根据Verizon移动零售安全和支付卡行业数据安全标准(PCI DSS)根据合规报告,许多企业在完成合规项目后不再遵守合规,留下安全漏洞,可能导致未来数据泄露事故和数据丢失,可以避免。
“大多数企业仍将合规性视为两三个月的项目,”Verizon合规管理专业服务主管Rodolphe Simonetti表示,“项目完成后,由于没有继续在这些系统中工作,企业未能维持合规性。”
Simonetti提到即将发布Verizon PCI报告的内容表明,企业仍在其内部系统中难以部署和维护PCI DSS合规。在过去的五年里,该报告对世界30多个国家的5000家公司进行了安全评估,主要关注世界500强公司。这一分析的结果非常惊人,发现2014年发生安全泄漏事故的公司在事故发生时没有遵守现有的规定PCI DSS合规。
Simonetti表示,“令人惊讶的是,大多数公司绝对没有保持合规。”
报告中的数据显示,不到三分之一的公司在六个月后仍保持不变PCI DSS这是一个非常非常低的数据,很难实现合规,但保持合规是一个更大的挑战。
有趣的是,企业无法维持PCI DSS合规领域是Simonetti原本认为可以维持合规性的领域,包括防火墙的维护、系统的维修和定期的安全漏洞测试。
“我认为这是安全的基础,”他表示,“尽管如此,仍有许多公司未能保持这种非常基本的安全。”
问题往往是,一些公司会PCI合规被视为年度项目,而不是支持安全的持续过程。“你永远无法达到100%的安全性,”他表示,“重要的是要保持灵活性,以确保数据泄露事故的影响不会太坏。一些公司做了很多工作来确保没有数据泄露事故,但他们没有迅速响应。”
零售和酒店分析公司IHL Group***分析师Greg Buzek对大多数企业来说,表示。PCI DSS合规问题的答案是,信用卡安全必须多管齐下,包括数据加密和令牌。只有这样,当信用卡被盗时,加密和令牌才能保护信用卡数据。