CTI論壇（ctiforum）3月17日消息（記者 李文杰）：Verizon Enterprise Solutions于3月12日發(fā)布的《2015年P(guān)CI數(shù)據(jù)法規(guī)遵循報(bào)告》顯示，接近80%企業(yè)未能夠通過(guò)PCI法規(guī)遵循評(píng)估，導(dǎo)致業(yè)務(wù)容易受網(wǎng)絡(luò)駭客攻擊。鑒于現(xiàn)時(shí)超過(guò)三份二的買賣交易均由支付卡進(jìn)行，信用卡交易的金額預(yù)計(jì)將于2015年達(dá)到20萬(wàn)億美元，可見(jiàn)資訊保安對(duì)機(jī)構(gòu)極為重要。

　　作為第四年的調(diào)查，Verizon的2015年度報(bào)告探討世界各地的金融服務(wù)、零售、旅游與酒店等行業(yè)各部門有否遵循支付卡業(yè)界資訊安全標(biāo)準(zhǔn)（PCI DSS）法規(guī)，以及這些達(dá)標(biāo)數(shù)字與資料外泄案件的相互關(guān)系。

　　自從2009年以來(lái)，各大企業(yè)所經(jīng)歷的諸多資料泄漏事件絕非偶然。Verizon的網(wǎng)絡(luò)安全調(diào)查結(jié)果表明，企業(yè)對(duì)于PCI DSS遵守的程度一直低于正常水準(zhǔn)。

　　通過(guò)減少資料泄露的可能性，各公司能更好地打理自己的品牌，確保消費(fèi)者對(duì)品牌的信任，從而減少不必要的重大損失。事實(shí)上，69%的消費(fèi)者均表示不愿意與曾出現(xiàn)資料外泄的機(jī)構(gòu)進(jìn)行交易。

　　Verizon Enterprise Solutions專業(yè)服務(wù)部門總經(jīng)理Rodolphe Simonetti指出：「時(shí)至今日，網(wǎng)絡(luò)安全性原則的定義正不斷變化，死守于現(xiàn)有模式并不能全面地保護(hù)數(shù)據(jù)。我們應(yīng)將著眼點(diǎn)放在可持續(xù)發(fā)展的保安系統(tǒng)。這個(gè)亦是每個(gè)機(jī)構(gòu)每日必須留意的一個(gè)重要資料保安策略�！�

　　2015 PCI重要調(diào)查結(jié)果總覽

• 今年的調(diào)查結(jié)果顯示，只有29%公司在被評(píng)為達(dá)標(biāo)后的一年內(nèi)，仍然全面遵守所有的資料保安標(biāo)準(zhǔn)。盡管通過(guò)年度評(píng)估及進(jìn)行持續(xù)標(biāo)準(zhǔn)監(jiān)察的公司現(xiàn)時(shí)仍屬少數(shù)，2015年年度報(bào)告亦有喜訊。
• 2014年中期報(bào)告通過(guò)支付卡業(yè)界標(biāo)準(zhǔn)初步法規(guī)審閱的公司，較2013年上升近一倍。
• Simonetti表示，「機(jī)構(gòu)未能達(dá)標(biāo)的三個(gè)主要范圍，包括保安系統(tǒng)定期測(cè)試、維持安全系統(tǒng)正常運(yùn)作和保護(hù)現(xiàn)已有的資料。」根據(jù)Verizon的資料外泄個(gè)案調(diào)查所得，所有公司于發(fā)生資料外泄的時(shí)候，均無(wú)全面符合支付卡的業(yè)界標(biāo)準(zhǔn)。

　　其他報(bào)告調(diào)查結(jié)果如下：

• 于2013年至2014年間，在12項(xiàng)支付卡業(yè)界資料保安標(biāo)準(zhǔn)要求當(dāng)中，11項(xiàng)要求的達(dá)標(biāo)情況有所改善，60%的公司在2014年的評(píng)估中完成了所有基本要求。
• 達(dá)標(biāo)機(jī)構(gòu)的比率平均上升18個(gè)百分點(diǎn)。
• 當(dāng)中錄得最大升幅的是認(rèn)證登入。
• 唯一錄得達(dá)標(biāo)比率下降的項(xiàng)目為保安系統(tǒng)測(cè)試，比率由40%下降至33%。

　　Simonetti表示，今年報(bào)告中另一項(xiàng)令人憂慮的趨勢(shì)是數(shù)據(jù)安全性仍然未能達(dá)標(biāo)。

　　通過(guò)分析過(guò)去12個(gè)月的數(shù)據(jù)外泄數(shù)字和規(guī)�？梢�(jiàn)，目前的技術(shù)無(wú)法阻止網(wǎng)絡(luò)駭客攻擊，而在大部份情況下，現(xiàn)階段的技術(shù)甚至沒(méi)有減低網(wǎng)絡(luò)駭客的入侵速度。因此，遵循支付卡業(yè)界數(shù)據(jù)法規(guī)，是最全面的訊息安全及風(fēng)險(xiǎn)管理策略。雖然支付卡業(yè)界法規(guī)評(píng)估可幫助機(jī)構(gòu)發(fā)現(xiàn)重大的安全漏洞，但卻未能確保數(shù)據(jù)的安全性。

　　Verizon 2015年P(guān)CI數(shù)據(jù)法規(guī)遵循報(bào)告

　　今年的報(bào)告涵蓋了三年的數(shù)據(jù)，當(dāng)中包括由支付卡業(yè)界認(rèn)可的Verizon保安評(píng)估團(tuán)隊(duì)研究的評(píng)估數(shù)據(jù)。采用Verizon的保安評(píng)估的大型跨國(guó)公司來(lái)自30多個(gè)國(guó)家，大部份均為《財(cái)富500強(qiáng)》公司。

　　在報(bào)告中，Verizon進(jìn)行了一個(gè)深入的研究，仔細(xì)分析了12個(gè)支付卡業(yè)界的標(biāo)準(zhǔn)。今年報(bào)告更首次著眼于即將發(fā)布的3.1標(biāo)準(zhǔn)法規(guī)。

　　2015年的報(bào)告亦有詳細(xì)說(shuō)明公司被評(píng)為達(dá)標(biāo)后，往后卻不符合安全要求的情況及個(gè)中原因。除此之外，報(bào)告也有闡述「如何能更容易地符合支付卡業(yè)界標(biāo)準(zhǔn)」—從而對(duì)希望持續(xù)遵循支付卡業(yè)界數(shù)據(jù)法規(guī)的企業(yè)提供可行建議。

　　與Verizon一系列的資料外泄調(diào)查報(bào)告（DBIR）類同，PCI報(bào)告結(jié)果都基于對(duì)真實(shí)個(gè)案的分析，亦是行業(yè)中唯一分析實(shí)際個(gè)案的報(bào)告。支付卡業(yè)界安全評(píng)估數(shù)據(jù)的搜集來(lái)源分別為金融業(yè)（30％）、零售業(yè)（26％）及旅游與酒店款待行業(yè)（15％），調(diào)查地區(qū)橫跨美洲（55％）、歐洲（23％）和亞太區(qū)（22％）。