PCI DSS是支付卡行业数据安全标准的简称。接受信用卡支付的每一方都必须遵守PCI DSS。PCI标准由卡品牌强制执行,但由支付卡行业安全标准委员会(PCI SSC)管理。该标准旨在加强对持卡人数据的控制,以减少信用卡欺诈。

PCI安全标准委员会的使命是通过制定标准和支持利益攸关方的教育,意识和有效实施的标准和支持服务来提高全球支付账户数据安全。

合规性将确保公司能够秉承积极的形象并建立消费者信任。这也有助于建立消费者忠诚度,因为客户更有可能从他们认为值得信赖的公司返回服务或产品。

PCI DSS到底是什么?

PCI DSS是一家在几家信用卡公司之间合作开发的国际安全标准。PCI DSS告诉公司如何保证其卡和交易数据安全。

当PCI DSS于2004年发布时,预计组织将在大约五年内实现有效和可持续的合规性。大约15年后,不到一半的组织维持预防PCI DSS在正式合规验证后几个月内从处所不足的计划。根据2019年Verizon付款安全报告,研究表明,自2017年以来PCI可持续性正在向下培训。

网上交易增加

新冠疫情的副作用之一是网上交易的增加。随着世界上越来越多的人开始这样做居家办公为了防止新冠肺炎的传播,企业必须做好应对更高比例在线交易的准备。

毕竟,这些在线客户很可能会继续在线购物,当他们学会欣赏使用的便捷性,特别是如果他们对网上交易的安全性有信心的话。然而,随着数字支付频率的增加,数据泄露的威胁也在增加数字欺诈

合规元素

美国银行(Bank of America)最近的一份报告指出,小企业正在通过实施行业安全标准来保护自己,比如遵守PCI标准。具体来说,PCI合规要求5表示您必须保护所有系统免受恶意软件的侵害,并定期更新防恶意软件。PCI DSS需求5有四个不同的元素,意味着它们需要每天处理:

  • 5.1:对于系统组件的示例,包括所有由恶意软件影响的所有操作系统类型,请验证是否部署了反恶意软件软件。
  • 5.2.b:检查反恶意软件配置,包括软件的主安装,以验证反恶意软件机制配置为执行自动更新和定期扫描。
  • 5.2.d:检查防恶意软件配置,包括软件的主安装和系统组件的样本,以验证防恶意软件日志生成是否开启,日志是否按照PCI DSS要求10.7保存。
  • 5.3.b:检查防恶意软件配置,包括软件的主安装和系统组件样本,以确保防恶意软件不会被用户禁用或更改。

基本上,这可以归结为我们的常规建议支柱:

  • 确保更新软件(包括防恶意软件)。
  • 对恶意软件执行自动和/或周期性扫描。
  • 记录并保存这些扫描的结果。
  • 确保无法禁用保护软件(尤其是反恶意软件)。

常见问题和异议

第一个要求(5.1)要求组织维护其设备和这些设备上的操作系统的准确库存。然而,配置管理数据库(CMDB)解决方案因没有完全实现而臭名昭著。因此,要确定是否每个需要防恶意软件的系统都安装了,可能是相当困难的。如果是,请寻找提供受保护端点清单的解决方案。您可以使用这样的清单来审核CMDB并验证遵从性。

下一个Resement 5.1的障碍是,我们仍然遇到麦斯科斯州和Linux用户/管理员的推送,而他们需要运行防病毒解决方案。然而,对CVE数据库Debunks的审查述评。

是的,这些操作系统的漏洞比Windows少。然而,考虑到漏洞的数量和这些漏洞发布的频率,它们仍然会“普遍受到影响”。正如我们过去所报道的,Mac威胁检测在数量上实际上超过了窗户。使用能够覆盖组织中使用的所有操作系统的解决方案可以帮助您组织和控制所有设备,而无需添加额外的软件。

有时,您将从Server Administrators获取推动的次要,该管理员发誓任何防病毒解决方案需要太多的CPU来运行并对服务器性能产生不利影响。虽然它越来越好,但我们仍然经常遇到制定这项索赔的人,但随后未能提供记录的证据。(不是我们不相信它们,因为有几种可能对表现产生不利影响的遗产抗病毒程序。)

然而,在大多数情况下,这些人是基于过去的经验,而不是基于一个更现代的解决方案的试验。无论您如何看待这一点,您都必须在Windows、macOS和Linux Server端点上部署防恶意软件,以满足PCI DSS。

为什么合规问题

Verizon威胁研究咨询中心(VTRAC)的数据表明,没有适当控制的合规计划,保护数据的概率不超过95%,更有可能成为网络攻击的潜在目标。

一次成功的网络攻击的代价不仅仅是责任和名誉的损失。还需要进行修复,重组可能是必要的,特别是当你正在处理勒索软件或数据泄露。

数据泄露还涉及遗失的机会和竞争缺点,即不可能量化。2019年波耐蒙研究所(Ponemon Institute研究IBM /计算数据违约的成本为242美元,在美国平均违约超过800万美元。Ransomware是所有网络攻击中最大的金融威胁吗2019年估计损失75亿美元仅对美国而言。

对于那些从事在线交易的公司来说,声誉受损可能是致命的。想象一下,客户一看到你的标识就会回避支付门户网站。因此,符合PCI标准不仅仅是一项法规——它确实可以拯救你的公司。

所以保持安全(在这种情况下意味着保持顺从)!