全新Verizon報告發現,在支付卡行業(PCI)資料保安標準(DSS)的年度評估中,多個行業未能符合現時法規,令業務的資料外洩風險增加,亦對財政和信譽造成影響。
《Verizon 2014支付卡業界數據法規遵循報告》( Verizon 2014 PCI Compliance Report)指出,支付卡交易仍然是駭客的鎖定目標,而資料外洩率亦正在上升。尼爾森報告(Nilson Report)估計,單在2012年,全球信用卡詐騙額逾110億美元。
根據報告,在大部分情況下,支付卡資料外洩並非因保安技術失誤所致,亦非因未能遵守支付卡行業資料安全標準的法規而造成,而是因未能執行預期中的合適法規和保安措施。
Verizon Enterprise Solutions 支付卡業務董事總經理Rodolphe Simonetti 表示:「我們發現很多機構仍然視支付卡法規為每年度一次性的事宜,而未有意識到全面地關注它的重要性。」
然而,報告中提出了一個重點:機構就遵循支付卡業界標準的初步法規已有所改善。在2013年,超過82%的機構在年度基線評估時最少已遵從80%的支付卡業界標準;相比2012年,當時只有32%達標。
不同地區在違反通知法、法律規定及採納程度的層面上亦有區域性差異。在遵守最少80%的支付卡業界規定方面,亞太區名列第一,有75%。緊隨其後分別為美國和歐洲,分別有56%和31%。
公司初期最難符合法規標準的範圍包括:保安測試(23.8%);保安監測及有效偵測被洩資料和對其作出回應的能力(17%);以及保護已儲存的敏感資料(55.6%)。
Simonetti 表示:「未能達到100%合規的情況在今時今日對企業構成問題。根據觀察所得,未能符合法規令機構容易遇上信用卡盜竊,損失金額可達數以百萬計美元,更遑論個案會令客戶對公司失去信心,並對品牌聲譽構成影響。公司需重新思考如何維持符合支付卡業界法規的環境,例如投入更多資源或與保安管理服務供應商合作。」
此外,有關報告亦詳細調查機構遵循12種特定支付卡業界要求的情況,並提供有助機構循守法規及持續守規的建議,以及解釋違反每項規定會如何導致資料外洩。
Simonetti表示:「執行循規行動需經周詳規劃,盡力結合機構範圍內的管治、保安和遵規計劃,並盡量將行動自動化,確保其持續進行,符合成本效益。」
支付卡業界報告以實質業界評估作為調查基礎
Verizon旗下的支付卡業界認可保安評估團隊在2011至2013年間進行幾百項業界資料保安標準評估,搜集所得的數據成為此報告的基礎。正如Verizon旗下的「資料外洩調查報告」(DBIR)系列一樣,《支付卡業界數據法規遵循報告》(PCI Compliance Report)亦以真實支付卡資料外洩個案為研究基礎,相信在業界無出其右。今年的報告(第三年發佈)分析支付卡業界資料保安評估的數據,特別著重來自北美洲、歐洲及亞太區的零售、金融服務和旅遊業的數據。
如欲獲取更多調查結果和建議,請於www.verizonenterprise.com/pcireport/2014/ 下載完整報告。
