在给美国联邦贸易委员会 (FTC) 的一封信中,美国零售联合会 (NRF) 的律师试图取缔 PCI,并热情地请求政府不要给予完全由 Visa 和 MasterCard 等信用卡品牌控制的标准机构更多的影响力。
充满激情,但抽象。 NRF 的论证几乎完全是一种假设,认为这种努力在理论上可以用来推进反消费者和反商业议程。这很奇怪,因为 PCI 委员会早在 2004 年就发布了其指南的 1.0 版,并且多年来还发布了更多版本。如果 NRF 的论点是可靠的,为什么这么多年之后它不能向 FTC 提供大量实际的滥用实例,而不是仍然争论其潜力?
NRF 半心半意地提到了一个具体问题——EMV——但这对 NRF 方面来说并不是一个有力的论据。
NRF 信函的触发因素似乎是担心 FTC 可能将 PCI 合规性纳入— 此举将巩固并提高 PCI 的影响力和实力。这是最能在摘要中阐明的论点之一。在法律、抽象、假设的层面上,NRF 提出了一个听起来令人印象深刻的案例,证明 PCI 确实是卡品牌的权力游戏。
但对 PCI 多年来发布的平凡而广泛的指导方针进行审查后,发现并没有什么宏伟的全球统治计划。相反,它似乎是一个相对无害的安全最佳实践列表。反对 PCI 的一个更好的论点是。 (注:PCI 现在也,这似乎是明智之举。)
其中一些批评因 PCI 限制的务实现实而平息,PCI 必须发布同样适用于大型零售商和小型零售商(包括所有可能的垂直领域)的安全指南。这就迫使人们采取某种最低公分母的方法来解释一些明显的胆怯。
如果 NRF 关于非凡影响力的论点可信,那就意味着影响力是通过细微差别和微妙来实现的——这两个词很少用于 Visa 和万事达卡的策略。
话虽如此,PCI 的回应却非常含糊,它似乎更多地支持了 NRF 的指控,而不是削弱了这些指控。 PCI 声明全文出自 PCI 理事会总经理 Stephen Orfei 之手:“PCI SSC 知晓 NRF 信函,并强烈反对其中包含的毫无根据的断言。PCI SSC 与 FTC 正在进行持续且富有成效的对话,并期待与他们讨论 NRF 的信函。”
当我们要求该委员会具体说明有争议的“毫无根据的断言”时,它拒绝透露任何内容。 PCI,这不是一个好兆头。如果你连一个事实错误或不正确的结论都不能引用,那就很难令人信服。
现在,让我们深入研究一下 NRF 文件的内容。 (对于那些感兴趣的人,以下是我对联邦贸易委员会文件的重点介绍,以及NRF FTC 信函全文以及 NRF FTC 文件的全文。)“我们敦促 FTC 不要出于任何目的依赖 PCI DSS,特别是不要将其作为行业最佳实践的示例,也不要将其作为确定支付系统或任何其他部门中合理数据安全标准的基准,”信中说道。
它进一步将 PCI 理事会描述为“由单一行业部门(主要信用卡网络)组成和控制的专有组织,而不是建立在美国标准战略(由美国国家标准协会发布,更广为人知的 ANSI)认可的标准制定原则基础上的开放组织。值得注意的是,PCI 未能满足联邦政府为自愿标准制定组织所采用的任何原则,这些组织旨在促进健全、公平的标准,并避免在不仔细的标准制定过程中可能固有的竞争问题。建造的。”
这就是我之前提到的。 NRF 刚才所说的是关于为什么 PCI 可能无法提供公平合法的安全指南的争论,但它从未采取下一个合乎逻辑的步骤来引用已发布的确实有问题的安全指南。在刑事法庭的类比中,这就像确定被告可能杀死受害者的原因,而不试图证明他确实这样做了。
“PCI 的标准不是自愿的。相反,它们是由具有市场力量的网络制定的,并强加给无法拒绝接受信用卡和借记卡的企业主(以及他们的客户)。PCI 通过消耗原本可用于数据安全以及采用和实施新的(可能更安全的)支付技术的资金,有效地扼杀了竞争和创新,”信中说道。 “换句话说,卡网络通过严格控制的相互依存机构和合规制度网络,不公平地利用其品牌和专有技术。PCI 在很大程度上是整个反竞争计划的一部分。”
都是真的。但它仍然试图将 PCI 描绘成潜在的邪恶力量,而不去证明 PCI 做过任何邪恶的事情。多年前,当 PCI 作为一个概念推出时,这就是一个完美的论点。但考虑到 PCI 已经全面运作了这么多年,缺乏任何涉及发布的实际指导方针的有意义的缺陷清单,极大地削弱了 NRF 论点的力量。
简而言之,NRF 的论点合理地证明了 PCI 有可能参与反竞争行为。即使 PCI 尚未利用该权力,争论仍在继续,它可以,而且如果 FTC 给予其批准,滥用该权力的诱惑可能会被证明是不可抗拒的。不幸的是,NRF 没有选择提出这一论点。
NRF 的宏观论点是,通过所有这些特定的安全规则,银行卡品牌有可能控制支付领域以及在该领域发挥关键作用的零售商。
在其引用的具体内容中,NRF 认为 PCI 对 EMV 的接受暗示了卡品牌如何试图控制零售商,从而损害零售商和消费者的利益。
“在世界其他地区,网络都实施了芯片和 PIN 政策。然而,对于美国来说,网络采用了仅芯片政策。同样,考虑到要求 PIN 的相对简单、费用低廉和有效性,它违背了逻辑和公认的标准制定原则,即网络将选择强制实施新的 EMV 制度(及其所有随之而来的成本和复杂性),而不是采取额外的步骤,要求芯片卡使用 PIN 码,以最大限度地提高美国支付卡系统的安全性。欧洲、亚洲、英国、加拿大和全球最大的经济体,”NRF 的信中说道。 “鉴于芯片和 PIN 码在全球范围内的成功部署,人们可能会质疑,为什么一个真正关心保护支付系统的开放标准制定机构不需要使用 PIN 码来提高美国的安全性。但 PCI 并不是一个为了最大化结果而成立的开放组织。它是一个由单一利益集团(网络)主导的专有组织,其动机与 PCI 要求所施加的其他支付卡系统参与者的利益相悖且相冲突。不应依赖其“标准”。任何政府机构都会这样做,部分原因是它们的开发过程存在致命缺陷。”
EMV 支持者提出的仍然接受签名的论点是,美国消费者抵制变革,并且签名方式一开始会更舒服。争论的焦点是,当消费者对刷卡的变化感到满意之后,PIN 身份验证始终可以在以后添加。
但尽管如此,我们还是有一个非常合理的担忧。不幸的是,这只是 NRF 所暗示的。是的,PCI 在对卡品牌进行竞标方面拥有巨大潜力,但它似乎几乎没有利用过这一潜力。然而。这就是重点。如果 PCI 以 FTC 的采纳形式得到美国政府的正式认可,它将拥有更大的权力来按照其所有者的喜好塑造该行业。
约翰·达尔伯格-阿克顿有一句经典名言:“权力容易腐败,绝对权力绝对腐败。” (顺便说一句,这句话中的下一行几乎从未被引用过,但它仍然很有趣:“伟人几乎总是坏人。”)
换句话说,PCI 获得的权力越大,其所有者就越难以抗拒扮演支付之神的角色。那么,NRF 的观点是,FTC 应该考虑谁是 PCI 所有者,以及它是否希望该组织拥有如此大的权力。如果 NRF 明确指出这一点,那就会更有说服力。但就目前情况而言,这仍然是一个发人深省的想法。