Verizon表示支付安全業(yè)務(wù)連續(xù)第二年出現(xiàn)倒退

Verizon的一份報告顯示，美國的支付安全性已連續(xù)第二年惡化，因?yàn)橹挥形宸种坏墓痉虾弦?guī)要求。

Verizon的2019年支付安全報告發(fā)現(xiàn)，完全遵守支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCIDSS)的全球范圍從2018年的52.5%下降到全球的36.7%。2004年通過VISA啟動了PCIDSS，并且該組織應(yīng)在5年內(nèi)得到遵守。依從性從2010年逐漸提高到2016年，然后開始下降。缺乏支付遵從性引發(fā)了大量的安全問題。

國家的國家行為者，越來越多的數(shù)據(jù)泄露背后的附屬機(jī)構(gòu)：網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)戰(zhàn)爭：一個監(jiān)視者指南，指向那些想讓你進(jìn)入Windows 10的安全指南：如何保護(hù)你的業(yè)務(wù)

亞太地區(qū)的公司對PCI DSS標(biāo)準(zhǔn)的遵守率最高，在歐洲、中東和非洲的完全符合率為69.6%，達(dá)到48%。在美洲，只有20.4%的人完全符合PCI DSS標(biāo)準(zhǔn)。

部分問題是，遵從pci dss在很大程度上是為了在紙上顯示控制，以保護(hù)數(shù)據(jù)和隱私，但合規(guī)程序往往會在現(xiàn)實(shí)世界的威脅下崩潰。

Verizon的報告基于302 PCIDSS與全球公司的合作。

Verizon安全保證咨詢公司全球情報部門高級經(jīng)理Ciske van Oosten說：

PCI DSS通過已有15年，但這是私營部門的努力。如果您不遵守PCIDSS，可以對服務(wù)提供商和商家進(jìn)行處罰。執(zhí)法是企業(yè)和合同之間的事務(wù)。如果你不順從并且有違規(guī)行為，你將被追究責(zé)任。最終的后果是與金融網(wǎng)絡(luò)脫節(jié)。

Verizon正在介紹其評估PCIDSS準(zhǔn)備情況的框架，以及在正式評估之前獲得合規(guī)驗(yàn)證的框架。vanOosten說，PCIDSS的遵從并不能保證一個組織不會遭受數(shù)據(jù)泄露，但它不太可能受到影響。

總的來說，PCIDSS標(biāo)準(zhǔn)有12個要求，分為6個領(lǐng)域，如建立和維護(hù)安全網(wǎng)絡(luò)和系統(tǒng)、保護(hù)持卡人數(shù)據(jù)、維護(hù)漏洞管理程序、實(shí)施強(qiáng)有力的控制措施、定期監(jiān)測和測試網(wǎng)絡(luò)以及維護(hù)和信息安全政策。

就目前的要求而言，Verizon報告中的大多數(shù)公司都維護(hù)了防火墻，改變了供應(yīng)商的默認(rèn)情況，保護(hù)了持卡人的數(shù)據(jù)，防范了惡意軟件的攻擊，限制了對數(shù)據(jù)的訪問和加密，但卻陷入了安全管理和測試系統(tǒng)和流程的泥潭。

具體來說，需求11--測試安全系統(tǒng)和處理--是組織面臨的最大問題。根據(jù)報告：

要求11在完全遵守情況下，在包裝背面持續(xù)存在滯后。根據(jù)2017-2019年提交報告年份的最低法規(guī)遵從性排名，這一要求也具有最廣泛的控制差距，這不僅意味著組織不遵守法規(guī)遵從性，而且還在更多的控制中失敗。

因?yàn)檫@一要求可以幫助組織識別可能被利用的弱點(diǎn)，并導(dǎo)致違約，因此值得關(guān)注的是，遵從性沒有得到改善。