托德·韦斯| 2015 年 1 月 16 日
Verizon 关于移动和零售安全以及支付卡行业数据安全标准 (PCI DSS) 合规性的最新报告显示,许多公司在完成项目后未能满足要求。这给他们留下了安全漏洞,可能会导致未来本可预防的数据被盗和丢失。
Verizon 合规与治理专业服务总监 Rodolfi Simonetti 表示:“大多数客户仍然将合规视为一个需要两到三个月的项目。”他说,客户失败的地方在于,项目完成后没有继续使用该系统,从而无法保持合规性。
西蒙内蒂于 1 月 12 日在纽约 Verizon 全国零售会议期间举办的新闻发布会上发表了讲话。他参加了在曼哈顿 Ink48 酒店举行的有关 PCI 合规性的公开讨论。
西蒙内蒂引用了 Verizon 即将发布的年度 PCI 报告中 南非电报数据 的数据,他表示该报告显示,公司仍在努力正确实施 PCI DSS 要求并在整个企业系统中保持合规性。
该报告将于 2 月底发布,研究了过去五年来 30 个国家/地区 5,000 多家公司(重点关注财富 500 强公司)的安全评估。西蒙内蒂表示,分析结果令人震惊。除此之外,我们还发现,2014 年遭受网络攻击的公司在攻击发生时没有一家符合现有的 PCI DSS 要求。
西蒙内蒂表示:“大多数公司确实无法保持遵守标准。” “这太神奇了。”
报告中的数据显示,在项目完成六个月后,只有不到三分之一的公司符合 PCI DSS 标准,他继续说道:“这是一个非常非常低的数字。让所有事情都达到标准很难,但维持这个标准就更难了。”
有趣的是,西蒙内蒂并不认为公司长期无法满足 PCI DSS 要求的领域是最困难的。这包括维护防火墙、修补系统以及根据计划定期测试安全性和漏洞。
他说:“我认为这些是基本的安全问题。” “然而,许多公司无法提供这种基本的保护。”
西蒙内蒂继续说,通常的问题在于,一些公司将 PCI 合规视为一个为期一年的项目,而不是一个持续的安全过程。他说:“你永远不可能保证 100% 的安全。” — 因此,必须时刻保持警惕,以免网络入侵造成的后果过于严重。有些国家为防止入侵做了很多工作,但如果入侵真的发生了,他们却无法迅速做出反应。”
零售和酒店分析公司 IHL Group 的首席分析师 Greg Buzek 表示,目前大多数公司对 PCI DSS 合规性的回答是采取包括加密和令牌在内的综合信用卡安全方法。
“坦率地说,PCI DSS 是一个永无止境的千年虫问题,”Buzek 说。如今,企业收到安全公司确认其符合标准后却发现其网络遭到入侵的情况并不少见。他指出:“他们有文件证明遵守了规定,但如果只涉及银行卡保护,而不涉及数据保护,问题就仍然存在。” - 因此最好使用加密和令牌。这样的话,偷来的卡就没用了。”
海豹发送至 Telegram