PCI DSS 乃由 American Express、Discover、JCB、MasterCard 和 Visa 訂立的支付卡資料安全標準,但有調查指出,全球仍有近半企業未達 PCI 標準,顯示企業處理消費者支付卡資料時仍有隱憂。調查又指,近年不少企業都無法達到 PCI 其中一個要求「加密資料傳送」,很大程度與 2014 年 SSL 3.0 漏洞被揭發,企業未有轉用 TLS 1.1 有關。
▲ Verizon 亞太區網絡安全總監黃財明
近半企業未完全達到 PCI DSS
Verizon 發表 2017 年《付款安全報告》,內容基於真實案例,並集中在金融服務(47.5%)、 資訊科技服務(22.3%)、餐旅業(15.1%)和零售業(14.4%)。報告有 29.5% 的資料來自亞太地區,其餘內容包括美國(42.4%)和 歐洲(28.1%)。
結果顯示,55.4% 的機構通過 2016 年的中期測試,能完全符合 PCI DSS 標準,與 2015 年的 48.4% 相比可見明顯改善,但這亦代表近半接納付款卡的企業在過去兩年仍未能完全達至安全標準。Verizon 亞太區安全保證高級經理 Ferdie Delos Santos 更指出,原先合格的企業當中,近半在一年甚至九個月內已變成不達標。
PCI DSS 共有 12 項要求,其中第 11 項要求「測試系統及流程安全」於近五年都是較難達到;但在 2014 年起,第 4 項要求「加密資料傳送」突然變成最難達到的事項。Santos 指,這與企業未有採用 TLS 1.1 有關。2014 年 TLS 1.0 被揭發漏洞,連線可被強制降級至較不安全的 SSL 3.0。
企業宜定期測試內部控制項目
Santos建議企業應讓每個員工參與內部的 IT 事務,包括金融、會計部等的商業員工,亦應為他們提供妥善的溝通和咨詢渠道。除此之外,企業應定期測試內部的控制項目,例如測試防火牆能否有效分隔公司的內部網絡。
Verizon 亞太區調查及反應管理總裁 Ashish Thapar 指,企業符合 PCI DSS 不代表數據安全,但不符合的話就肯定有問題。他建議企業釐清每個員工的責任,助他們了解需要的工作,以及因應商業和 IT 環境作彈性處理。