網路資訊/保護客戶個資 10步驟做 PCI規範輕鬆搞定

作/羅伯特

不論是在實體網路商店商家一直以來總是覺得信用卡公司資料保密要求,不但充滿挑戰而且讓人困惑。但所有零售業者都應該瞭解如何保護線上交易的信用卡資料與客戶資訊,因爲這些東西已經成爲網路犯罪份子目標

零售業現在是第二大的資訊外流來源(僅次於醫療產業),根據Verizon在2012 年的Data Breach Investigations Report調查,零售業造成的資料侵害已達到整體的20%。

雖然美國人口普查局報告顯示,電子商務僅佔所有零售交易的5%,但電子商務正逐年成長。

Hearland Payment Systems交易處理首席安全官John South表示:「對店家來說,這是個很有趣的世界、也是個很可怕的世界,因爲從第一天開始,你就已經成爲目標。」在這個可怕的線上世界中,有許多零售業者都是小型商家,而這些業者是最容易受害的。

根據Verizon的報告,有將近95% 的資料外泄事件,是發生在不到100名員工的商家身上。他們與大企業不同,因爲他們沒有專門的資訊安全與風險管理團隊

負責信用卡產業資料安全標準的PCI Security Standards Council總經理Bob Russo表示:「我們沒有發現太多大規模的資料外泄事件。我們看到比較多的是小規模的資料外泄。這些標準適用於那些有大型資安部門的大公司?但我們必須找出適合小型公司的標準。」

網路商店有個實體商店沒有的問題消費者不必真的拿出信用卡。

由於消費者在購物時不必真的出示他們的信用卡,所以支付處理公司會要求商家,每一季都必須透過合格的資安業者進行網路掃瞄。這麼做的目的是要找出可能的漏洞、以及錯誤配置。

許多網路業者並不清楚這些信用卡產業(PCI)的規定、也不瞭解如何處理這些問題;但其實只要簡單的步驟,就可以大幅增加消費者的資料安全。

Verizon的研究發現,被成功入侵的受害者中,有96%並未符合PCI相關規定,而且有97%的資料外泄事件,其實可以透過簡單的、或是中等程度安全控制加以預防。

下列10個步驟,可幫助自家公司建立必要的機制,以維護信用卡資料、並達到PCI的要求。

步驟一:瞭解自家基礎設施

網路店家必須注意他們的線上零售系統與日常商業網路的整合程度。第一步,必須評估自家公司的基礎設施,並決定由哪一個系統來處理交易與信用卡資料。

資安管理業者Trustwave合格檢測員Greeg Rosenberg表示,網路掃瞄與紀錄分析, 有助於辨別哪些系統能夠擷取卡片資料,而網路店家們會希望這些系統能夠符合支付卡產業資料安全標準(PCI DSS)。

Rosenberg說:「我們比客戶知道更多可能的攻擊媒介,以及很多可以攻擊的系統。」他表示,店家應該要找一位合格的資安檢測員。Rosenberg建議說:「不是要找一位可以趕快完成審覈的人,而是要找一位真正可以幫助釐清風險的人。寧可大幅降低公司的風險暴露程度,也不要草率地通過PCI。」

步驟二:找出資料

根據Ponemon Institute的2011 年PCI DSS Compliance Trends Study顯示,一般公司儲存信用卡資料,通常是基於3個主要理由: 爲了更能掌握客戶的服務要求、爲了讓客戶可以輕鬆地再次使用信用卡、以及處理信用卡拒付問題。

網路服務公司Akamai資安宣導員Martin Mckeay表示,還是有太多公司使用信用卡號碼作爲辨識其客戶的主要手段

無論這些公司是基於什麼樣的理由而留存客戶資料,他們都應該檢視系統上的每個地方,無論是網路伺服器客戶服務應用程式、或是在銷售人員筆記型電腦裡。一一找出資料留存的地方,瞭解誰有權限擷取這些資料,然後判斷這些人是否需要這些資訊。

PCI SSC的Russo表示:「舉例來說,行銷部門想要儲存所有東西, 因爲某天他們可能需要使用這些資料,把折價券寄給這些客戶。」但他認爲,如果你不需要這些資料, 就不要儲存下來。

步驟三:減少資料處理系統的數量

所有能夠接觸到交易資料或卡片資訊的系統都必須符合支付卡產業資料安全標準(PCI DSS),要進行任何檢測,肯定相當昂貴。