零售商們?cè)絹碓礁惺艿桨▉碜灾Ц犊ㄐ袠I(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)在內(nèi)的安全措施的壓力。隨著他們對(duì)采取何種措施保護(hù)付款資料展開調(diào)查，他們也應(yīng)當(dāng)關(guān)注其他應(yīng)該受保護(hù)的資料。

 這正是紐約B&H Photo所關(guān)注的。它是當(dāng)?shù)匾患掖笮偷臄z影電子器材商店，為專業(yè)人士及其他攝影愛好者提供專業(yè)服務(wù)。

“對(duì)我們來講，PCI要求與其說是負(fù)擔(dān)，還不如說是機(jī)遇。”希安.梅塞爾斯說道。他是B&H公司信息系統(tǒng)應(yīng)用研發(fā)部的主管。

 PCI通過一系列行業(yè)工具和措施確保付款信息的安全。該標(biāo)準(zhǔn)在同主要信用卡及付款公司一致的同時(shí)，還為開發(fā)安全程序防止并監(jiān)測(cè)付款信息相關(guān)的安全事件提供框架。

根據(jù)該標(biāo)準(zhǔn)的要求，零售商必須保管好付款信息（包括信用卡及貸記卡號(hào)），其他未經(jīng)授權(quán)的個(gè)人就無法得到這些資料。

最好的辦法就是使用加密技術(shù)，該技術(shù)通過數(shù)學(xué)編碼加密，并由授權(quán)者通過密碼才能解密。若有人未經(jīng)授權(quán)獲得上述資料，加密后的資料對(duì)他來講也是無法看明白的。

在200年第3季度，B&H公司組織了一個(gè)管理團(tuán)隊(duì)調(diào)查加密技術(shù)并決定公司是否購買該技術(shù)或找尋其他的解決方案。最終，他們決定不再另想辦法，而購買現(xiàn)有的加密產(chǎn)品。

B&H“為了了解該供應(yīng)商如何引導(dǎo)消費(fèi)者了解加密技術(shù)過程及該技術(shù)如何改變商業(yè)流程，我們也聽取了其他消費(fèi)者的反饋意見。”梅塞爾斯說道。

B&H發(fā)現(xiàn)它能采取3種方式：使用數(shù)據(jù)庫供應(yīng)商的加密技術(shù)；使用第三方供應(yīng)商提供的數(shù)據(jù)庫加密技術(shù)；或是使用資料在輸送到數(shù)據(jù)庫之前的應(yīng)用過程中已經(jīng)加密的第三方系統(tǒng)。

最終，它選擇了同來自加州紅杉城Ingrian Networks合作，因?yàn)樵摴镜漠a(chǎn)品能在數(shù)據(jù)庫和應(yīng)用過程中進(jìn)行加密，梅塞爾斯說道。

系統(tǒng)的建立

加密技術(shù)的應(yīng)用是確保指定人員才能有權(quán)使用數(shù)據(jù)的決策工具。該系統(tǒng)還能記錄特殊請(qǐng)求（比如有員工在幾小時(shí)內(nèi)索取眾多消費(fèi)者的付款信息）并發(fā)警告給管理部門。

 任何加密系統(tǒng)中最重要的都是系統(tǒng)管理，Ingrian產(chǎn)品管理部門的副總裁德里克. 固穆拉克說道：“你必須決定誰有權(quán)改變決策，并建立一個(gè)誰有權(quán)使用該信息、何時(shí)有權(quán)使用的系統(tǒng)。”他說道。

 除了B&H紐約店，許多網(wǎng)上和郵購商人都在使用這一技術(shù)。“我們需要一個(gè)能夠處理多渠道終端需求的系統(tǒng)。”梅塞爾斯說道。

 Ingrian市場(chǎng)營(yíng)銷部主管貝蒂.梁認(rèn)為，對(duì)許多零售商來講，擁有多渠道中整合能力是非常重要的。例如，她指出許多商家都允許消費(fèi)者在網(wǎng)上購物并退貨至店內(nèi)。這也就意味著網(wǎng)上購物的信息必須存放在店內(nèi)員工能看到的數(shù)據(jù)中心。

 B&H Photo擁有“在我們店內(nèi)購物超過30年”的消費(fèi)者，梅塞爾斯說道：“讓他們?cè)诘陜?nèi)享受到舒適和信賴對(duì)我們來說是非常重要的事情。”

資料保護(hù)需要資料使用和保密履行間達(dá)成一種平衡。“為了確保消費(fèi)者的安全，我們寧可給員工多帶來點(diǎn)麻煩。”梅塞爾斯說道。

其他用途

B&H正在將加密技術(shù)擴(kuò)展到其他包括消費(fèi)者電子郵件地址在內(nèi)的其他領(lǐng)域。“我們的基于消費(fèi)者的可選性email營(yíng)銷戰(zhàn)略范圍還是很窄的，因?yàn)檫@些信息都是詳盡的，我們不會(huì)用于提升銷售和交叉銷售，也不會(huì)把資料賣給其他人。對(duì)我們來講，保護(hù)消費(fèi)者的隱私是很重要的。”

 固穆拉克認(rèn)為，零售商們能考慮的其他方面還包括使用加密技術(shù)保護(hù)員工的社會(huì)保障號(hào)和檔案。另外，他們也一直在考慮將其用到其他方面。例如，Ingrian公司不久就會(huì)有能力加密整個(gè)數(shù)據(jù)文件，而不僅僅是單個(gè)數(shù)據(jù)資料。

 關(guān)于其他零售商對(duì)加密技術(shù)的質(zhì)疑，梅塞爾斯有以下建議：首先，他認(rèn)為，零售商應(yīng)“明確這是商業(yè)動(dòng)機(jī)而非IT動(dòng)機(jī)”；其次，分清輕重緩急，先處理最重要的環(huán)節(jié)。同時(shí)，他也告誡各零售商要支配好這一計(jì)劃。

“不要依賴審計(jì)專員告訴你什么該做，”他說道，“這對(duì)他們來說也是一條學(xué)習(xí)曲線。你應(yīng)該告訴自己怎么做才能保護(hù)你的消費(fèi)者。你要記住順從意味著結(jié)束，而安全則是需要持續(xù)努力的，而不是一次性就能解決的。”