为了符合PCI数据安全标准而需要在保护无线网络方面获得帮助的商家现在可以采用分步指南了。

　　PCI安全标准理事会在上周四发布了无线安全指南，这是理事会里的无线技术特别兴趣小组（special interest group，SIG）开发的。这份28页的PCI无线指南解释了可应用的 PCI DSS要求，并提供了一些采用建议。

　　VeriFone Holdings Inc.的产品安全经理兼无线SIG的主席Doug Manchester说：“这份指南的目的是让需要的人们更加清楚。”他说，例如，干洗店的人员可以轻松地设置无线网络，但是他/她可能需要在理解PCI DSS如何遵守的方面的帮助。

　　指南关注Wi-Fi技术，因为它被广泛地应用于支付卡交易中。他说：“Wi-Fi好像是最紧迫的目标。”他补充说SIG下一步可能会解决蓝牙这种也被大量用于支付卡交易的无线协议的问题。

　　Manchester说，无线SIG最关注的是解决PCI标准范围内和无线相关的问题。无线安全指南中的建议包括变更默认设置、WLAN分段不要依赖于虚拟LAN，以及维护硬盘目录以确保不要安装混乱的WLAN。论文包含一些图表和流程图。

　　Manchester说：“这种全局性的目标是为了简化安全程序。无线就在这里，而我们想要给大家平等利用这种技术的机会。”

　　代表商家、销售点的厂商、银行和网络安全公司的大约40家机构都参与了无线SIG。管理PCI标准的PCI SSC去年夏天组成了无线SIG。理事会还有关于 、虚拟化和预授权的SIG。无线SIG第一发布了作品。

　　网络犯罪利用无线网络中的漏洞窃取信用卡数据，这也凸现了无线安全的需求。2007年TJX Companies Inc.的数据泄露案中有4570万的信用卡和借记卡受到欺诈威胁。调查人员称这个安全就存在松散的WLAN安全。他们发现黑客利用TJX的WI-Fi网络中的漏洞以及一个改良的嗅探项目来监控和捕获TJX的交易系统的数据。调查人员说TJX使用了 Wired Equivalent Privacy (WEP)加密协议。这种旧的容易被攻击的安全标准已经被Wi-Fi Protected Access (WPA)取代了。使用高级加密标准（Advanced Encryption Standard）的WPA2可以和最新的标准IEEE 802.11i兼容。

　　PCI DSS v1.2要求企业在2010年6月30日终止使用WEP，转向改良的IEEE 802.11i等加密和认证标准。

　　独立PCI DSS审计员兼FTI Consulting Inc.的策略安全经理Roger Nebel说PCI无线安全指南中的技术建议很可靠，如果采用可以改善无线安全性。

　　他说：“采用这些建议的主要问题是商家需要相当大的成本，因为他们需要在2010年六月前替换旧的只使用WEP的技术。”他补充说，商家需要在紧缩的经济环境中购买新的硬件和软件设备。

　　Manchester说成本是采用这个指南的时候要考虑的问题之一。他说这份指南使为了提供一些选择，例如网络分段和“不让商家增加负担，增加设备上的大型投资。”