什么是银行支付的PCI？

今天的信用卡用户可以安心在网上交易，因为接受信用卡的商家必须遵守支付卡行业数据安全标准(PCI DSS)。PCI DSS是由信用卡公司组成的财团于2006年成立的，目的是打击网络欺诈。[1]它对商家如何存储、处理和传输信用卡数据设定了严格的要求。[2]不遵守规定的商家可能会被罚款，甚至被彻底禁止进入信用卡网络。安全也是银行支付的一个问题。如果说有什么不同的话，那就是银行账号甚至比信用卡号码更敏感，因为它们不会改变。[3]在这篇文章中，我们将研究ACH支付欺诈的影响，描述即将到来的合规性要求，并分享我们认为的安全最佳实践。

在深入研究解决方案之前，有必要对欺诈问题进行评估。毕竟，银行转账在历史上一直被认为是最安全的支付方式。美联储的一项研究发现，2015年的ACH支付在美国所有支付方式中欺诈率最低，为0.0008%。[4]这相当于每10,000美元的交易只有8美分是欺诈的。

然而，更深入地观察就会发现，随着银行支付量的在线转移，这种看法受到了怎样的挑战。最新数据显示，2018年互联网上的ACH交易额增长到2.9万亿美元，同比增长14.2%。[5]根据金融专业人士协会(Association Of Financial Professionals)的研究，同年，ACH是唯一一种欺诈率上升的支付方式。[6]在接受调查的组织中，遭遇ACH信用欺诈的比例从一年前的7%飙升至20%。33%的受访组织遇到过ACH借记欺诈，高于一年前的28%。

因此，ACH欺诈案近年来急剧上升。有什么安全规则来应对这种情况？

与PCI DSS最相似的是ACH网络的管理机构NACHA在2013年推出的ACH安全框架规则。简而言之，该规则要求ACH网络参与者“保护[非公开个人信息]的机密性和完整性，直至其销毁。”[7]合规性通过您的存托金融机构(DFI)进行的年度审计来验证。

大规模ACH发起人应了解即将对这些规则进行的修订，该修订将要求每个非DFI ACH发起人、第三方发件人和第三方服务提供商在以电子方式存储时使银行帐号不可读。[8]其实施日期按交易数量错开：

每年支付超过600万ACH的实体必须在2021年6月30日之前遵守。

每年支付超过200万ACH的实体必须在2022年6月30日之前遵守。

这里有几件事需要注意。首先，以PCI DSS的历史为指导，我们预测最终所有ACH参与者都将被要求混淆银行账户信息。其次，NACHA故意不强制要求任何特定的数据安全方法或技术。我们有几点建议。

即使NACHA没有规定如何保护银行账户信息，保护银行账户信息也应该是首要任务。我们现代财政部认为以下做法是接受银行付款的企业的赌注：

对静态数据使用AES 256加密，并使用TLS保护传输中的数据内容。与您的团队一起创建一个流程，每隔90天轮换关键点。

至少每季度运行内部和外部漏洞扫描。与经过认证的供应商合作，检测您的系统是否存在已知漏洞。

实施基于角色的访问控制，以限制哪些内部用户可以查看敏感信息。在需要了解的基础上保留权限可以最大限度地减少系统的受攻击面。

跟踪您的内部用户的读写操作。这是我们发货的一个例子。

选择符合SOC 2标准的供应商。您的外部供应商遭受的任何数据泄露都是您的企业遭受的数据泄露。您可以通过要求您的供应商通过对其安全实践的技术审核来将风险降至最低。

在这里，我们分享了一些关于防止银行账号落入攻击者手中的想法。另一件要考虑的事情是，你一开始是否支付和收取了正确的银行账户。这就是银行账户验证如此重要的原因。你应该知道是谁在保管你寄来的钱。NACHA正在实施一项账户验证规则，要求商家验证首次使用的消费者账户，从2021年3月23日起生效。[9]接受的帐户验证方法包括：

安全地发送银行付款可能会令人望而生畏。在减轻数据安全负担的同时接受银行付款的一个选择是与现代财政部这样的提供商合作。我们可以帮助您安全地与您的银行整合，并扩展您的业务的支付业务。如果您感兴趣，请立即请求演示。