网路资讯/保护客户个资 10步骤做 PCI规范轻松搞定
作/罗伯特
不论是在实体或网路商店,商家一直以来总是觉得信用卡公司的资料保密要求,不但充满挑战而且让人困惑。但所有零售业者都应该了解如何保护线上交易的信用卡资料与客户资讯,因为这些东西已经成为网路犯罪份子的目标。
零售业现在是第二大的资讯外流来源(仅次于医疗产业),根据Verizon在2012 年的Data Breach Investigations Report调查,零售业造成的资料侵害已达到整体的20%。
虽然美国人口普查局的报告显示,电子商务仅占所有零售交易的5%,但电子商务正逐年成长。
Hearland Payment Systems交易处理首席安全官John South表示:「对店家来说,这是个很有趣的世界、也是个很可怕的世界,因为从第一天开始,你就已经成为目标。」在这个可怕的线上世界中,有许多零售业者都是小型商家,而这些业者是最容易受害的。
根据Verizon的报告,有将近95% 的资料外泄事件,是发生在不到100名员工的商家身上。他们与大企业不同,因为他们没有专门的资讯安全与风险管理团队。
负责信用卡产业资料安全标准的PCI Security Standards Council总经理Bob Russo表示:「我们没有发现太多大规模的资料外泄事件。我们看到比较多的是小规模的资料外泄。这些标准适用于那些有大型资安部门的大公司?但我们必须找出适合小型公司的标准。」
由于消费者在购物时不必真的出示他们的信用卡,所以支付处理公司会要求商家,每一季都必须透过合格的资安业者进行网路扫瞄。这么做的目的是要找出可能的漏洞、以及错误配置。
许多网路业者并不清楚这些信用卡产业(PCI)的规定、也不了解如何处理这些问题;但其实只要简单的步骤,就可以大幅增加消费者的资料安全。
Verizon的研究发现,被成功入侵的受害者中,有96%并未符合PCI相关规定,而且有97%的资料外泄事件,其实可以透过简单的、或是中等程度的安全控制加以预防。
下列10个步骤,可帮助自家公司建立必要的机制,以维护信用卡资料、并达到PCI的要求。
步骤一:了解自家基础设施
网路店家必须注意他们的线上零售系统与日常商业网路的整合程度。第一步,必须评估自家公司的基础设施,并决定由哪一个系统来处理交易与信用卡资料。
资安管理业者Trustwave合格检测员Greeg Rosenberg表示,网路扫瞄与纪录分析, 有助于辨别哪些系统能够撷取卡片资料,而网路店家们会希望这些系统能够符合支付卡产业资料安全标准(PCI DSS)。
Rosenberg说:「我们比客户知道更多可能的攻击媒介,以及很多可以攻击的系统。」他表示,店家应该要找一位合格的资安检测员。Rosenberg建议说:「不是要找一位可以赶快完成审核的人,而是要找一位真正可以帮助厘清风险的人。宁可大幅降低公司的风险暴露程度,也不要草率地通过PCI。」
步骤二:找出资料
根据Ponemon Institute的2011 年PCI DSS Compliance Trends Study显示,一般公司储存信用卡资料,通常是基于3个主要理由: 为了更能掌握客户的服务要求、为了让客户可以轻松地再次使用信用卡、以及处理信用卡拒付问题。
网路服务公司Akamai资安宣导员Martin Mckeay表示,还是有太多公司使用信用卡号码作为辨识其客户的主要手段。
无论这些公司是基于什么样的理由而留存客户资料,他们都应该检视系统上的每个地方,无论是网路伺服器、客户服务应用程式、或是在销售人员的笔记型电脑里。一一找出资料留存的地方,了解谁有权限撷取这些资料,然后判断这些人是否需要这些资讯。
PCI SSC的Russo表示:「举例来说,行销部门想要储存所有东西, 因为某天他们可能需要使用这些资料,把折价券寄给这些客户。」但他认为,如果你不需要这些资料, 就不要储存下来。
步骤三:减少资料处理系统的数量
所有能够接触到交易资料或卡片资讯的系统都必须符合支付卡产业资料安全标准(PCI DSS),要进行任何检测,肯定相当昂贵。