Verizon Business 2020年支付安全報告 (Payment Security Report)顯示,全球企業缺乏長期的支付安全策略及執行安排,繼續使持卡人資料面臨風險。眾多企業難以挽留合資格的資訊安全總監或安全經理,難以從長遠考量資訊安全,嚴重影響支付卡產業資料安全標準(Payment Card Industry Data Security Standard ,PCI DSS)的持續合規表現。
(新聞稿)
今年的Verizon Business 2020年資料外洩調查報告(Data Breach Investigations Report)同時指出,支付資料仍然是最受網絡犯罪分子青睞,以及最有利可圖的目標之一,當中九成的資料外洩是出於金錢動機。以零售業為例, 2020年資料外洩調查報告分析的安全事件中,99%旨在獲取支付資料作犯罪用途。
訂立支付卡產業資料安全標準的目的,是為協助提供支付卡設備的企業保護其支付系統,避免持卡人資料外洩及被盜用。然而,2020年支付安全報告發現,全球平均只有27.9%的企業完全符合PCI DSS。更令人憂慮的是,合規水平在2016年見頂之後,連續三年下滑,累計跌幅達27.5個百分點。
Verizon Business 環球企業總裁Sampath Sowmyanarayan表示:「不幸的是,我們看到眾多企業高層並未投入足夠資源,以及充分參與長期資料保安及合規計劃,實在難以令人接受。最近的新冠肺炎疫情驅使消費者自傳統的現金支付,轉為使用支付卡及流動設備作非接觸式支付。龐大的電子支付資料應運而生,而消費者亦信任企業會妥善保護他們的資料。所有處理支付資料的公司都必須持續將支付安全列為業務優先事項,因為它們對顧客、供應商及消費者負有基本責任。」
2020年支付安全報告同時注意到安全測試存在隱患。報告發現,僅僅過半(51.9%)的企業成功測試其安全系統、流程及未經監控的系統存取。約三分之二的企業充分追蹤及監控關鍵業務系統的資料存取。此外,僅七成(70.6%)金融機構維持必要的保安防護控制。
研究機構Omdia(前稱Ovum)高級研究主管Maxine Holt表示:「這份報告正好提醒各機構,解決疏於管理支付安全的問題需要強而有力的領導。Verizon Business的報告跟Omdia的觀點非常吻合,安全策略及機構策略的一致性對機構保持合規是非常重要,而企業達到PCI DSS 3.2.1標準即可保持適當水平的支付安全。這份報告清楚指出,長期保障數據安全及合規,需要資訊安全總監、風險總監及合規總監等管理層共同負起責任,這觀點Omdia也甚為贊同。」
合規水平不違標影響所有企業,不論其規模大小
報告亦反映中小型企業在保護支付資料時,有其獨特困難。儘管較小型企業所處理及儲存的支付卡資料通常較大型企業少,但它們的資源及投放在資訊保安的預算也較少,影響到維持PCI DSS合規的資源。較小的機構通常認為,保護敏感的支付卡資料所需的措施過於耗時及昂貴。然而,中小企洩漏資料的可能性仍然很高,維持PCI DSS合規有其必要性。
資訊安全總監持續面對的挑戰
該報告亦探討了資訊安全總監在設計、執行及維持有效與可持續安全策略時所面臨的挑戰,以及這些挑戰最終如何導致合規和資料安全管理失效。這些問題本質上不是技術問題,而是源於機構的弱點。透過設置正規化流程、建立注重資訊安全的商業模式,以及制定安全的營運模式與框架,即可解決這些弱點。
關於Verizon Business 2020年支付安全報告
Verizon自2010年發布的《支付安全報告》,是首個衡量支付卡產業資料安全標準(PCI DSS)實際價值及表現的研究。這份報告根據具備PCI DSS資格的安全評估師(qualified security assessors),從Verizon及其他五個外部資料供應者收集的全球數據而編製。