调查分析PCI对网络安全的影响
来源:比特网 更新时间:2012-04-14

  调查反映了很多对PCI积极的看法,但安全专家表示,PCI复选框时代远未结束。

  近日思科系统公司和NRF(美国零售协会)都对PCI进行了调查,调查结果显示,越来越多的企业(需要遵守支付卡行业安全标准的企业)认为PCI是有用有效的安全工具。

  虽然接受思科公司调查的人当中,有一半的受访者表示PCI是一个必要的负担,大约有70%表示该安全标准让他们的企业更加安全了,而38%受访者则表示自从遵守该安全标准以来,企业变得“更加安全”了,另外32%受访者表示,企业变得“比较安全”了。约有85%受访者相信他们现在可以通过PCI审核了。

  思科报告还发现,超过一半的企业使用PCI合规项目来推动或者筹备其他网络和安全项目,并且今年大多数企业的PCI支出将有所增加。

  为什么大家对PCI感到如此乐观呢?这可能是因为接受思科调查的大多数企业都已经遵守PCI合规超过四年以上了,并且有一半企业是从PCI成立以来就开始遵守了。“一直遵守PCI达四年的企业更有可能通过评估,并且更可能认为他们从PCI中收获了安全利益,”Securosis公司首席执行官Rich Mogull表示,“那是因为他们在部署PCI之前,安全度并不高,所有他们自然会表现得很乐观。”

  思科调查的受访者大多数是企业中的主要决策人员(占56%),其中将近一半的人就任于拥有1000名或更多员工的企业。大约有55%是二级或者三级商人,另外17%是一级。

  传统上来说,PCI一直被大多数人认为是企业的复选框项目,而不是一个真正的安全工具。2009年秋天,Ponemon研究所对PCI DSS合规的调查发现,只有30%的企业重视PCI。虽然将近80%的零售商和企业(处理信用卡交易)表示他们遭遇过数据泄漏事故,但超过70%的受访者表示他们仍然没有考虑在企业运营中部署安全策略。

  思科安全解决方案主管Fred Kost表示,调查结果显示企业在PCI合规的道路上取得了“重大”进展。“大多数企业表示他们现在能够通过评估考核,现在大家对于PCI的态度是非常积极的,”Kost表示。

  最大的转变就是大家对PCI的看法,这并不是他们必须做或者必须花钱的事情,而是PCI实际上可以让他们的网络和基础设施更加安全。“这就是不同之处,我们还发现PCI合规和筹备正在推动企业安全项目的进展,”Kost表示。

  但千万不要误认为关于PCI的积极乐观态度会将这个复选框项目转变为企业不会抱有任何顾虑而部署的安全战略。复选框时代仍然没有结束,Securosis公司的Mogull表示,“大多数企业仍然在苦苦挣扎,”他说道,“越多的企业意识到PCI的重要性并且通过他们的评估,当然他们将感到越安全。”

  然而,思科公司的Kost持有不同的看法,“70%的受访者表示PCI让他们企业更加安全,”他表示,“这意味着这并不算是复选框项目,他们意识到了PCI带来的好处。”

  但是当涉及到很多小型企业时,又是另一回事了,根据NRF调查显示,对于小型企业而言,仍然存在较大的曲线。虽然86%受访者(每年支付卡销售交易额在50万美元以下)表示他们关心客户支付卡数据安全,并且认为这对于他们的业务十分重要,而64%则表示他们不会遭遇信用卡或者借记卡盗窃。

  三分之二的人表示他们了解PCI DSS,但是一半以下的人执行了PCI自我评估,并且42%知道PCI的受访者表示他们并不知道商家每年都要进行这些调查。很多人不明白数据泄漏中的责任问题:超过60%的人不知道信用卡公司可能针对他们取消的每张卡(如果商家终止了泄漏源)来向他们收取罚款。

  教育员工妥善处理持卡人数据在很多企业仍然是个问题,思科报告发现。约有43%的人将此列为他们部署PCI的主要挑战之一,其次的挑战就是升级系统来满足合规要求(32%);更高业务做法来满足合规(29%);缺乏足够的人员来支持PCI(28%);以及缺乏PCI预算(25%).

  “最大的挑战之一就是教育员工如何妥善处理持卡人信息,你可以加密、分区和保护网络,但是能够看到信息的员工通常是最薄弱的环节。”

  PCI合规是一个很好的基础,但是合规并不是与安全成正比的,“遵守合规并不意味着你是安全的,”他表示。

  Securosis公司的Mogull表示,“它能够保护信用卡和借记卡号码,没有别的了。他并不能够阻止所有类型的攻击,但这是一个很好的基础。”

  名词解释PCI:支付卡行业数据安全标准(Payment Card Industry (PCI) Data Security Standard)。支付卡行业 (PCI) 数据安全标准 (DSS) 是一组全面的要求,旨在确保持卡人的信用卡和借记卡信息保持安全,而不管这些信息是在何处以何种方法收集、处理、传输和存储。