以安全标准贯彻支付数据安全浅谈
日前,一个名为AllWorld.Cards的非法银行卡集散网站散布了近百万条流入暗网的被盗信用卡信息,泄露的卡片相关信息包括:卡号、有效期、卡片验证码、持卡人姓名、地址、电话等。多家网络安全研究机构对于被盗卡池的抽样分析显示,被盗卡池的整体有效率预计在25%-50%之间,被盗卡片主要来自于印度国立银行等全球超过500家银行,其中也包括摩根大通与美国运通的自发卡。这一消息引起了多国政府与社会的广泛关注,又一次将支付数据安全问题推到了风口浪尖。
各国立法明确数据安全原则
互联网近20年在全球的迅猛发展,在全球数字化经济不断发展的今天,数据作为与土地、劳动力、资本、技术等并列的新型生产要素,毫无疑问地成为了各类企业最重要的资产之一。自2018年以来,许多国家及地区的政府和监管部门陆续编制、发布、实施了各自的数据相关合规政策:欧盟《通用数据保护法案(GDPR)》生效,英国《数据保护法(DPA)》对GPDR的采纳,美国多个州发布《消费者隐私保护法案(CPA)》,以及计划发布的《澳大利亚数据保护法》和加拿大《数字化实施法案(DCIA)》。各国通过法律的形式对数据的主权性、安全性和使用规范性进行了明确和保护。
相应地,我国于6月10日通过了《中华人民共和国数据安全法》(以下简称《数据安全法》),并已于2021年9月1日正式生效。《数据安全法》的确立意义在法案第一章第一条予以明确:“为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法”。《数据安全法》作为明确了我国数据安全治理体系顶层设计的基本法,其设计范围涵盖了各个行业,《数据安全法》第六条同时明确了各个行业的主管部门应承担本行业、本领域数据安全监管职责,因此,各个行业的主管部门有相应的责任及义务将《数据安全法》贯彻的思想及要求落实到对应行业内的各个企业、机构。
监管部门颁布金融行业标准,规范金融数据安全
金融行业的数据安全关乎人民的财产安全。一方面,大量企业将经营模式从线下转为线上;另一方面,各类移动支付产品涌入市场。这些变化都进一步增加了金融数据安全的重要性和金融数据保护的紧迫性。因此,我国金融行业的安全监管始终处于较严格的状态。金融行业监管部门已发布多项关于个人金融数据保护的政策,例如,人民银行自2020年起陆续发布了《个人金融信息保护技术规范》规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求;《金融数据安全分级指南》提出了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程;《金融数据安全数据生命周期安全规范》从安全技术和安全管理两个方面,规定了金融数据生命周期安全原则、防护要求、组织保障要求以及信息系统运维保障要求,建立覆盖数据采集、传输、存储、使用、删除及销毁过程的安全框架。《数据安全法》对数据安全提出了各项原则性法律条款,确定了数据安全制度及保护义务,人行发布的三项规范则明确了针对金融行业的个人金融数据的各项具体的安全保护要求。
通过标准与认证手段推进支付数据安全
虽然有国家及监管机构的法律、规范要求为数据安全保驾护航,但金融行业的支付领域因支付信息采集频次高、流转机构多、留存范围广等特点,需要有更为细化、全面、可检测的安全标准以及合规认证项目,以确保各个合作结构采取了有效的安全技术手段、制定及遵守了全面的数据安全制度等一系列措施来保障金融数据在各个节点的安全。
全球范围内,Visa、万事达等卡组织成立的支付卡产业安全标准委员会(PCISSC)是具有较强影响力及较高认可度的支付领域信息安全标准组织。其牵头制定的多部PCI安全标准从整个支付环境安全、支付应用软件安全、支付设备安全、点对点加密方案以及卡片生产安全等方面,对支付过程的各个环节提出详尽的安全要求。卡组织则通过建立自身账户信息安全体系,将符合PCI等安全标准作为其成员机构的安全合规要求,以配合其在各地区市场的监管要求,并有针对性地加强支付数据安全。通常,卡组织管理的账户安全体系会根据成员机构的交易发生数量(即所接触到支付数据的量级)、机构类型等对成员机构进行分级,并针对不同机构分级明确相对应的合规规则。合规规则要求不同级别的成员机构定期提供不同的合规审查文件。
作为中国的银行卡组织,中国银联受理网络已延伸至全球180个国家和地区,境内外成员机构超过2500家。早在2006年,银联联合产业各方在对标国际标准的同时,结合国内产业实际情况,推出了更符合境内支付行业的一整套支付数据及账户信息安全标准,包括但不限于:支付环境安全相关的《银联卡支付信息安全管理标准》(以下简称UPDSS)、支付软件安全相关的《银联卡支付应用软件安全规范》、支付终端安全相关的《银联卡受理终端安全规范》等。与此同时,银联在2020年底以战略会员身份正式加入PCISSC,与其它全球性卡组织共同管理PCI、制定PCI标准。银联通过制定和发布UPDSS等数据安全标准以及配套认证项目、在部分国家和地区采标PCIDSS等PCI标准,明确和细化了各业务参与方支付数据安全管理要求,并力争在全球范围内防范支付数据的各类风险。
全面的机制与体系共同落实,支付数据安全
相较于数据安全方面的法律、法规侧重于明确数据安全保护的义务与责任,行业监管安全标准侧重于提出基本、必须保障的保护要求,UPDSS与PCI等标准更聚焦于需要高安全性的支付数据安全,在符合法律及监管要求的基础之上,提出更为严格、细化,且能够被检验的安全要求。譬如,《数据安全法》第三十条规定“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估”明确了数据处理者有定期开展风险评估的责任与义务;人行的《个人金融信息保护技术规范》则将风险评估细分为“7.4.1监控与审计”“7.4.2安全检查和评估”“7.4.3安全事件处置”三项,其中7.4.2中要求“应每年至少开展一次对涉及收集、存储、传输、使用个人金融信息的信息系统进行安全检查或安全评估”并列出了三种可被接受的评估形式;PCIDSS标准则不仅要求了需要评估所需试行的测试种类:网络漏洞扫描、穿透测试、入侵检测等,还将部分测试类型的周期提高到每季度进行:“11.2至少每个季度运行一次内部和外部网络漏洞扫描”,而UPDSS中也明确了PCI DSS同等细化程度的安全要求。
UPDSS与PCI DSS在针对支付数据的安全特性提出更严格、更具体的安全要求时,也在标准中明确了检测机构在审查每条标准中每条要求时应当采取的检测方式,从而确保被检测机构实施了确实有效的手段来满足标准所提出的安全目标。支付行业的数据保护需要整个行业基于同等安全水平,确保支付数据在各个环节、节点都达到统一的安全性,杜绝“安全短板”。因此,标准制定者(UPDSS为银联,PCI DSS为PCI)制定了严格的管理机制以对第三方检测机构及企业内部安全专员进行标准培训、资质审查、检测资格授权、服务质量管理,助力安全标准的执行与合规要求的落地。
如果说法律及监管要求为数据安全提供基本保障,标准与认证体系则催化了基本保障的落地。因此,成熟、全面的机制与体系建设是提升行业整体数据安全水平的必要条件。在东京奥运会筹办期间,当时新冠疫情还未爆发,日本政府考虑到奥运会带来的潜在客流量可能会对日本支付受理环境的安全带来挑战,于是日本经济产业省(METI)在2019年颁布了一项行动计划,要求全日本商户尽量避免留存信用卡数据;对于需要留存信用卡数据的商户,要求其符合PCI DSS标准要求。日本政府意识到在短时间内,仅有借助PCI这样全面的标准与认证体系并将其纳入监管要求,才可以尽快通过详尽的安全标准以及检测认证手段将支付数据安全要求落实下去,从而将行业的整体支付受理环境迅速提升到统一的安全水平。
支付数据安全愿景
银联自2002年成立以来,以联网通用作为宗旨,联合全球成员机构开展银行卡支付业务。在业务拓展过程中,银联高度重视整个行业的支付数据安全,作为清算支付机构,通过制定并发布业务规则持续推进行业支付数据安全标准落地实施,规范各业务参与方的数据存储、处理。长期以来,银联一直致力于支付行业账户信息安全管理体系的建立与推广,为持卡人提供安全可靠的支付服务。同时,为了应对全球复杂多变的外部环境,规范新加入的业务参与方的数据安全管理,银联亦致力于探索将现有的数据安全标准进行国际化的道路,同时,不断扩展安全标准,顺应创新业务的特征。
