《支付卡行业数据安全标准》评估报告存五大漏洞

　　随着年底购物季的临近，各路骗子也都排着队地纷至沓来，让人眼花缭乱，又到了商户朋友们守护支付安全的时候了。据威瑞森(Verizon)年初发布的《支付卡行业数据安全标准》实施评估报告，很多商户在以下五个方面都还存在着致命漏洞，需要引起足够的重视。　

　　一、定期测试安全系统和流程

　　2013年，只有40%的公司完全符合此项要求。不过从积极的一面来看，与2012年的11%相比，已经有了大幅的提高。

　　马萨诸塞州韦克菲尔德的支付卡行业安全标准委员会负责标准工作的总经理斯蒂芬·奥费(Stephen Orfei)说，“对于普遍缺少IT资源的中小商户，还有许多的工作要做。”

　　现在越来越多的商户都将这些安全需求转给支付方案提供商进行解决，但奥费警告说，归根结底对数据安全负责的还是商户。不能因为你做了外包，就可以逃避责任。这意味着要与支付方案提供商跟进，以确保他们使用了正确的流程。

　　二、不使用支付方案提供商的默认密码或安全参数

　　尽管此项要求看上去是一个显而易见的安全措施，但也只有51%的公司完全符合。

　　据马里兰州哥伦比亚Tenable网络安全公司支付卡行业安全专员杰夫曼(Jeff Man)说，问题的根源大概是因为旧的系统可能已经运行多年。大多数公司已经运作了一段时间，但还没有丰富的安全项目经险，所以他们一直在努力赶上。但截止2012年，也才只有26%的组织完全符合。

　　三、跟踪和监控所有入网资源和持卡人数据

　　只有60%的公司符合此项要求，但数量上差不多是上年的三倍。

　　奥费说：“我看到了一些非常积极的势头。至于改进的原因，应该和最近大量引人注目的数据泄露事件有关。如果在这些最新的数据泄露事件中看到一线希望的话，那就是得到了老总们关注。”

　　四、识别和验证系统组件访问

　　据威瑞森数据，62%的组织符合此项要求。

　　识别和验证系统组件访问，意味着对于关键数据，每个用户都要有自己独立的、可审计的权限，而且不允许账户共享。这也要求为密码强度、双重认证、尝试登录限制次数以及密码保护机制设定标准。据威瑞森数据，76%的网络入侵都涉及用户凭证太弱或被盗。

　　比如在今年九月，就有报道说伊利诺斯州的三明治连锁店吉米·约翰，被黑客通过使用从公司支付方案提供商那里窃取来的登录名和密码窃取了216家门店的支付数据。杰夫曼说，“看来支付方案提供商用来管理所有客户的密码是共用的。”

　　五、安装和配置防火墙保护持卡人数据

　　尽管这看起来很显然是所有公司都应该做的事情，然而却只有64%的公司完全符合此项要求。

　　只在进行安全审计的时候开启防火墙是远远不够的，要让它发挥作用，必须要保持全天候的运行状态。据威瑞森数据，发生数据泄露的组织只有12.5%完全符合此项要求。虽然仅有防火墙本身对于保护公司的数据安全是不够的，但如果连防火墙都没有的话，那无异于家中门户大开。

　　奥费表示，必须要持续关注数据安全，以及是否符合支付卡行业数据安全标准。这是必须要融进公司血液里的东西，每个人都必须虔诚对待。