确保电子支付的安全

确保电子支付的安全信任是电子支付行业成功的关键。这也是长期以来为什么Visa在开发数据安全解决方案领域方面始终保持领先地位的原因。设立数据安全标准Visa是最早着手解决新兴的信息安全问题的行业领袖。早在2000年，Visa就建立推出了持卡人信息安全计划（CardholderInformationSecurityProgram,CISP）——也是第一个全球范围内保护持卡人敏感信息的数据安全标准。持卡人信息安全计划后来成为行业安全标准，适用于所有从事持卡人敏感数据储存、处理、传输的相关机构。2004年，Visa和其他主要支付品牌达成一致，同意共同制定一个全球通用的安全标准，即支付卡行业数据安全标准（PaymentCardIndustryDataSecurityStandard,PCIDSS），从而扩大了整个行业对于支付安全标准的接受范围，加强了对持卡人数据的保护。积极加强安全标准合规工作尽管支付行业安全标准是由PCI安全标准委员会进行管理的，但是，该标准的实施却取决于各支付卡组织的推动力度。而Visa一直将不断推进支付安全标准这一工作为己任，予以认真贯彻和执行。2006年，Visa推出了VisaPCI加速合规计划（PCICAP），该计划提供2,000万美元的奖励资金，用于奖励符合PCI安全标准的商户。该项目是第一个对支付行业一直以来的、单一的处罚措施的一种有效补充。该项目还制定了严厉的处罚措施，其中包括对违规储存某些敏感数据和没有完全达到PCI标准要求的商户进行罚款。通过推出这种创新计划，Visa成为行业第一家将交换费与安全性挂起钩来的企业，即只对达标商户的交易提供优惠。该计划推出后，大型商户（一级）的合规率达到了36%，中型商户（二级）的合规率达到了15%。而Visa一半以上的收入来自一级和二级商户。为了鼓励收单机构和商户尽快合规，Visa将2007年9月30日设为一级商户合规的最后期限。该截止日期之后，Visa开始对其美国收单机构采取处罚措施，即如果收单机构有一个未达标的商户，那么，它将每月被罚款25,000美元。自从该计划实施以来，达标率快速提升。迄今，超过99%的一级和二级商户已经确认它们没有储存敏感数据，从而最大程度降低了支付系统数据的一个重大风险。1Visa还一直积极鼓励小型商户实现PCIDSS达标。2007年5月，Visa要求其美国收单机构对小型商户的数据安全风险进行调查，并开展相关教育活动，使商户进一步关注并了解数据安全和PCIDSS安全标准对于它们业务的重要意义。自Visa提出该项要求之后，美国目前所有收单机构都已向Visa提交了方案，并且正在实施各自的安全计划。开发工具以支持合规——聚焦支付软件除了通过奖罚措施鼓励合规之外，Visa还努力开发有助于提高支付环境安全性的工具和支付软件，以加强合规工作。2005年，Visa开展了“支付应用最佳案例“（PaymentApplicationBestPractices,PABP）项目，帮助软件厂商开发安全支付应用软件。司法机构在对数据泄露进行的调查中发现，某些支付应用建立于储存违禁数据的基础之上，因此给它们的用户带来了安全漏洞。为了更好地保护持卡人信息，Visa宣布了要求商户只使用不储存敏感数据的支付系统软件的计划。2007年下半年，PCI安全标准委员会对Visa在支付安全领域的领先性表示了认可，并决定采用Visa的“支付应用最佳案例“作为支付行业内新的第三方应用软件安全标准——并将其称为“支付应用数据安全标准“（PaymentApplicationDataSecurityStandard,即PA-DSS）。提供广泛的教育资源作为数据安全的倡导者和领先者，Visa还面向商户、收单机构、卡信息处理机构和支付应用供应商开展了多种教育活动。Visa的在线教育中心（网址：www.visa.com/cisp）提供了多种网络会议、安全警示和培训课程，能够帮助商户更好地了解PCIDSS的内容以及合规要求。Visa还积极与各知名企业合作，推广这些教育项目。在2005年-2006年期间，Visa联合了美国商会开展了覆盖21个城市的商户数据安全巡展，涉及60,000家小型商户。2007年，Visa联合全美独立工商业者联合会（NFIB）开展了针对小型商户的数据安全培训，并且编写了《NFIB数据安全指南》——一本专为NFIB的35,000个小型商户成员编写的手册。Visa还参与了优良企业局理事会的安全与保密指南——《使这一切变得更简单（MADESIMPLER）》的编写，并与金融机构合作，将该手册分发给全球各地的小型企业持卡人和受理支付卡的小型商户。对于Visa而言，没有任何一件事比维护其支付系统的安全更为重要。Visa目前所做的一切努力已经帮助公司降低了欺诈率，这也是Visa能够成为支付安全领域的全球领袖之一的原因。VISA数据安全达标重大事件2000年Visa提出持卡人信息安全计划（CISP）——第一套用于在全球范围内保护敏感持卡人数据的标准。2001年CISP成为所有储存、处理或传输敏感Visa持卡人数据的机构必须遵守的标准。2001年在东京召开2的西方八国集团打击高科技犯罪会议所发布的最佳实践就是以CISP要求为蓝本。2004年Visa的CISP数据安全要求为支付卡行业数据安全标准（PCIDSS）奠定了基础，PCIDSS提供了一套行业通用的工具和指标，有助于确保敏感持卡人信息的安全处理。2005年Visa推出“支付应用最佳案例“（PABP），帮助软件厂商开发安全支付应用，从而确保它们的客户达到PCIDSS要求，避免数据安全的问题。2006年Visa启动了致富行业数据安全标准合规加速计划（PCICAP），共拨款项2,000万美元作为奖励资金，同时，制定了新的处罚措施，旨在进一步推进商户遵从PCIDSS这一标准。该计划也是对支付行业过去一个时期的单一处罚措施的一种有效补充。Visa成为全球第一家公布PCIDSS合规率的公司：•一级商户：36%•二级商户：15%2007年7月——Visa宣布推出了一个旨在帮助美国小型商户改善数据安全的计划。Visa的计划要求收单机构查明并解决它们的小型商户所面临的数据泄漏风险，其中包括查明该商户是否储存敏感账户数据和是否遵守PCIDSS的数据安全标准。7月——Visa宣布，受理Visa卡的大型商户（一级和二级商户）中已有96%确认它们没有储存敏感数据。Visa成为第一家对储存敏感数据的商户进行罚款的银行卡机构。Visa更新PCIDSS达标率：•一级商户：40%•二级商户：33%10月——，Visa开始对其美国收单机构实施处罚措施，前提是：如果收单机构有任何一家一级商户在规定的截止日期（2008年9月30日）前仍未达到PCIDSS标准的合规要求，那么，这家收单机构将被处罚每月25,000美元的罚款。Visa也因此成为第一家针对没有合规的机构处以罚款的卡组织。10月——Visa更新PCIDSS达标率：•一级商户：65%•二级商户：43%11月——PCI安全标准委员会采用Visa率先发布的“支付应用最佳案例“作为支付行业的新的第三方应用软件安全标准。这个新的行业标准被命名为“支付应用数据安全标准”（PA-DSS）。311月——Visa提出了一系列要求，规定其美国商户及其代理商使用不储存敏感卡信息的支付系统软件。这些要求旨在保护持卡人信息和完善其它安全措施，其中包括PCIDSS合规。12月——Visa更新PCIDSS达标率：•一级商户：77%•二级商户：62%--完--4