只有27.9%的组织能够维持对PCI DSS的合规性

由于缺乏长期服务,全球组织继续将其客户的持卡人数据置于风险之中 支付安全策略 和执行,标记Verizon报告。

保持合规性PCI DSS

由于许多公司努力挽留合格的CISO或安全经理,缺乏长期的安全思想严重影响了《支付卡行业数据安全标准》(PCI DSS)。

网络犯罪分子仍然主要针对支付数据

报告强调,支付数据仍然是网络犯罪分子最追捧和最有利可图的目标之一,十分之九的数据泄露是出于经济动机。仅在零售部门中,就有99%的安全事件集中在获取付款数据以作犯罪用途。

平均而言,全球组织中只有27.9%的用户完全遵守PCI DSS,PCI DSS旨在帮助提供卡支付设施的企业保护其支付系统免遭持卡人数据的泄露和盗窃。

更令人担忧的是,这是自2016年达标以来连续第三年达标下降,下降了27.5个百分点。

“不幸的是,我们看到许多企业缺乏高级企业领导者的资源和承诺来支持长期数据安全和合规性计划。这是不可接受的,” Sampath Sowmyanarayan,全球企业总裁, 威瑞森 商业。

“最近的冠状病毒 大流行 促使消费者从传统的现金使用方式转移到使用支付卡以及移动设备进行非接触式支付的方式。这产生了更多的电子支付数据,消费者信任企业以保护其信息。

“所有公司都必须将支付安全视为持续的业务重点 处理任何付款数据,他们对客户,供应商和消费者负有基本责任。”

很少有组织能够成功测试安全系统

其他发现将重点放在安全测试上,其中只有51.9%的组织成功地测试了安全系统和流程以及不受监视的系统访问,并且大约三分之二的企业充分跟踪和监视对业务关键系统的访问。

此外,只有70.6%的金融机构维持基本的外围安全控制。

“这份报告是对组织的可喜的警钟,要求组织强有力的领导才能解决无法充分管理支付安全性的失败。 威瑞森商业报告非常符合Omdia的观点,即安全策略与组织策略的一致性对于组织保持合规性至关重要,在这种情况下,PCI DSS 3.2.1可以提供适当级别的支付安全性。

“很明显,长期数据安全性和合规性结合了多个角色的职责,其中包括首席信息安全官,首席风险官和首席合规官,Omdia对此表示赞同。” 麦斯汀·霍尔特(Maxine Holt),Omdia的高级研究总监。

保持合规性PCI DSS

难以维持PCI DSS合规性影响所有企业

中小企业被标记为在保护付款数据方面有自己独特的斗争。尽管小型企业通常要处理和存储的卡数据要比大型企业少,但它们的资源较少,安全性预算也较小,从而影响了可用于维持PCI DSS遵从性的资源。

这些较小的组织通常认为保护敏感的支付卡数据所需的措施既耗时又昂贵,但是由于SMB数据泄露的可能性仍然很高,因此必须保持PCI DSS遵从性。

持续的CISO挑战:安全策略和合规性

该报告还探讨了 首席信息安全官面临的挑战 设计,实施和维护有效且可持续的安全策略,以及这些策略最终如何导致合规性和数据安全管理崩溃。

这些问题并非本质上是技术问题,而是由于组织上的弱点而导致的,这些弱点可以通过更成熟的管理技能来解决,包括建立正式的流程。建立安全性业务模型,并通过操作模型和框架定义合理的安全性策略。

分享这个