Verizon 近日發表 2018 年《支付安全報告》(Payment Security Report),揭示支付卡產業資料安全標準(PCI DSS)的下滑趨勢值得正視,數字從過去六年(2010 – 2016)的平穩表現首次錄得下跌,反映公司未能通過安全標準檢測,或未有完全遵守安全標準規定。
支付卡產業資料安全標準(PCI DSS)為商家的支付系統提供保障,以免系統受數據失竊威脅及用戶資料被盜取。是次報告作為 Verizon《數據失竊調查報告》系列一員,綜合 PCI DSS 的合規數據來協助企業支付系統免受上述二項威脅,此趨勢有著警告的啟示。
Verizon 合資格安全評估人員(Qualified Security Assessors,QSA)於 2017 年所收集的數據反映整體全球企業 PCI DSS 合規數字錄得下跌,由 2016 年的 55.4% 下降至 2017 年的 52.4%。其中地區性差異明顯,亞太區企業的合規數字達到 77.8%,較歐洲(46.4%)和美國(39.7%)為高,反映不同地區在推行相關安全策略的時間、對安全獎項或認受性的重視、或其資訊科技系統的成熟程度等因素的不同。
從行業上分析,資訊科技服務業的安全合規數字保持領先地位,當中超過四分之三(77.8%)的企業完全符合安全標準。零售業(56.3%)和金融服務業(47.9%)均領先於酒店及旅遊業(38.5%),顯示後者的合規持續性最低。現時企業常利用PCI DSS的工作來回應數據保障條例提出的安全要求,例如歐盟的《通用數據保障條例》(GDPR),然而兩者差距明顯,難以全面應用於日常處理電子支付的行業中。
Verizon 環球安全顧問總裁 Rodolphe Simonetti 指出:「現時符合 PCI 合規的全球企業數目下跌,情況不可惡化。顧客和供應商依賴企業去保障個人資料安全,我們應該遏止安全標準的下滑趨勢。我們建議企業重新審視 PCI 方法,並著眼於保障資料的可持續性。」
控制成效及可持續性的重要性
Verizon 列出九個有效且可持續的因素,回應 12 項 PCI DSS 要求,因素如下:
- 環境控制:PCI DSS 12個標準的成效及可持續性取決於環境控制情況。
- 設計控制:適當行動管理可回應DSS保安控制目的,這取決於完善的設計控制。
- 風險控制:若沒有持續的保養(保安測試、風險管理等),控制系統會降級且最終失效。而風險控制可以減少管理系統失效的機會。
- 穩健控制:在商業社會中,需要穩健的控制系統才能保持運作及按規範執行(配置標準、進接控制、系統鞏固等)。
- 彈性控制:即使已經增加多層穩健控制,保安系統仍有機會破裂,所以彈性控制可以助你主動及快速地恢愎系統。
- 生命週期管理:要達至以上各項,則需要在生命週期的各階段主動管理及監察控制項。
- 表現管理:設立及商議表現標準以評估環境控制的實際表現,可提升控制效率以及可預測地加強你的資料保障,從而及早識別和更正偏差的表現。
- 成熟管理:環境控制必須不斷進步。企業需要策略藍圖、目標進程及能力成熟度以優化過程,因為不斷的進步是發展進度的指標之一。
- 自我評估:要達至以上所有因素需要企業的自我評估 – 資源(人才、流程和科技)、能力(技術、知識和經驗)及承諾(願意持續堅守安全標準)。
PCI 安全標準協會技術總監 Troy Leach 表示,數據共享及跨行業間的合作對了解這個不斷演變的安全環境及全球支付安全進程是相當重要。此報告反映機構在維持高級保安及安全標準的兩方面下不斷面對挑戰,應緊密留意報告中的數據和結果,以保持警惕。另外,達到安全標準不應為機構的最終目標,而應該在保障資料安全中不斷努力。
