Verizon報告顯示支付卡保安法規遵循仍存在問題

消費者敏感資料處高外洩風險

 

不遵循法規增加數據外洩風險

 

香港 – Verizon連續第二年發表的報告顯示,很多企業仍為遵循支付卡安全標準而疲於奔命,導致消費者敏感資料處於高風險。

  根據「Verizon支付卡業界數據法規遵循報告」,大部份接受信用卡或扣賬卡,或同時接受兩者的企業仍然未能達致及維護支付卡行業數據安全標準 (Payment Card Industry Data Security Standard,簡稱PCI DSS) 的法規要求。因此,這些企業更容易遺失客戶敏感資料及在信用卡詐騙中面對更高風險。

  即使有可能面對罰款及遭信用卡公司增加交易費用,企業亦未能維持法規遵循。同時,這些企業亦面對來自其合作夥伴及客戶的壓力,希望他們持續遵循法規要求。


  除了分析整體市場在遵循PCI DSS的情況外,有關報告亦測試企業遵循12種特定PCI要求的情況,並為企業提供有助他們獲取及維持相關法規遵循的建議。

  Verizon風險智能部總監Wade Baker表示:「我們希望更多企業遵循PCI標準,因為我們相信遵循法規將可改善企業的資訊保安措施,最終減少數據外洩事故。透過這份報告,企業可知他們的不足而加以改善,以及採用我們的建議,藉而加快遵循PCI法規的要求。我們的最終目標是為消費者及企業建立一個安全的信用卡應用環境。」

  備註:有關這項報告的更多資料,詳見相關的音頻播客高解像度圖表

PCI報告重點基於真實PCI評估及資料外洩個案
  報告是由Verizon旗下的PCI認可保安評估團隊於2010年所進行超過100項的PCI DSS評估,同時包含Verizon旗下調查回應團隊偵查真實支付卡數據外洩個案收集回來的數據。此外,Verizon風險智能團隊以2011年Verizon數據外洩調查報告的數據外洩個案配合有關的評估結果,從而衍生出更豐富及更全面的數據分析。


  有關評估包括來自美國、歐洲及亞洲企業的數據,首次代表著全球企業對PCI標準的遵循狀態。

重點調查結果
  2011年Verizon支付卡業界數據法規遵循報告的主要調查結果包括:

  • 即使法規遵循的情況沒有惡化,也沒有改善,但始終是令人失望的。只有21%的企業在初步審查中被認定為全面遵循法規要求。報告指出,大部份企業未能遵循法規要求的主要原因包括:達致法規遵循面對的困難、企業管理人員過份自信及企業只專注遵循其他法規要求及處理其他保安問題。
  • 未能遵循PCI法規直接導致數據外洩。今年的報告亦指出,曾經發生數據外洩事故的企業大多未能遵循PCI法規要求,這些企業同時亦有較高機會遭受身份盜竊及詐騙問題的威脅。
  • 企業為達致關鍵PCI要求而疲於奔命。企業主要為遵循4項PCI法規而煩惱,包括第3項 (保護持卡人資料)、第10項 (追蹤及監管存取)、第11項 (定期測試系統及程序),以及第12項 (維護保安政策),而這些要求直接保護持卡人數據。
  • 未能把遵循法規要求放於首要任務,意味企業漠視高風險的保安威脅。Prioritized Approach於2009年推出,協助企業識別有關持卡人數據的風險,並把有關風險降低,從而使年度PCI程序更為順利。報告顯示,企業只依賴PCI DSS作為指引,而非以風險為本的方案遵循PCI法規,因此不少企業正漠視高風險的保安威脅而有可能導致嚴重的後果。
  • PCI標準可對抗最常見的攻擊方法。惡意程式及黑客入侵是最普遍獲取持卡人數據的方法。多項重疊的PCI法規要求旨在協助企業對抗這些攻擊。

迎合法規遵循的建議
  基於大量的分析,Verizon提出以下建議,協助企業迎合其法規遵循的目標:

  • 視法規遵循為每日及持續的程序。法規遵循需要持續堅持以達到有關標準,亦即每天檢視數據流量紀錄、每星期進行檔案完整性監察、每季度進行漏洞掃描,以及每年進行入侵測試。為了達到這個目標,Verizon建議企業指派PCI專員,以確保法規遵循成為日常業務活動的一部份。
  • 自行評估需謹慎,甚至不進行自行評估。第一層及第二層的商戶由於需要處理大量的持卡人交易,所以他們會容許本身不遵循法規要求。不過,這個情況會衍生出大量的問題及利益衝突,所以Verizon強烈建議企業委任客觀的第三方團隊,以作核實評估的範圍,或進行測試。
  • 為提升要求作好準備。在2010年10月,PCI保安標準議會公布了 第二版的PCI DSS。這個版本以要求更嚴苛的行政摘要及驗證方法釐訂評估範圍。目前仍未能遵循現存標準要求的企業必須加快迎頭趕上,為新版本作好準備。

  欲獲取更多調查結果及建議,可於http://www.verizonbusiness.com/go/2011pci/us下載,亦可瀏覽Verizon PCI報告資源中心 獲取所有報告資源。

Verizon簡介
Verizon Communications Inc. (紐約證券交易所及納斯達克股票代號:VZ) 的總部設於紐約,為全球首屈一指的寬頻及其他無線和有線通訊服務供應商,專注為大眾消費市場、企業、政府及批發客戶提供服務。Verizon營運全美國最穩健可靠的無線網絡,於當地擁有超過1億400萬名客戶。此外,Verizon亦透過美國最先進的光纖網絡提供融合通訊、資訊及娛樂服務 ,並為世界各地客戶提供流暢的業務解決方案。Verizon為道指30成份股的上市公司,擁有一支多元化的員工團隊,全球僱員超過 196,000人,去年綜合收入逾1,066億美元。如欲獲取更多資料,請瀏覽www.verizon.com


VERIZON網上新聞中心:Verizon設於互聯網址:www.verizon.com/news的新聞中心,提供了Verizon的新聞發佈、行政演詞及員工簡歷、媒體聯絡資料、優質短片及影像,以及其他資料。如欲透過電郵取閱本公司發送的新聞發佈,請瀏覽新聞中心,登記個人化自動接收Verizon新聞發佈服務。

 

 



Arlo Pro 網絡攝錄鏡頭 - 防水、內置電池、無線
詳情請點擊:http://www.anlander.com


此文章首發於 TechRitual;標題:Verizon報告顯示支付卡保安法規遵循仍存在問題消費者敏感資料處高外洩風險;內容贊助:NETGEAR orbi,Mesh WiFi 子母機設計打通村屋