越来越多的公司未能遵守合规性评估或未能保持完全遵守支付卡行业数据安全标准(PCI DSS)。
这是Verizon's2018支付安全报告的主要发现,该报告在过去六年内已记录PCI DSS合规性的改进。
PCI DSS提供了一个框架,使企业能够提供卡支付设施,以衡量旨在保护其支付系统的控制的性能。
尽管Verizon的数据违规调查报告显示了PCI DSS在通过网络犯罪分子违反持有和盗窃持有人数据的支付系统中的有效性,但最新的付款安全报告显示全球企业的PCI合规性正在减少。
2017年verizon的PCI DSS合格安全评估员(QSAS)收集的数据显示,2017年只有52.4%的组织在2017年保持完全遵守情况,而2016年则为55.4%。
该报告还揭示了区域差异,77.8%的组织在亚太地区实现了完全遵守,而欧洲仅为46.4%,美洲39.7%。
报告称,这些差异可以归因于地理合规推出策略,奖项和识别文化的时间,或IT系统的成熟度。
通过商业部门,当遵守遵守情况时,IT服务仍然存在,超过四分之三的组织(77.8%)实现完全合规性状态。零售(56.3%)和金融服务(47.9%)也大大领先于酒店组织(38.5%),这表明了最低的合规可持续性。
对于经常使用PCI DSS合规性来帮助满足数据保护规定的安全要求,如欧洲数据保护规则(GDPR),verizon表示,各种商业部门之间的差距,每天处理电子支付是重要的。
“PCI合规标准正在跨全球企业滑倒,这根本无法继续,”Verizon安全咨询总监Rodolphe Simonetti说。
“消费者和供应商相似的信任品牌来确保他们的付款数据,因此我们现在必须采取行动来解决这种事态。我们敦促企业重新评估其对PCI控制效率的测量方法,并专注于管理其数据保护的可持续性。“
PCI安全标准委员会(PCI SSC)的首席技术官Troy Leach表示,数据分享和跨行业合作对于了解不断发展的威胁景观和进展全球支付安全性至关重要。
他说:“如此明显,组织继续面临挑战,保持高水平的安全性,并展示在迅速变化的环境中的持续遵守情况,”他说。
组织应密切关注报告中的调查结果,以便保持警惕,因为关键了解如何保持安全,说艾德。“符合性永远不会被视为安全的最终目标,而是一个组织在保护数据方面持续成功的衡量标准。”
根据Simonetti的说法,Verizon已经开发了九个因素,帮助企业维持其PCI合规水平。“我们的目标是提供一个明确的结构和方法,首先帮助合规人员,还可以与他们的董事会成员开放合规性对话叙述更容易理解,“他说。
对于合规流程有效,他们需要从顶部驱动,Simonetti表示。“但经常通过高管清楚地传播或理解的进步或挑战,”他说。
为了帮助企业保持正确的合规轨道,该报告包括一个综合时间表,该时间表是针对具体合规活动的时间。
Verizon的九个因素控制有效性和可持续性支持PCI DSS的12个关键要求:
1.控制环境
12个关键要求的可持续性和有效性取决于健康的控制环境。
2.控制设计
适当的控制操作以满足DSS安全控制目标取决于声音控制设计。
3.控制风险
如果没有持续的维护,包括安全测试和风险管理,控制会随着时间的推移而降低并最终分解。减轻控制失败需要综合管理控制风险。
4.控制鲁棒性
控制在动态业务和不断变化的威胁环境中运行。它们必须强大以抵抗不必要的变化保持功能并对规范执行。
5.控制弹性
尽管添加了增加的鲁棒性,但安全控制可能仍可能失败,因此控制恢复和从失败的快速恢复,控制恢复对于有效和可持续性至关重要。
6.控制生命周期管理
为了实现以上所有阶段,必须监控和积极管理其生命周期的每个阶段的安全控制,从开始退休。
7.绩效管理
建立和沟通绩效标准来衡量控制环境的实际表现,提高了控制效率,提升了数据保护和合规活动的可预测结果,允许早期识别和纠正性能偏差。
8.成熟度测量
控制环境永远不会停滞 - 它必须连续改进。为此,企业需要路线图,目标水平的过程和能力成熟,以跟踪形式的程度和过程的优化,以指示如何完成和能够持续改进。
9.自我评估
实现以上所有人都需要内部自我评估熟练程度。这包括资源容量(人,流程和技术),能力(支持流程),能力(技能,知识和经验)和承诺(愿意坚持合规要求的意愿)。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。