CTI论坛(ctiforum)3月17日消息(记者 李文杰):Verizon Enterprise Solutions于3月12日发布的《2015年PCI数据法规遵循报告》显示,接近80%企业未能够通过PCI法规遵循评估,导致业务容易受网络骇客攻击。鉴于现时超过三份二的买卖交易均由支付卡进行,信用卡交易的金额预计将于2015年达到20万亿美元,可见资讯保安对机构极为重要。
作为第四年的调查,Verizon的2015年度报告探讨世界各地的金融服务、零售、旅游与酒店等行业各部门有否遵循支付卡业界资讯安全标准(PCI DSS)法规,以及这些达标数字与资料外泄案件的相互关系。
自从2009年以来,各大企业所经历的诸多资料泄漏事件绝非偶然。Verizon的网络安全调查结果表明,企业对于PCI DSS遵守的程度一直低于正常水准。
通过减少资料泄露的可能性,各公司能更好地打理自己的品牌,确保消费者对品牌的信任,从而减少不必要的重大损失。事实上,69%的消费者均表示不愿意与曾出现资料外泄的机构进行交易。
Verizon Enterprise Solutions专业服务部门总经理Rodolphe Simonetti指出:「时至今日,网络安全性原则的定义正不断变化,死守于现有模式并不能全面地保护数据。我们应将着眼点放在可持续发展的保安系统。这个亦是每个机构每日必须留意的一个重要资料保安策略。」
2015 PCI重要调查结果总览
- 今年的调查结果显示,只有29%公司在被评为达标后的一年内,仍然全面遵守所有的资料保安标准。尽管通过年度评估及进行持续标准监察的公司现时仍属少数,2015年年度报告亦有喜讯。
- 2014年中期报告通过支付卡业界标准初步法规审阅的公司,较2013年上升近一倍。
- Simonetti表示,「机构未能达标的三个主要范围,包括保安系统定期测试、维持安全系统正常运作和保护现已有的资料。」根据Verizon的资料外泄个案调查所得,所有公司于发生资料外泄的时候,均无全面符合支付卡的业界标准。
其他报告调查结果如下:
- 于2013年至2014年间,在12项支付卡业界资料保安标准要求当中,11项要求的达标情况有所改善,60%的公司在2014年的评估中完成了所有基本要求。
- 达标机构的比率平均上升18个百分点。
- 当中录得最大升幅的是认证登入。
- 唯一录得达标比率下降的项目为保安系统测试,比率由40%下降至33%。
Simonetti表示,今年报告中另一项令人忧虑的趋势是数据安全性仍然未能达标。
通过分析过去12个月的数据外泄数字和规模可见,目前的技术无法阻止网络骇客攻击,而在大部份情况下,现阶段的技术甚至没有减低网络骇客的入侵速度。因此,遵循支付卡业界数据法规,是最全面的讯息安全及风险管理策略。虽然支付卡业界法规评估可帮助机构发现重大的安全漏洞,但却未能确保数据的安全性。
Verizon 2015年PCI数据法规遵循报告
今年的报告涵盖了三年的数据,当中包括由支付卡业界认可的Verizon保安评估团队研究的评估数据。采用Verizon的保安评估的大型跨国公司来自30多个国家,大部份均为《财富500强》公司。
在报告中,Verizon进行了一个深入的研究,仔细分析了12个支付卡业界的标准。今年报告更首次着眼于即将发布的3.1标准法规。
2015年的报告亦有详细说明公司被评为达标后,往后却不符合安全要求的情况及个中原因。除此之外,报告也有阐述「如何能更容易地符合支付卡业界标准」—从而对希望持续遵循支付卡业界数据法规的企业提供可行建议。
与Verizon一系列的资料外泄调查报告(DBIR)类同,PCI报告结果都基于对真实个案的分析,亦是行业中唯一分析实际个案的报告。支付卡业界安全评估数据的搜集来源分别为金融业(30%)、零售业(26%)及旅游与酒店款待行业(15%),调查地区横跨美洲(55%)、欧洲(23%)和亚太区(22%)。
