NRF对PCI的攻击是强大的理论,细节薄弱
在向美国联邦贸易委员会(FTC)的一封信中,国家零售联合会(NRF)的律师试图取消PCI,使得政府不再向完全控制的标准机构提供任何更具影响力卡品牌,包括签证和万事达卡。
慷慨激昂,但摘要。NRF几乎完全是一个假设的案例,争论这种努力可以在理论上用于推进抗消费和反商议程。这是奇怪的,因为PCI理事会在2004年重新发布了其指南的1.0版,并在多年来发布了许多。如果NRF的论点是坚实的,为什么这一年毕竟不能用滥用实际情况的批量来淹没FTC,而不是仍然争论潜力?
NRF半心一现地提到了一个特定的 - EMV - 但这对NRF侧几乎是一个强大的案例。
NRF字母的触发似乎是担心FTC可能将PCI合规性与其准备的建议合并 - 这一举措将巩固和提高PCI的杠杆和电力。这是最能在摘要中阐明的论点之一。在法律,摘要,假设水平,NRF令令人印象深刻的声音案例,即PCI确实是卡品牌的力量。
但对多年来发表了多年的平凡和广泛的准则,揭示了全球统治的宏伟计划。相反,它似乎是安全最佳实践的相对无害的列表。对PCI的更好的争论将是其安全指南太胆小。(笔记:PCI现在也试图获得更多的高级管理人员,这似乎是一个明智的举动。)
其中一些批评是由PCI的务实现实静音,在那里它必须发布安全准则,这些指南将同样适用于大规模零售商和小型零售商,包括每一个可能的垂直。这迫使某种最低共同的分数方法解释了一些表观季节。
如果要相信非凡的影响的NRF论证,它会通过细微和微妙的方式提出影响 - 这是两个词很少适用于签证和万事达卡策略。
有了这一点,PCI发出了如此含糊不清的回应,它似乎支持NRF指控的增加,而不是破坏他们。PCI“归因于PCI委员会总经理Stephen Orfei的声明,其全部内容:“PCI SSC了解NRF字母,并强烈不同意它包含的未根据性断言。PCI SSC与FTC有一个持续的和富有成效的对话,并期待与他们讨论NRF的信。“
当我们要求理事会在问题上指定“毫无根据的断言”时,它拒绝确定任何。不是一个好的标志,pci。如果你可以引用一个事实的一个错误或不正确的结论,那就几乎不令人信服。
现在,让我们参加NRF文件所说的。(对于那些有兴趣的人,这里是FTC申请的亮点,以及NRF FTC字母的全文和NRF FTC文件的全文。)“我们敦促FTC不依赖于PCI DSS的任何目的,特别是作为行业最佳实践的示例,也不是确定在支付系统或任何其他部门中可能构成合理数据安全标准的基准,”这封信表示。
它进一步描述了PCI理事会作为“由单一行业部门组成和控制的专有组织 - 主要信用卡网络 - 这不是由美国标准战略认可的标准设定原则(由美国人发布的标准设定原则)国家标准研究所,更像是ANSI)。值得注意的是,PCI未能满足联邦政府采用的任何原则,以便旨在促进促进声音,公平标准,避免在未仔细建造的标准设置过程中固有的竞争问题的竞争问题。“
这就是我之前引用的。NRF刚才说的是为什么PCI可能无法提供公平和合法的安全指南的原因,但它从未采取了引用确实有问题的安全指导方针的下一个逻辑步骤。在一个刑事法庭类比中,它就像建立为什么被告可能已经杀死了受害者,而不试图证明他实际上已经做到了。
“PCI的标准不是自愿的。相反,它们由具有市场权力的网络设置,并强制企业主(以及,通过扩展,客户),无法拒绝接受信用卡和借记卡。这封信表示,PCI通过消费资金来实现诸如可用于数据安全的资金,并采用和实施新的 - 可能更安全的付款技术,有效地扼杀竞争和创新。“换句话说,卡网络不公平地利用他们的品牌和专有技术,通过受密切控制的相互依存机构和合规性制度。PCI是这一整体反竞争计划的一部分。“
所有真实。但它仍然试图将PCI绘制为邪恶的潜在力量,而无需困扰,以确保PCI已经完成了任何邪恶。当PCI被推出为一个概念时,这将是一个非常完美的论据。但是,鉴于PCI这么多年来一直在运作,缺乏任何有意义的涉及实际指导方针的缺陷清单大幅稀释了NRF论证的权力。
简而言之,NRF论证合法地使PCI有可能与反竞争行为接触的情况。即使PCI HASN“T但是利用该权力,该论点也在继续,它可以,并且如果FTC给它它的批准印章,滥用该权力可能证明不可抗拒。不幸的是,NRF没有选择做那个论点。
NRF“的大型画面论证是,通过所有这些特定的安全规则,卡品牌有可能控制世界各地的支付世界和零售商。
在一个特定的它引用的情况下,NRF认为PCI的EMV拥抱是卡片品牌如何试图控制零售商损害零售商和消费者的促销员。
“在世界其他地区,网络施加了一种芯片和引脚政策。但是,对于美国,网络已经采用了块芯片策略。再次,鉴于需要PIN的相对简单,费用和有效性,它无视网络选择网络选择的标准设置原则,而是授权新的EMV制度(具有其所有服务员的成本和复杂性)而不是采取NRF信称,要求芯片卡为芯片卡为美国支付卡系统中的安全性最大化安全性的额外步骤,以便在欧洲,亚洲,英国,加拿大和最大的全球经济中。““鉴于芯片和引脚的成功部署,一个人可能会质疑为什么一个公开标准设置身体真正关注保护支付系统的人不需要使用引脚来促进美国的更好的安全,但PCI是不是一个成立以最大化结果的开放组织。它是一个由单一兴趣小组的专有组织 - 网络 - 除了与其他支付卡系统参与者的兴趣外,有动机的网络 - 正在征收PCI要求的其他支付卡系统参与者的利益。任何政府机构都不应依赖其“标准”,部分原因是他们发展的过程是致命的缺陷。“
EMV倡导者对仍然接受签名的论点是美国消费者对变化有抵抗力,并且最初是拟订方法更加舒适。该参数是PIN身份验证始终可以在稍后添加,消费者对从滑动倾向的变化感到舒适。
但随着这一切,都有一个非常合理的担忧。不幸的是,NRF仅仅意味着它。是的,PCI有巨大的潜力,可以竞标卡品牌,这似乎几乎没有使用过的潜力。然而。那就是“这一点”。是PCI,以FTC采用的采用形式获得美国政府的官方拥抱,将行业塑造到其主人喜欢的权力更大。
John Dalberg-Acton有一个经典的报价,说:“力量倾向于腐败,绝对的力量绝对腐败。”(顺便说一下,下一行在那个报价中几乎从未引用过,但它仍然有趣:“伟人几乎总是坏人。”)
换句话说,PCI获得的力量越多,其所有者越难发现它抵制追随众神。然后,NRF的点是FTC应该看看PCI所有者是谁以及它是否希望该组有这么多的权力。如果NRF明确地说,这一点明确地说,这将是更引人注目的。但是,它仍然存在,它仍然是一个令人兴奋的想法。
- · 使用Wi-Fi频道的LTE延迟延迟张力
- · 缺口是可穿戴的:有限的功能,不准确的数据,没有
- · 波尔韦家庭签署Hyperoptic for Welwyn Garden City Development
- · 新外围设备将Windows Hello带到任何Windows 10 PC
- · SAP用户对SAP高等法院胜利的关注反应
- · 大多数企业未能培训它和对用户的安全性
- · 2017年可能是DDOS攻击的危机年,Warns Deloitte
- · 来自Mary Meeker的互联网趋势报告的Apple Car提示
- · Battersea Power Station开发获得超快FTTP宽带
- · 私人和公共云推动EMEA基础设施销售Q3,显示了IDC数据