合規(guī)并不意味著企業(yè)可避免數(shù)據(jù)泄露事故

責(zé)任編輯:editor006

作者:鄒錚/譯

2015-01-21 14:19:10

摘自:51CTO

根據(jù)Verizon關(guān)于移動和零售業(yè)安全及支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)合規(guī)的報(bào)告顯示,很多企業(yè)在完成合規(guī)項(xiàng)目后,不再遵守合規(guī)性,從而留下安全漏洞,可能導(dǎo)致未來數(shù)據(jù)泄露事故和數(shù)據(jù)丟失,而這原本是可以避免的。有趣的是

根據(jù)Verizon關(guān)于移動和零售業(yè)安全及支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)合規(guī)的報(bào)告顯示,很多企業(yè)在完成合規(guī)項(xiàng)目后,不再遵守合規(guī)性,從而留下安全漏洞,可能導(dǎo)致未來數(shù)據(jù)泄露事故和數(shù)據(jù)丟失,而這原本是可以避免的。

合規(guī)并不意味著企業(yè)可避免數(shù)據(jù)泄露事故

“大多數(shù)企業(yè)仍然將合規(guī)性視為兩三個月的項(xiàng)目,”Verizon合規(guī)性和管理專業(yè)服務(wù)主管Rodolphe Simonetti表示,“而在項(xiàng)目完成后,企業(yè)未能維護(hù)合規(guī)性,因?yàn)樗麄儧]有繼續(xù)在這些系統(tǒng)中工作。”

Simonetti提到了即將發(fā)布的Verizon PCI報(bào)告的內(nèi)容,其中顯示企業(yè)仍然在其內(nèi)部系統(tǒng)艱難地部署和維護(hù)PCI DSS合規(guī)。這份報(bào)告在過去五年的時間里對全球30多個國家的5000家公司進(jìn)行了安全評估,主要重點(diǎn)是世界500強(qiáng)企業(yè)。這個分析的結(jié)果非常驚人,其中發(fā)現(xiàn)在2014年遭遇安全泄露事故的公司在事故發(fā)生時都沒有遵守現(xiàn)有的PCI DSS合規(guī)。

Simonetti表示,“大多數(shù)公司絕對沒有保持合規(guī)性,這非常令人驚訝。”

該報(bào)告中的數(shù)據(jù)顯示,在六個月后,不到三分之一的公司仍然保持PCI DSS合規(guī)性,這是非常非常低的數(shù)據(jù),實(shí)現(xiàn)合規(guī)性很困難,但保持合規(guī)性是更大的挑戰(zhàn)。

有趣的是,企業(yè)未能維持PCI DSS合規(guī)性的領(lǐng)域是Simonetti原本認(rèn)為可以維持合規(guī)性的領(lǐng)域,包括維護(hù)防火墻、修補(bǔ)系統(tǒng),以及定期安全漏洞測試。

“我認(rèn)為這是安全基礎(chǔ),”他表示,“盡管如此,仍然有很多公司未能維持這種非?;镜陌踩?。”

問題往往是,有些公司將PCI合規(guī)視為年度項(xiàng)目,而不是支持安全性的持續(xù)過程。“你永遠(yuǎn)不可能實(shí)現(xiàn)100%的安全性,”他表示,“重要的是保持靈活性,確保數(shù)據(jù)泄露事故的影響不會太糟糕。有些企業(yè)做了很多工作來確保不會發(fā)生數(shù)據(jù)泄露事故,但事故發(fā)生時他們卻未能快速響應(yīng)。”

零售業(yè)和酒店業(yè)分析公司IHL Group首席分析師Greg Buzek表示,對于大多數(shù)企業(yè)而言。PCI DSS合規(guī)問題的答案是,信用卡安全必須采用多管齊下的方法,同時應(yīng)該包括數(shù)據(jù)加密和令牌化。只有這樣,當(dāng)信用卡被盜時,加密和令牌可以保護(hù)信用卡數(shù)據(jù)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號