針對不同機構分級明確相對應的合規規則。合規規則要求不同級別的成員機構定期提供不同的合規審查文件。
作為中國的銀行卡組織,中國銀聯受理網絡已延伸至全球180個國家和地區,境內外成員機構超過2500家。早在2006年,銀聯聯合產業各方在對標國際標準的同時,結合國內產業實際情況,推出了更符合境內支付行業的一整套支付數據及賬戶信息安全標準,包括但不限于:支付環境安全相關的《銀聯卡支付信息安全管理標準》(以下簡稱UPDSS)、支付軟件安全相關的《銀聯卡支付應用軟件安全規范》、支付終端安全相關的《銀聯卡受理終端安全規范》等。與此同時,銀聯在2020年底以戰略會員身份正式加入PCISSC,與其它全球性卡組織共同管理PCI、制定PCI標準。銀聯通過制定和發布UPDSS等數據安全標準以及配套認證項目、在部分國家和地區采標PCIDSS等PCI標準,明確和細化了各業務參與方支付數據安全管理要求,并力爭在全球范圍內防范支付數據的各類風險。
全面的機制與體系共同落實,支付數據安全
相較于數據安全方面的法律、法規側重于明確數據安全保護的義務與責任,行業監管安全標準側重于提出基本、必須保障的保護要求,UPDSS與PCI等標準更聚焦于需要高安全性的支付數據安全,在符合法律及監管要求的基礎之上,提出更為嚴格、細化,且能夠被檢驗的安全要求。譬如,《數據安全法》第三十條規定“重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估”明確了數據處理者有定期開展風險評估的責任與義務;人行的《個人金融信息保護技術規范》則將風險評估細分為“7.4.1監控與審計”“7.4.2安全檢查和評估”“7.4.3安全事件處置”三項,其中7.4.2中要求“應每年至少開展一次對涉及收集、存儲、傳輸、使用個人金融信息的信息系統進行安全檢查或安全評估”并列出了三種可被接受的評估形式;PCIDSS標準則不僅要求了需要評估所需試行的測試種類:網絡漏洞掃描、穿透測試、入侵檢測等,還將部分測試類型的周期提高到每季度進行:“11.2至少每個季度運行一次內部和外部網絡漏洞掃描”,而UPDSS中也明確了PCI DSS同等細化程度的安全要求。
UPDSS與PCI DSS在針對支付數據的安全特性提出更嚴格、更具體的安全要求時,也在標準中明確了檢測機構在審查每條標準中每條要求時應當采取的檢測方式,從而確保被檢測機構實施了確實有效的手段來滿足標準所提出的安全目標。支付行業的數據保護需要整個行業基于同等安全水平,確保支付數據在各個環節、節點都達到統一的安全性,杜絕“安全短板”。因此,標準制定者(UPDSS為銀聯,PCI DSS為PCI)制定了嚴格的管理機制以對第三方檢測機構及企業內部安全專員進行標準培訓、資質審查、檢測資格授權、服務質量管理,助力安全標準的執行與合規要求的落地。
如果說法律及監管要求為數據安全提供基本保障,標準與認證體系則催化了基本保障的落地。因此,成熟、全面的機制與體系建設是提升行業整體數據安全水平的必要條件。在東京奧運會籌辦期間,當時新冠疫情還未爆發,日本政府考慮到奧運會帶來的潛在客流量可能會對日本支付受理環境的安全帶來挑戰,于是日本經濟產業省(METI)在2019年頒布了一項行動計劃,要求全日本商戶盡量避免留存信用卡數據;對于需要留存信用卡數據的商戶,要求其符合PCI DSS標準要求。日本政府意識到在短時間內,僅有借助PCI這樣全面的標準與認證體系并將其納入監管要求,才可以盡快通過詳盡的安全標準以及檢測認證手段將支付數據安全要求落實下去,從而將行業的整體支付受理環境迅速提升到統一的安全水平。
支付數據安全愿景
銀聯自2002年成立以來,以聯網通用作為宗旨,聯合全球成員機構開展銀行卡支付業務。在業務拓展過程中,銀聯高度重視整個行業的支付數據安全,作為清算支付機構,通過制定并發布業務規則持續推進行業支付數據安全標準落地實施,規范各業務參與方的數據存儲、處理。長期以來,銀聯一直致力于支付行業賬戶信息安全管理體系的建立與推廣,為持卡人提供安全可靠的支付服務。同時,為了應對全球復雜多變的外部環境,規范新加入的業務參與方的數據安全管理,銀聯亦致力于探索將現有的數據安全標準進行國際化的道路,同時,不斷擴展安全標準,順應創新業務的特征。
