PCI DSS合规性降低了数据泄露的可能性
在过去一年调查的所有支付卡数据泄露Verizon中,没有发现组织在违约时完全符合支付卡行业数据安全标准(PCI DSS)。
根据Verizon 2017付款安全报告,违规组织符合12个PCI DSS关键要求中的10个遵守情况。
PCI DSS旨在帮助组织保护持有持有人数据的支付系统,因为网络犯罪的增加和遵守欧盟一般数据保护条例(GDPR)的截止日期方法越来越重要。
从2018年5月起,任何在欧盟的业务的公司都可以受到高达2000万欧元或年营业额的4%的罚款,以越大,未能保护欧盟公民的个人数据,其中包括支付卡数据。
追踪PCI合规性表现的报告是基于Verizon合格安全评估员(QSAS)的PCI评估,为30多个国家的财富500强和大型跨国公司进行。
虽然报告显示,2016年临时验证的verizon verizon的总数增加到55.4%,从2012年的仅仅11.1%和2015年的48.4%,它仍然意味着距离零售商,餐馆,酒店和其他采取卡片付款的业务仍未与年份保持遵守。
“PCI DSS合规性和组织捍卫网络攻击的能力之间存在明确的联系,”verizon全球董事总经理Rodolphe Simonetti说,“虽然很好看PCI合规性增加,但事实仍然存在我们评估的全球组织超过40% - 大小 - 仍未满足PCI DSS合规标准。“
Gabriel Leperlier,verizon大陆欧洲咨询服务GRC / PCI咨询服务GRC / PCI,虽然合规性并不能保证一个组织不会被违反,但数据显示未遵守何时肯定意味着它们将被违反。
“自2010年以来,不是一个违反的单个组织是在违约时符合100%的PCI DSS,”他每周告诉计算机。
该报告还突出了这些通过验证的组织的组织,几乎没有在一年内遵守的遵守情况,大部分违反九个月的遵守情况。
“这表明,这些组织实施的安全控制不是有效和可持续的,网络攻击者利用组织低于合规性标准的任何领域,”Leperlier说。
他说,一个经典的例子是一个新安装的水族馆连接到基于互联网的维护服务的组织,但没有进程来标记与互联网的无抵押新连接,因此没有安全性进行评估,并且根据PCI DSS的要求,没有减轻控制。
“因此,该组织被首先损害了水族馆互联网连接作为进入公司网络的方式的攻击者被攻击,”Leperlier说。
他说,突出了该领域的另一个例子,它突出了熟练和熟练的信息安全团队将提出正确的问题,就是未命名的AirForce,未经任何安全评估部署新的打印机。
“幸运的是,幸运的是,系统管理员注意到与这些打印机关联的高卷的网络流量,而安全团队将其视为”正常“的SYS管理员最终发现每个打印机都有一个内置GSM模块,该模块正在发送关于AirForce收集的信息的内置GSM模块网络到另一个国家。“
根据该报告,IT服务行业取得了符合所有关键产业团体的最高符合要求。在全球范围内,超过三分之三(61.3%)的IT服务组织在2016年期间在临时验证期间实现了完全遵守,其次是59.1%的金融服务组织,零售(50%)和款待(42.9%)。
该报告显示特定业务部门面临的合规挑战。在零售时,安全测试,加密数据传输和身份验证被命名为顶级挑战。对于热情好客和旅行,安全硬化,保护途中的数据和物理安全性被引用为挑战,而对于金融服务,PCI合规的主要障碍是安全程序,安全配置,保护中的保护,漏洞管理和整体风险管理。 。
给出一个组织未能遵循PCI DSS控件的示例,Leperlier引用了金融服务组织的隐藏路由器的情况。
该组织正在寻求免除PCI DSS的Wi-Fi要求,但感到惊讶地认为它实际上它确实有一个在其建筑中运行的无线网络。
“QSA [合格安全评估员]发现了一个未知的Wi-Fi热点信号,最终被跟踪到建筑物地下室的服务器室,”Leperlier说。
“系统管理员已安装无线路由器,以便他可以从三楼的书桌上访问服务器,以保存自己到服务器房,但同时为攻击者开辟了一种方式,“ 他说。
Leperier表示,该组织失败了其PCI DSS评估,因为它没有扫描以检查潜在的流氓无线接入点,而QSA发现的无线路由器也不会因PCI DSS所需的攻击而异。
“许多组织努力跟上扫描,测试和修补的持续循环,这就是涉及所有员工的重要性,因此他们了解某些安全控制所在的原因,并且更有可能坚持他们而不是找到围绕他们的方式,“他说。
该报告显示,尽管符合符合组织的PCI DSS数量的增加,但也有基本安全控制的减少。
2015年,未经临时评估的公司平均缺席的12.4%,但2016年,这增加到13%缺乏安全测试和渗透测试等基本控制。
Simonetti表示,组织的最大挑战之一是如何实现可持续数据保护。
许多组织仍然以隔离控制PCI DSS控制,并不欣赏它们是相互关联的。“控制生命周期管理的概念往往缺席,”Simonetti说。“这往往是熟练的内部专业人士短缺的结果 - 然而,在我们的经验中,内部熟练程度可以从外部的生命周期指导大大提高专家。“
Verizon Report提供五种准则,协助控制生命周期管理:
添加更多安全控件不是alwaysthe答案:PCI DSS已包含许多互连的数据保护标准和规定。组织应该能够使用它来巩固控件,使其更容易管理总体。在制定专业知识方面是:组织应该投资于他们的人民,以制定和维护他们如何增强,监测和衡量控制权的有效性的知识.APPLATE平衡的方法:如果希望避免控制遵守,公司需要维护内部控制环境,该环境既希望避免控制不合规。自动化一切可能:应用数据保护工作流程和自动化可以是控制管理中的巨大资产 - 但所有的自动化也需要经常被审核。设计,操作和管理内部控制环境:每个控件的性能都是互连的。如果顶部有问题,这将影响底部控制的性能。要理解这一点是必不可少的,以实现和维持有效和可持续的数据保护计划。Leperlier表示,在支付安全性方面,组织重点关注最终目标是保护客户数据,而不是通过PCI DSS评估。
“如果使用过多的补偿控制或者公司仅重点关注数据范围的范围,例如,组织可能会通过评估,但客户数据可能并不非常安全,”他说。