根据Verizon关于移动和零售安全以及支付卡行业数据安全标准(PCIDSS)合规的报告,在完成合规项目后,许多公司并没有不合规,从而留下安全漏洞,可能导致未来本可以避免的数据泄露事件和数据丢失。Verizon合规与监管专业服务总监RodolpheSimonetti表示:“大多数企业仍然将合规视为一个两到三个月的项目,并且在项目完成后,企业无法保持合规,因为他们没有继续在这些系统上工作。”Simonetti提到即将发布的VerizonPCI报告,该报告显示企业仍在努力在其内部系统上实施和维护PCIDSS合规性。报告在过去5年对全球30多个国家的5000家企业进行了安全评估,重点关注世界500强企业。该分析的结果令人震惊,发现2014年遭遇安全漏洞的公司在事件发生时均未遵守PCIDSS。“令人非常惊讶的是,大多数公司绝对不合规,”西蒙内蒂说。报告中的数据显示,不到三分之一的公司在六个月后仍保持PCIDSS合规性,这是一个非常非常低的数字,实现合规性很困难,但保持合规性是一个更大的挑战。有趣的是,企业未能保持PCIDSS合规性的领域是Simonetti认为他们可以保持合规性的领域,包括维护防火墙、修补系统和定期测试安全漏洞。“我认为这是安全基础,”他说。“尽管如此,仍有许多公司未能维护这种非常基本的安全性。”问题往往是一些公司将PCI合规性视为年度项目,而不是支持它。持续的安全过程。“你永远无法实现100%的安全,”他说。“保持灵活性并确保数据泄露的影响不会太糟糕很重要。一些公司做了大量工作以确保数据泄露不会发生。但是当事故发生时,他们未能迅速做出反应。”零售和酒店行业分析公司IHLGroup的高级分析师格雷格·布泽克(GregBuzek)表示,对于大多数企业而言。PCIDSS合规性问题的答案是信用卡安全必须采取多管齐下的方法,其中应包括数据加密和标记化。只有这样,当信用卡被盗时,加密和令牌才能保护信用卡数据。
