FTC的PCI探测是否有任何好处?
当周一的FTC宣布探测PCI如何运作时,它威胁要发光,以商家如何处理支付安全性。即使是商人 - 谁通常表达关于文书工作 - 密集型和劳动昂贵的PCI过程的苦涩怨恨 - 它是一个探讨的一个不舒服的区域。这就是因为,尽管零售对PCI的长期抵抗,但他们知道它已经急剧提高了安全性。
换句话说,零售商了解PCI远非完美,但它可能比FTC规则调整的相同过程更好。你知道的恶魔。FTC探针将在其他事项中进行审查,潜在的过度收费,执法,卡品牌影响力和猖獗的利益冲突。
但与那些声音一样糟糕,PCI的复杂的业务现实使他们中的一些人更加理解。让我们从兴趣冲突开始。
这种冲突问题是关于合格安全评估员(QSA)的能力,也销售给客户,他们推荐的软件/硬件/服务符合PCI标准。这是一个非常真实而非常明确的利益冲突。然而,当我与QSAS谈论这一点时,他们坦率地说,如果他们没有机会制定这些销售,他们就可以“T”。
PCI理事会并不支付那些QSAS。实际上,QSAS支付给他们,因为他们为他们需要认可的培训课程和材料支付费用。如果QSAS无法制定那些销售,大多数情况,如果不是全部,那么这些公司都不会在财务上能够证明执行这些评估。安理会不是为了支付QSA的职位,因此整个系统会崩溃。
现在我们回到FTC。是否有真正的利益冲突可能是伤害的公司?是的。但正试图阻止这种冲突弊大于好吗?很可能。围绕这将是系统的巨大变化。如果国会希望使用联邦美元支付QSAS并使他们作为任何其他联邦雇员,这可能会绕过冲突。
但是,它也可能降低愿意成为QSA的人的质量。QSAS是技术角色,越来越有经验的QSA可以在私营部门的资金比政府员工更多。
现在让我们看看执法不一致。这来自不同的QSAS - 即使是同一公司的不同QSA - 也可以以不同的方式解释PCI规则。其次,有一些QSA公司,这些公司的声誉比其他公司更宽容。鉴于公司选择哪家公司雇用他们的PCI合规性评估,这是一系列法律界所知为法官购物。
我将捍卫大多数QSAS,因为他们对指南如何适用于不同公司情况的诚实差异。准则模糊地描绘,给予那些QSAS - 在现场的人民 - 在将规则应用于非常不同的情景方面的灵活性。
有些解释背后的东西,这是PCI的核心现实。PCI指南会影响接受付款卡付款的每个业务。这意味着埃克森莫博(ExxonMobile),希尔顿酒店和沃尔玛必须遵守相同的安全规则,该规则影响了跳蚤市场和单独的干净清洁剂的折叠卡片商家。
不要让你认为这是一个不切实际的不切实际?通过强迫PCI创建一套适用于如此荒谬的佩戴商家的规则,理事会几乎没有选择,而是模糊地写下这些规则。简而言之,PCI的性质从一开始就创造了产生这些不一致的情况。(PCI确实有不同的级别,较小的商家有不同的选择 - 例如自我报告 - 但核心安全规则是相同的。)
至于卡品牌的影响,“很容易。是的,签证和万事达卡的喜欢有很大的影响。但是,对于商人,为消费者或任何人来说,这一切都是不好的?影响自身的影响并不一定是坏事。它是如何使用这种影响的重要事项。
收费过多?再次,PCI委员会再次提供大量服务。似乎过度可能几乎不突破 - 甚至到QSA。
这一切都不是FTC的新闻,它的一部分是调查的原因,FTC正式要求一项研究。“我们已经听到这些问题,”私人律师的FTC律师大卫·林德(RC】律师)是关于该研究的领导律师,也在管理它。“我们进入这个希望获取信息,了解有关交互的样子的一些细节。”
林迪姆表示,没有任何特定的事件,促使探针。他说:“它变得更加清晰,更清楚,PCI正在发挥主要作用”今天在付款中进行了付款。“我们希望了解评估的所有生态系统,谁在其中发挥作用。评估的一般有效性。我们会看到我们将看到的东西。“
FTC声明列出了九家公司,这是探针的初始直接目标:ForeSite MSP,LLC; Freed Maxick CPAS,P.C ;; GuidePoint Security,LLC;威胁; NDB LLP; PricewaterhouseCoopers LLP; SecurityMetrics;剑和盾企业安全,公司;和verizon企业解决方案(也称为Cyber Trust)。
在FTC如何最初看九家公司,有一个有趣的政府琐事。律师表示,律师1995年1995年的文书减少法案迫使1995年的初步研究迫使初步研究只看九家公司,以便产生的文书工作的数量“达到”袭击法案“的极限,Lincicum说。超出该限额,机构需要获得美国管理层和预算办公室的批准。
至于FTC如何选择这些公司,Lincicum表示,“我们试图看看各种规模和地点”以及不同公司评估的商家的大小。
但更大的兴趣是初始探针的具体细节,如联邦订单所汇集到那些公司。在发送的具体要求中是:
“公司是否有与潜在利息冲突有关的政策或程序,包括但不限于任何防止公司向客户提供合规性评估的政策,或者涉及向您提供合规性评估的客户的营销或提供其他服务。国家是否有与潜在利息冲突有关的政策或程序,包括但不限于任何防止公司向其提供其他类型的服务的客户提供数据安全法医审计服务的政策关注您为您提供数据安全取证审计服务的客户的营销或提供其他服务。“这直接进入了冲突问题,将探讨QSA公司从所需服务/产品的销售中获取多少收入QSA公司。
“国家是否表现了PCI DSS合规性评估,如果是,请描述服务的性质,该公司已被认证的时间长度执行PCI DSS合规性评估,该过程通过该过程所达成的过程来执行这些过程评估,以及该公司每年在适用的时间段每年进行的合规性评估的数量。适用时间段的每年,陈述您完成合规性评估的客户的数量和百分比,您拒绝提供:1.遵守遵守的“符合”指定(“AOC”);或者2.关于合规性的最终报告(“ROC”)的“妥善”指定。对于适用时间段的每年,陈述您完成合规性评估的客户的数量和百分比:1. AOC上的“不合规”的指定;或者2. ROC上的“未到位”的名称。 VI。如果有任何差异,请解释差异的原因。“这进入了“简单的评分”问题。
“公司的合规性评估的定价结构和合规评估客户的典型成本。”只是每个QSA想要的:政府调查员在其定价政策上闪耀着光线。定价“显然是一个敏感的问题,”FTC“的林迪姆说。
“确定了合规性评估范围的方法,包括但不限于客户或任何第三方的程度,例如PCI安全标准理事会(”PCI SSC“),支付卡网络,获取银行或发行银行被允许向合规性评估的范围提供投入;填写关于遵守报告(“ROC”)的政策和程序,包括但不限于讨论是否设立了报告草案,无论是与客户还是第三方共享,如PCI SSC,支付卡网络,发行银行或收购银行,无论公司是否接受客户或任何第三方的草案,以及该公司曾根据客户或其他第三方投入对报告草案进行更改。“啊,是的。这进入了PCI是CardBrands的傀儡的程度问题。
“陈述本公司在公司完成适用时间期间的评估后遭遇违反违约的公司合规评估客户的年度。对于每个此类客户,州是随后确定不符合PCI兼容的,并提供初始合规性评估日期以及公司和客户之间的任何通信或PCI SSC等任何第三方,支付卡网络,发行银行或与违约有关的收购银行。“这是另一个受欢迎的请求。FTC计划探索被宣布的PCI标准和后续数据漏洞的数量之间的关系。PCI的一个非常古老的问题是雇用修正主义史的卡品牌倾向,以便对数据泄露进行修正历史。他们说,没有符合符合的商人,因为当符合符合商家遭到破坏时,评估重新评估并总是删除。它的经典1984年想。PCI工作,因此,如果违反了任何PCI兼容的商家,他们就无法确切符合要求。
问题超出了它是一个自我实现的预言。它源于PCI合规的缺陷假设,以某种方式等于神话般的完美安全 - 一个可以“曾经被一个坏人击败的人。
“只是因为有违规行为”T不合理的是,有不合理的安全或PCI违规,“林迪姆说。