隨著年底購物季的臨近，各路騙子也都排著隊(duì)地紛至沓來，讓人眼花繚亂，又到了商戶朋友們守護(hù)支付安全的時(shí)候了。據(jù)威瑞森(Verizon)年初發(fā)布的《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》實(shí)施評(píng)估報(bào)告，很多商戶在以下五個(gè)方面都還存在著致命漏洞，需要引起足夠的重視。　

　　一、定期測(cè)試安全系統(tǒng)和流程

　　2013年，只有40%的公司完全符合此項(xiàng)要求。不過從積極的一面來看，與2012年的11%相比，已經(jīng)有了大幅的提高。

　　馬薩諸塞州韋克菲爾德的支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)負(fù)責(zé)標(biāo)準(zhǔn)工作的總經(jīng)理斯蒂芬·奧費(fèi)(Stephen Orfei)說，“對(duì)于普遍缺少IT資源的中小商戶，還有許多的工作要做。”

　　現(xiàn)在越來越多的商戶都將這些安全需求轉(zhuǎn)給支付方案提供商進(jìn)行解決，但奧費(fèi)警告說，歸根結(jié)底對(duì)數(shù)據(jù)安全負(fù)責(zé)的還是商戶。不能因?yàn)槟阕隽送獍涂梢蕴颖茇?zé)任。這意味著要與支付方案提供商跟進(jìn)，以確保他們使用了正確的流程。

　　二、不使用支付方案提供商的默認(rèn)密碼或安全參數(shù)

　　盡管此項(xiàng)要求看上去是一個(gè)顯而易見的安全措施，但也只有51%的公司完全符合。

　　據(jù)馬里蘭州哥倫比亞Tenable網(wǎng)絡(luò)安全公司支付卡行業(yè)安全專員杰夫曼(Jeff Man)說，問題的根源大概是因?yàn)榕f的系統(tǒng)可能已經(jīng)運(yùn)行多年。大多數(shù)公司已經(jīng)運(yùn)作了一段時(shí)間，但還沒有豐富的安全項(xiàng)目經(jīng)險(xiǎn)，所以他們一直在努力趕上。但截止2012年，也才只有26%的組織完全符合。

　　三、跟蹤和監(jiān)控所有入網(wǎng)資源和持卡人數(shù)據(jù)

　　只有60%的公司符合此項(xiàng)要求，但數(shù)量上差不多是上年的三倍。

　　奧費(fèi)說：“我看到了一些非常積極的勢(shì)頭。至于改進(jìn)的原因，應(yīng)該和最近大量引人注目的數(shù)據(jù)泄露事件有關(guān)。如果在這些最新的數(shù)據(jù)泄露事件中看到一線希望的話，那就是得到了老總們關(guān)注。”

　　四、識(shí)別和驗(yàn)證系統(tǒng)組件訪問

　　據(jù)威瑞森數(shù)據(jù)，62%的組織符合此項(xiàng)要求。

　　識(shí)別和驗(yàn)證系統(tǒng)組件訪問，意味著對(duì)于關(guān)鍵數(shù)據(jù)，每個(gè)用戶都要有自己獨(dú)立的、可審計(jì)的權(quán)限，而且不允許賬戶共享。這也要求為密碼強(qiáng)度、雙重認(rèn)證、嘗試登錄限制次數(shù)以及密碼保護(hù)機(jī)制設(shè)定標(biāo)準(zhǔn)。據(jù)威瑞森數(shù)據(jù)，76%的網(wǎng)絡(luò)入侵都涉及用戶憑證太弱或被盜。

　　比如在今年九月，就有報(bào)道說伊利諾斯州的三明治連鎖店吉米·約翰，被黑客通過使用從公司支付方案提供商那里竊取來的登錄名和密碼竊取了216家門店的支付數(shù)據(jù)。杰夫曼說，“看來支付方案提供商用來管理所有客戶的密碼是共用的。”

　　五、安裝和配置防火墻保護(hù)持卡人數(shù)據(jù)

　　盡管這看起來很顯然是所有公司都應(yīng)該做的事情，然而卻只有64%的公司完全符合此項(xiàng)要求。

　　只在進(jìn)行安全審計(jì)的時(shí)候開啟防火墻是遠(yuǎn)遠(yuǎn)不夠的，要讓它發(fā)揮作用，必須要保持全天候的運(yùn)行狀態(tài)。據(jù)威瑞森數(shù)據(jù)，發(fā)生數(shù)據(jù)泄露的組織只有12.5%完全符合此項(xiàng)要求。雖然僅有防火墻本身對(duì)于保護(hù)公司的數(shù)據(jù)安全是不夠的，但如果連防火墻都沒有的話，那無異于家中門戶大開。

　　奧費(fèi)表示，必須要持續(xù)關(guān)注數(shù)據(jù)安全，以及是否符合支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)。這是必須要融進(jìn)公司血液里的東西，每個(gè)人都必須虔誠對(duì)待。