PCI DSS合规性降低了数据泄露的可能性
企业必须改变文化以获得分析
GCHQ知道Wannacry Hero通过前往美国的危险遭遇逮捕
雅虎致电秘密电子邮件扫描“误导”的报告
芬兰政府通过数字化节省1亿欧元
三星在电池崩溃后停止了Galaxy Note7
Brexit Mobile和宽带辩论必须涉及消费者
英国情报机构的非法分享敏感的个人数据,法院听到
与BMC一起访问,几年私有化
美国消费者产品安全机构警告使用Galaxy Note 7
澳大利亚国防承包商被攻击战斗机喷气式数据
CW500:一个完美的风暴 - 袭击议会的网络攻击
新的制动芯片将有助于让您在自动车辆中安全
AT&T,T-Mobile在更多的消防报告后替换三星Galaxy Note7s
到2020年,您的Wi-Fi连接的汽车将支付停车场,天然气
Tegile说NVME瓶颈位于网络中
研究人员展示了对特斯拉模型的遥控攻击
金融部门扩展了区块链数据库的使用
IBM的Watson IoT与Aerialtronics无人机交易命中天空
糟糕的密码仍然将英国公司处于危险之中
自动驾驶Ubers现在抵达匹兹堡
拉里埃里森说亚马逊是20年的落后'甲骨文
HMRC构建布置英国边境的概念证明
'Formality'将Evry的278万英镑的外包合同置于瑞典风险
Apple采用iPhone 7预订,迅速排除喷射黑色的供应
Xen Project修补严重的虚拟机逃生缺陷
有关拍摄谷歌新手机的五个问题
NetApp隐私首席警告企业在投资GDPR Snake-Oil Tech
英特尔看起来超越X86,将64位臂处理器放在新的FPGA芯片中
四个州ags苏为阻止美国决定处理关键互联网角色
自动加载到2018年的英国道路
RHB Bank滚出贷款应用程序的Chatbot
忘记RoboCalypse - 'Homo Connecticus'可能会发生什么
IBM的IOT区块链服务已准备好设置帆
卫生部门和社交媒体顶级网络目标
安全专家对使用AI和机器学习进行网络钓鱼攻击的黑客担心
NHS遗失了162,000名患者文件,PAC听证会揭示了
一个新的Microsoft工具显示WIN 10可能会影响设备
EAN航空公司宽带服务越来越靠近现实
开始数据科学:5个步骤您可以免费上网
Darpa认为IOT和AI作为武器来支配战争
窃取支付卡数据和来自POS系统的销钉很容易
戴尔认为VR将与PCS一样重要
英国地方议会未能对关键的GDPR要求
雇佣新的所有权意味着公共部门客户的“像往常一样”
Windows 10自动浏览器阻止为“儿童”声明Microsoft
世界上最大的“在挪威计划的”数据中心“
Facebook续订寻找难以捉摸的年轻用户与Lifestage
三星:NVME福利现在可以在限制范围内使用
数百万大众汽车可以用无线黑客闯入
您的位置:首页 >电子新闻 >

PCI DSS合规性降低了数据泄露的可能性

2021-07-20 09:43:54 [来源]:

在过去一年调查的所有支付卡数据泄露Verizon中,没有发现组织在违约时完全符合支付卡行业数据安全标准(PCI DSS)。

根据Verizon 2017付款安全报告,违规组织符合12个PCI DSS关键要求中的10个遵守情况。

PCI DSS旨在帮助组织保护持有持有人数据的支付系统,因为网络犯罪的增加和遵守欧盟一般数据保护条例(GDPR)的截止日期方法越来越重要。

从2018年5月起,任何在欧盟的业务的公司都可以受到高达2000万欧元或年营业额的4%的罚款,以越大,未能保护欧盟公民的个人数据,其中包括支付卡数据。

追踪PCI合规性表现的报告是基于Verizon合格安全评估员(QSAS)的PCI评估,为30多个国家的财富500强和大型跨国公司进行。

虽然报告显示,2016年临时验证的verizon verizon的总数增加到55.4%,从2012年的仅仅11.1%和2015年的48.4%,它仍然意味着距离零售商,餐馆,酒店和其他采取卡片付款的业务仍未与年份保持遵守。

“PCI DSS合规性和组织捍卫网络攻击的能力之间存在明确的联系,”verizon全球董事总经理Rodolphe Simonetti说,“虽然很好看PCI合规性增加,但事实仍然存在我们评估的全球组织超过40% - 大小 - 仍未满足PCI DSS合规标准。“

Gabriel Leperlier,verizon大陆欧洲咨询服务GRC / PCI咨询服务GRC / PCI,虽然合规性并不能保证一个组织不会被违反,但数据显示未遵守何时肯定意味着它们将被违反。

“自2010年以来,不是一个违反的单个组织是在违约时符合100%的PCI DSS,”他每周告诉计算机。

该报告还突出了这些通过验证的组织的组织,几乎没有在一年内遵守的遵守情况,大部分违反九个月的遵守情况。

“这表明,这些组织实施的安全控制不是有效和可持续的,网络攻击者利用组织低于合规性标准的任何领域,”Leperlier说。

他说,一个经典的例子是一个新安装的水族馆连接到基于互联网的维护服务的组织,但没有进程来标记与互联网的无抵押新连接,因此没有安全性进行评估,并且根据PCI DSS的要求,没有减轻控制。

“因此,该组织被首先损害了水族馆互联网连接作为进入公司网络的方式的攻击者被攻击,”Leperlier说。

他说,突出了该领域的另一个例子,它突出了熟练和熟练的信息安全团队将提出正确的问题,就是未命名的AirForce,未经任何安全评估部署新的打印机。

“幸运的是,幸运的是,系统管理员注意到与这些打印机关联的高卷的网络流量,而安全团队将其视为”正常“的SYS管理员最终发现每个打印机都有一个内置GSM模块,该模块正在发送关于AirForce收集的信息的内置GSM模块网络到另一个国家。“

根据该报告,IT服务行业取得了符合所有关键产业团体的最高符合要求。在全球范围内,超过三分之三(61.3%)的IT服务组织在2016年期间在临时验证期间实现了完全遵守,其次是59.1%的金融服务组织,零售(50%)和款待(42.9%)。

该报告显示特定业务部门面临的合规挑战。在零售时,安全测试,加密数据传输和身份验证被命名为顶级挑战。对于热情好客和旅行,安全硬化,保护途中的数据和物理安全性被引用为挑战,而对于金融服务,PCI合规的主要障碍是安全程序,安全配置,保护中的保护,漏洞管理和整体风险管理。 。

给出一个组织未能遵循PCI DSS控件的示例,Leperlier引用了金融服务组织的隐藏路由器的情况。

该组织正在寻求免除PCI DSS的Wi-Fi要求,但感到惊讶地认为它实际上它确实有一个在其建筑中运行的无线网络。

“QSA [合格安全评估员]发现了一个未知的Wi-Fi热点信号,最终被跟踪到建筑物地下室的服务器室,”Leperlier说。

“系统管理员已安装无线路由器,以便他可以从三楼的书桌上访问服务器,以保存自己到服务器房,但同时为攻击者开辟了一种方式,“ 他说。

Leperier表示,该组织失败了其PCI DSS评估,因为它没有扫描以检查潜在的流氓无线接入点,而QSA发现的无线路由器也不会因PCI DSS所需的攻击而异。

“许多组织努力跟上扫描,测试和修补的持续循环,这就是涉及所有员工的重要性,因此他们了解某些安全控制所在的原因,并且更有可能坚持他们而不是找到围绕他们的方式,“他说。

该报告显示,尽管符合符合组织的PCI DSS数量的增加,但也有基本安全控制的减少。

2015年,未经临时评估的公司平均缺席的12.4%,但2016年,这增加到13%缺乏安全测试和渗透测试等基本控制。

Simonetti表示,组织的最大挑战之一是如何实现可持续数据保护。

许多组织仍然以隔离控制PCI DSS控制,并不欣赏它们是相互关联的。“控制生命周期管理的概念往往缺席,”Simonetti说。“这往往是熟练的内部专业人士短缺的结果 - 然而,在我们的经验中,内部熟练程度可以从外部的生命周期指导大大提高专家。“

Verizon Report提供五种准则,协助控制生命周期管理:

添加更多安全控件不是alwaysthe答案:PCI DSS已包含许多互连的数据保护标准和规定。组织应该能够使用它来巩固控件,使其更容易管理总体。在制定专业知识方面是:组织应该投资于他们的人民,以制定和维护他们如何增强,监测和衡量控制权的有效性的知识.APPLATE平衡的方法:如果希望避免控制遵守,公司需要维护内部控制环境,该环境既希望避免控制不合规。自动化一切可能:应用数据保护工作流程和自动化可以是控制管理中的巨大资产 - 但所有的自动化也需要经常被审核。设计,操作和管理内部控制环境:每个控件的性能都是互连的。如果顶部有问题,这将影响底部控制的性能。要理解这一点是必不可少的,以实现和维持有效和可持续的数据保护计划。

Leperlier表示,在支付安全性方面,组织重点关注最终目标是保护客户数据,而不是通过PCI DSS评估。

“如果使用过多的补偿控制或者公司仅重点关注数据范围的范围,例如,组织可能会通过评估,但客户数据可能并不非常安全,”他说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。