零售商们越来越感受到包括来自支付卡行业的数据安全标准在内的安全措施的压力。随着他们对采取何种措施保护付款资料展开调查,他们也应当关注其他应该受保护的资料。
这正是纽约B&H Photo所关注的。它是当地一家大型的摄影电子器材商店,为专业人士及其他摄影爱好者提供专业服务。
“对我们来讲,PCI要求与其说是负担,还不如说是机遇。”希安.梅塞尔斯说道。他是B&H公司信息系统应用研发部的主管。
PCI通过一系列行业工具和措施确保付款信息的安全。该标准在同主要信用卡及付款公司一致的同时,还为开发安全程序防止并监测付款信息相关的安全事件提供框架。
根据该标准的要求,零售商必须保管好付款信息(包括信用卡及贷记卡号),其他未经授权的个人就无法得到这些资料。
最好的办法就是使用加密技术,该技术通过数学编码加密,并由授权者通过密码才能解密。若有人未经授权获得上述资料,加密后的资料对他来讲也是无法看明白的。
在200年第3季度,B&H公司组织了一个管理团队调查加密技术并决定公司是否购买该技术或找寻其他的解决方案。最终,他们决定不再另想办法,而购买现有的加密产品。
B&H“为了了解该供应商如何引导消费者了解加密技术过程及该技术如何改变商业流程,我们也听取了其他消费者的反馈意见。”梅塞尔斯说道。
B&H发现它能采取3种方式:使用数据库供应商的加密技术;使用第三方供应商提供的数据库加密技术;或是使用资料在输送到数据库之前的应用过程中已经加密的第三方系统。
最终,它选择了同来自加州红杉城Ingrian Networks合作,因为该公司的产品能在数据库和应用过程中进行加密,梅塞尔斯说道。
系统的建立
加密技术的应用是确保指定人员才能有权使用数据的决策工具。该系统还能记录特殊请求(比如有员工在几小时内索取众多消费者的付款信息)并发警告给管理部门。
任何加密系统中最重要的都是系统管理,Ingrian产品管理部门的副总裁德里克. 固穆拉克说道:“你必须决定谁有权改变决策,并建立一个谁有权使用该信息、何时有权使用的系统。”他说道。
除了B&H纽约店,许多网上和邮购商人都在使用这一技术。“我们需要一个能够处理多渠道终端需求的系统。”梅塞尔斯说道。
Ingrian市场营销部主管贝蒂.梁认为,对许多零售商来讲,拥有多渠道中整合能力是非常重要的。例如,她指出许多商家都允许消费者在网上购物并退货至店内。这也就意味着网上购物的信息必须存放在店内员工能看到的数据中心。
B&H Photo拥有“在我们店内购物超过30年”的消费者,梅塞尔斯说道:“让他们在店内享受到舒适和信赖对我们来说是非常重要的事情。”
资料保护需要资料使用和保密履行间达成一种平衡。“为了确保消费者的安全,我们宁可给员工多带来点麻烦。”梅塞尔斯说道。
其他用途
B&H正在将加密技术扩展到其他包括消费者电子邮件地址在内的其他领域。“我们的基于消费者的可选性email营销战略范围还是很窄的,因为这些信息都是详尽的,我们不会用于提升销售和交叉销售,也不会把资料卖给其他人。对我们来讲,保护消费者的隐私是很重要的。”
固穆拉克认为,零售商们能考虑的其他方面还包括使用加密技术保护员工的社会保障号和档案。另外,他们也一直在考虑将其用到其他方面。例如,Ingrian公司不久就会有能力加密整个数据文件,而不仅仅是单个数据资料。
关于其他零售商对加密技术的质疑,梅塞尔斯有以下建议:首先,他认为,零售商应“明确这是商业动机而非IT动机”;其次,分清轻重缓急,先处理最重要的环节。同时,他也告诫各零售商要支配好这一计划。
“不要依赖审计专员告诉你什么该做,”他说道,“这对他们来说也是一条学习曲线。你应该告诉自己怎么做才能保护你的消费者。你要记住顺从意味着结束,而安全则是需要持续努力的,而不是一次性就能解决的。”
