十种方式帮你保护pci下的网络数据.docxVIP

十种方式帮你保护PCI下的网络数据??? 无论是搞实体还是选择在线业务，商家们都发现支付卡行业（简称PCI）已经成了他们不可或缺的商业伙伴，但由此带来的信用卡数据保护工作却充满挑战且令人困惑。??? 相信每位零售商都会有这样的感受，自己需要了解如何保护来自在线交易的信用卡及其它客户数据，因为这世界上有一大帮紧盯着这块肥肉打算渔利的犯罪分子。零售商目前已经成为第二大数据泄露受害者（仅次于酒店服务业），根据Verizon公司2012数据泄露调查报告，有20%的违规事件发生在零售行业。而且虽然在美国人口普查局公布的研究结果中，全美只有5%的公民拥有电子商务账户，但这一数字显然正在稳健地逐年递增。??? “现在这个世界充满新鲜与诱惑，但在商家眼中却又暗藏着无数杀机，因为从我们步入商业领域的第一天开始就已经被恶意人士给盯上了，”支付业务企业Hearland支付系统公司首席安全官John South表示。??? 在这个危机四伏的网络世界中生存的零售商大部分只是小型企业，而他们的安全漏洞也最为严重：几乎95%的数据泄露事故发生在员工数量低于100人的小公司，Verizon报告指出。他们显然不像大企业那样养得起安全及风险管理团队。??? “我们几乎看不到什么大规模数据泄露事件，反倒是小型违规状况时有发生，”PCI安全标准委员会总经理Bob Russo告诉我们，该委员会是专门制定PCI数据安全标准（即PCI DSS）的政府主管部门。“这些标准对于拥有完善安全部门的大型企业而言非常适用，但我们正在想办法让小商家也能获得可供实施的精简方案。”??? 在线零售商对于安全性的要求极高，这一点与传统的实业型企业有所区别，因为大部分交易都是以双方不碰面的刷卡形式完成的。由于客户在网络购物过程中不需要使用真正的支付卡，因此整个付款流程要求商户接受经过审批的安全厂商的定期（每季度）网络扫描。这类扫描的目的在于检测安全漏洞与错误配置。??? 许多在线零售商并不知道PCI的要求哪些安全机制、也不了解该如何打理这些机制。但即使如此，在保护客户数据方面稍做改进也能够带来极大的安全性提升。Verizon公司的调查报告发现，96%的网络攻击受害者并没有严格遵循PCI管理规则，而且97%的数据泄露只要通过简单或中等强度的保护手段即可避免。??? 下面我为大家总结了十种方式，希望它们能帮助大家了解自己企业所需要的控制方案，以保护持卡人的利益免受分割、PCI规则得到确切执行。??? 1.了解自己的基础架构??? 网络商家最需要了解的内容就是自己的在线交易系统与日常业务网络的集成方式。大家可以尝试亲自访问基础架构，了解哪些系统用于处理交易流程及持卡人数据。??? 网络扫描及日志分析工具能够帮助我们识别触及支付卡数据的系统类别，安全管理服务供应商Trustwave公司认证安全评估师Greg Rosenberg指出。这些涉及敏感信息的系统必须严格遵循PCI DSS安全标准。??? “其实很多系统在不知不觉中成为了攻击活动的跳板，通过检测与定位我们发现了大量普通消费者所不了解的安全漏洞，”Rosenberg表示。??? 他认为让一位经过认证的安全评估师参与测试非常必要。“我要寻找的并不是能帮自己快速通过审计工作的家伙，专家的职责在于帮商家了解潜在风险，”Rosenberg告诉我们。“别把PCI标准看成是麻烦的形式主义流程，认真完成会显著降低大家可能遭遇的安全风险。”??? 2. 查找数据??? 企业保留支付卡数据一般出于三大原因：更好地掌握客户服务需求、方便客户重复使用信用卡以及处理退款事务，波尼蒙研究所在其2011年PCI DSS合规性趋势研究报告中总结道。“目前绝大多数公司仍然在以信用卡号码作为客户的主要识别手段，”互联网服务企业Akamai公司安全部门发言人Martin McKeay指出。??? 无论出于何种目的，一旦选择保留客户数据，企业就应该对业务系统中的每一个运行实例展开监控，包括Web服务器、客户服务应用以及销售人员的笔记本电脑。了解数据驻留在何处、谁在对其进行访问以及访问者是否拥有明确的访问理由。??? 举例来说，营销团队就可能希望保留这些信息，“因为他们能够在时机合适时向客户发送优惠券或其它促销建议，”PCI SSC的Russo解释道。“但如果大家确信自己并不需要这些数据，请尽快丢掉这块烫手的山芋。”??? 疑难杂症??? 2011年企业在处理PCI安全要求中的三大首要难题：??? 保护客户数据（42%）??? 制定管理政策、确保信息安全（39%）??? 定期检测系统及业务流程安全性（37%）??? 3.数据处理系统越少越好??? 任何一款需要访问交易数据或支付卡数据的系统都要由PCI DSS来把关，而由此带来的评估及检测成本非常高昂。因此将网络划分成不同区块，并将员