隨著年底購物季的臨近，各路騙子也都排著隊地紛至沓來，讓人眼花繚亂，又到了商戶朋友們守護支付安全的時候了。據(jù)威瑞森(Verizon)年初發(fā)布的《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》實施評估報告，很多商戶在以下五個方面都還存在著致命漏洞，需要引起足夠的重視?！?/P>

　　一、定期測試安全系統(tǒng)和流程

　　2013年，只有40%的公司完全符合此項要求。不過從積極的一面來看，與2012年的11%相比，已經(jīng)有了大幅的提高。

　　馬薩諸塞州韋克菲爾德的支付卡行業(yè)安全標(biāo)準(zhǔn)委員會負(fù)責(zé)標(biāo)準(zhǔn)工作的總經(jīng)理斯蒂芬·奧費(Stephen Orfei)說，“對于普遍缺少IT資源的中小商戶，還有許多的工作要做?！?/P>

　　現(xiàn)在越來越多的商戶都將這些安全需求轉(zhuǎn)給支付方案提供商進行解決，但奧費警告說，歸根結(jié)底對數(shù)據(jù)安全負(fù)責(zé)的還是商戶。不能因為你做了外包，就可以逃避責(zé)任。這意味著要與支付方案提供商跟進，以確保他們使用了正確的流程。

　　二、不使用支付方案提供商的默認(rèn)密碼或安全參數(shù)

　　盡管此項要求看上去是一個顯而易見的安全措施，但也只有51%的公司完全符合。

　　據(jù)馬里蘭州哥倫比亞Tenable網(wǎng)絡(luò)安全公司支付卡行業(yè)安全專員杰夫曼(Jeff Man)說，問題的根源大概是因為舊的系統(tǒng)可能已經(jīng)運行多年。大多數(shù)公司已經(jīng)運作了一段時間，但還沒有豐富的安全項目經(jīng)險，所以他們一直在努力趕上。但截止2012年，也才只有26%的組織完全符合。

　　三、跟蹤和監(jiān)控所有入網(wǎng)資源和持卡人數(shù)據(jù)

　　只有60%的公司符合此項要求，但數(shù)量上差不多是上年的三倍。

　　奧費說：“我看到了一些非常積極的勢頭。至于改進的原因，應(yīng)該和最近大量引人注目的數(shù)據(jù)泄露事件有關(guān)。如果在這些最新的數(shù)據(jù)泄露事件中看到一線希望的話，那就是得到了老總們關(guān)注?！?/P>

　　四、識別和驗證系統(tǒng)組件訪問

　　據(jù)威瑞森數(shù)據(jù)，62%的組織符合此項要求。

　　識別和驗證系統(tǒng)組件訪問，意味著對于關(guān)鍵數(shù)據(jù)，每個用戶都要有自己獨立的、可審計的權(quán)限，而且不允許賬戶共享。這也要求為密碼強度、雙重認(rèn)證、嘗試登錄限制次數(shù)以及密碼保護機制設(shè)定標(biāo)準(zhǔn)。據(jù)威瑞森數(shù)據(jù)，76%的網(wǎng)絡(luò)入侵都涉及用戶憑證太弱或被盜。

　　比如在今年九月，就有報道說伊利諾斯州的三明治連鎖店吉米·約翰，被黑客通過使用從公司支付方案提供商那里竊取來的登錄名和密碼竊取了216家門店的支付數(shù)據(jù)。杰夫曼說，“看來支付方案提供商用來管理所有客戶的密碼是共用的。”

　　五、安裝和配置防火墻保護持卡人數(shù)據(jù)

　　盡管這看起來很顯然是所有公司都應(yīng)該做的事情，然而卻只有64%的公司完全符合此項要求。

　　只在進行安全審計的時候開啟防火墻是遠遠不夠的，要讓它發(fā)揮作用，必須要保持全天候的運行狀態(tài)。據(jù)威瑞森數(shù)據(jù)，發(fā)生數(shù)據(jù)泄露的組織只有12.5%完全符合此項要求。雖然僅有防火墻本身對于保護公司的數(shù)據(jù)安全是不夠的，但如果連防火墻都沒有的話，那無異于家中門戶大開。

　　奧費表示，必須要持續(xù)關(guān)注數(shù)據(jù)安全，以及是否符合支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)。這是必須要融進公司血液里的東西，每個人都必須虔誠對待。