PCI DSS支付安全合规性再次下降
根据网络服务提供商Verizon在2019年2019年付款安全报告中发布的新统计数据,遵守支付卡行业数据安全标准(PCI DSS)在第二年下降到全球仅为36.7%。
由金融和信用服务公司American Express,Discover,MasterCard和Visa推出,PCI DSS应该帮助提供提供卡支付设施的组织,以保护其系统免受用户数据的违规和盗窃。
在推出中,众所周知,组织能够在2009年到2009年实现有效的,并且,至关重要的可持续遵守情况。但是,15年后,这似乎已经下滑了议程,其中达到和维持PCI DSS合规在2018年的52.5%下滑,以达到新的低位。
Verizon表示,亚太地区(APAC)地区的组织最有可能维持遵守率为69.6%,而欧洲,中东和非洲(EMEA)的48%,而且在美洲仅有20.4%。
“在2010年至2016年度逐步增加遵守情况后,我们现在看到了令人担忧的下行趋势和增加的地域差异,”Verizon安全咨询总监Rodolphe Simonetti说。
“我们看到越来越多的组织无法获得并维护PCI DSS所需的合规性,这对客户的付款数据的安全性直接影响。随着最新版本的PCI DSS标准4.0即将推出,企业将有机会通过重新思考它们的实施和构建合规计划来改变这一趋势。“
Verizon的报告还从其内部威胁研究咨询中心(VTRAC)纳入了数据,发现缺乏保护数据的适当控制的合规性计划是完全不可持续的,并且更有可能被网络攻击击中。
“多年来,我们讨论了缺乏PCI DSS合规和网络漏洞之间的密切相关性,”Simonetti说。“我们的数据显示,我们从未调查过符合PCI DSS的支付卡安全数据漏洞。合规性工作。“
Verizon现在已经制作了自己的框架,以帮助沿途的组织来实现PCI DSS合规性。
它的9-5-4遵从性计划绩效框架汇集了许多以前建立的合规方法,并旨在帮助组织“实现可重复,一致,可预测的结果”。
该框架应该在绘图,监测和报告九种不同因素的可持续性和有效性的地位提供指导 - 控制环境,控制设计,控制风险,控制稳健性,控制恢复力,生命周期管理,绩效管理,成熟度测量和自我 - 评估 - 跨四个保证的基本领域 - 待责任,风险管理和合规团队,内部审计和外部审计和监管机构。
“许多组织花了很多时间和金钱,创造了数据保护合规计划,但通常这些是无效的 - 看起来很好看,但不能承受专业安全评估的审查,”Simonetti说。
“我们仍然看到Cisos专注于如何维护基线控制活动,而不是看数据保护能力和成熟度。所需要的是一个明确而易于理解的导航指南,以帮助他们提供可衡量的结果和可预测的结果。“