CTI論壇（ctiforum）3月17日消息（記者 李文杰）：Verizon Enterprise Solutions于3月12日發(fā)布的《2015年P(guān)CI數(shù)據(jù)法規(guī)遵循報告》顯示，接近80%企業(yè)未能夠通過PCI法規(guī)遵循評估，導(dǎo)致業(yè)務(wù)容易受網(wǎng)絡(luò)駭客攻擊。鑒于現(xiàn)時超過三份二的買賣交易均由支付卡進行，信用卡交易的金額預(yù)計將于2015年達到20萬億美元，可見資訊保安對機構(gòu)極為重要。

　　作為第四年的調(diào)查，Verizon的2015年度報告探討世界各地的金融服務(wù)、零售、旅游與酒店等行業(yè)各部門有否遵循支付卡業(yè)界資訊安全標(biāo)準(zhǔn)（PCI DSS）法規(guī)，以及這些達標(biāo)數(shù)字與資料外泄案件的相互關(guān)系。

　　自從2009年以來，各大企業(yè)所經(jīng)歷的諸多資料泄漏事件絕非偶然。Verizon的網(wǎng)絡(luò)安全調(diào)查結(jié)果表明，企業(yè)對于PCI DSS遵守的程度一直低于正常水準(zhǔn)。

　　通過減少資料泄露的可能性，各公司能更好地打理自己的品牌，確保消費者對品牌的信任，從而減少不必要的重大損失。事實上，69%的消費者均表示不愿意與曾出現(xiàn)資料外泄的機構(gòu)進行交易。

　　Verizon Enterprise Solutions專業(yè)服務(wù)部門總經(jīng)理Rodolphe Simonetti指出：「時至今日，網(wǎng)絡(luò)安全性原則的定義正不斷變化，死守于現(xiàn)有模式并不能全面地保護數(shù)據(jù)。我們應(yīng)將著眼點放在可持續(xù)發(fā)展的保安系統(tǒng)。這個亦是每個機構(gòu)每日必須留意的一個重要資料保安策略�！�

　　2015 PCI重要調(diào)查結(jié)果總覽

• 今年的調(diào)查結(jié)果顯示，只有29%公司在被評為達標(biāo)后的一年內(nèi)，仍然全面遵守所有的資料保安標(biāo)準(zhǔn)。盡管通過年度評估及進行持續(xù)標(biāo)準(zhǔn)監(jiān)察的公司現(xiàn)時仍屬少數(shù)，2015年年度報告亦有喜訊。
• 2014年中期報告通過支付卡業(yè)界標(biāo)準(zhǔn)初步法規(guī)審閱的公司，較2013年上升近一倍。
• Simonetti表示，「機構(gòu)未能達標(biāo)的三個主要范圍，包括保安系統(tǒng)定期測試、維持安全系統(tǒng)正常運作和保護現(xiàn)已有的資料�！垢鶕�(jù)Verizon的資料外泄個案調(diào)查所得，所有公司于發(fā)生資料外泄的時候，均無全面符合支付卡的業(yè)界標(biāo)準(zhǔn)。

　　其他報告調(diào)查結(jié)果如下：

• 于2013年至2014年間，在12項支付卡業(yè)界資料保安標(biāo)準(zhǔn)要求當(dāng)中，11項要求的達標(biāo)情況有所改善，60%的公司在2014年的評估中完成了所有基本要求。
• 達標(biāo)機構(gòu)的比率平均上升18個百分點。
• 當(dāng)中錄得最大升幅的是認證登入。
• 唯一錄得達標(biāo)比率下降的項目為保安系統(tǒng)測試，比率由40%下降至33%。

　　Simonetti表示，今年報告中另一項令人憂慮的趨勢是數(shù)據(jù)安全性仍然未能達標(biāo)。

　　通過分析過去12個月的數(shù)據(jù)外泄數(shù)字和規(guī)�？梢�，目前的技術(shù)無法阻止網(wǎng)絡(luò)駭客攻擊，而在大部份情況下，現(xiàn)階段的技術(shù)甚至沒有減低網(wǎng)絡(luò)駭客的入侵速度。因此，遵循支付卡業(yè)界數(shù)據(jù)法規(guī)，是最全面的訊息安全及風(fēng)險管理策略。雖然支付卡業(yè)界法規(guī)評估可幫助機構(gòu)發(fā)現(xiàn)重大的安全漏洞，但卻未能確保數(shù)據(jù)的安全性。

　　Verizon 2015年P(guān)CI數(shù)據(jù)法規(guī)遵循報告

　　今年的報告涵蓋了三年的數(shù)據(jù)，當(dāng)中包括由支付卡業(yè)界認可的Verizon保安評估團隊研究的評估數(shù)據(jù)。采用Verizon的保安評估的大型跨國公司來自30多個國家，大部份均為《財富500強》公司。

　　在報告中，Verizon進行了一個深入的研究，仔細分析了12個支付卡業(yè)界的標(biāo)準(zhǔn)。今年報告更首次著眼于即將發(fā)布的3.1標(biāo)準(zhǔn)法規(guī)。

　　2015年的報告亦有詳細說明公司被評為達標(biāo)后，往后卻不符合安全要求的情況及個中原因。除此之外，報告也有闡述「如何能更容易地符合支付卡業(yè)界標(biāo)準(zhǔn)」—從而對希望持續(xù)遵循支付卡業(yè)界數(shù)據(jù)法規(guī)的企業(yè)提供可行建議。

　　與Verizon一系列的資料外泄調(diào)查報告（DBIR）類同，PCI報告結(jié)果都基于對真實個案的分析，亦是行業(yè)中唯一分析實際個案的報告。支付卡業(yè)界安全評估數(shù)據(jù)的搜集來源分別為金融業(yè)（30％）、零售業(yè)（26％）及旅游與酒店款待行業(yè)（15％），調(diào)查地區(qū)橫跨美洲（55％）、歐洲（23％）和亞太區(qū)（22％）。