為了保護信用卡付費時個人資料的安全,Visa、萬事達、美國運通、日本JCB、及美國的discover等五大發卡組織,大約在一年半前就開始聯合推動一項名為「PCI (payment card industry)」的資料安全技術標準,不過,最近在新加坡的一個技術會議上,PCI卻受到不小的抨擊。
PCI規範了包括卡片加密、用卡管理、交易登錄…等十二項安全控制標準,此規範要求任何企業祇要有使用這五大組織的信用卡,就必須配合這項標準。剛開始推出時,企業及商家都不太理它。不過,一直到去年十二月,PCI成員宣佈將對不配合PCI的企業或商家收取罰款,才引起注意。
很多企業主擔心,PCI的規範可能限制了企業發展的可能性;一些人也質疑,PCI的規則對中小型公司太過嚴厲,逼得所有企業主為了配合其標準,都要變成了資料安全專家。
信用卡交易的資料安全控管,原本應該可以由企業或商家自行來做,但是,面對全球愈來愈多,各種層出不窮的資料竊取、流失事件,信用卡發卡組織才決定共同伸手下來訂定規範。不過,對本來就缺乏資源及技術專家去執行各種PCI標準的中小型商家,這項規範卻成為一種額外的壓迫。
不過,還是有人從正面看待這件事情。他們認為,有了這項標準,至少可以避免政府以保護消費者隱私,及防止信用卡詐騙為名,將幕後黑手伸入信用卡業中。
認同PCI標準的企業主認為,祇要將PCI如何執行的方法,多向業者澄清,多解釋清楚PCI的適用範圍。並且,最好能有一個具體的機構來監督執行PCI,慢慢地就會讓企業及商家接受這件事。
畢竟,他們也清楚,如果客戶隱私資料因不當的安全控管而流失,到最後還是企業本身要賠這筆錢,損失絕對比配合PCI的花費要大得多。
