亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　托管IT服務(wù)巨頭Verizon指出了導(dǎo)致商家未能滿足PCI DSS合規(guī)的兩個(gè)關(guān)鍵問題領(lǐng)域。

　　日前，Verizon透露了其備受期待的年度報(bào)告中的內(nèi)容，這份報(bào)告對(duì)Verizon Enterprise Solutions在過去三年期間執(zhí)行的數(shù)千次PCI DSS合規(guī)性評(píng)估的結(jié)果進(jìn)行了分析。

　　"照常營業(yè)"PCI合規(guī)被證明很困難

　　根據(jù)Verizon表示，2015年的數(shù)據(jù)表明大多數(shù)商家都在艱難地維持全年P(guān)CI合規(guī)性。該公司稱，在通過審核后的不到一年時(shí)間內(nèi)，只有不到三分之一的企業(yè)保持完全的PCI合規(guī)性。

　　這與PCI安全標(biāo)準(zhǔn)委員會(huì)所提倡的"持續(xù)合規(guī)性"口號(hào)形成鮮明對(duì)比。專家稱，PCI DSS 3.0版的主要目標(biāo)之一是要求企業(yè)保持足夠的安全控制來在所有時(shí)候保護(hù)支付卡數(shù)據(jù)，不只是為了通過年度評(píng)估。

　　醫(yī)療設(shè)備、服務(wù)和照明解決方案國際制造商的PCI合規(guī)項(xiàng)目經(jīng)理Nancy Rodriguez表示，PCI合規(guī)性嵌入到"照常營業(yè)"業(yè)務(wù)流程并不容易。

　　她表示，這個(gè)系統(tǒng)性的工作需要與全公司業(yè)務(wù)流程所有者召開會(huì)議，了解流程如何運(yùn)作以及數(shù)據(jù)流向何處，然后再確認(rèn)如何在不影響業(yè)務(wù)的前提下整合PCI合規(guī)性。Rodriguez補(bǔ)充說，這種工作很難做到，因?yàn)榧词乖诖笮推髽I(yè)，PCI合規(guī)團(tuán)隊(duì)通常只有極少數(shù)人。

　　"我很幸運(yùn)的是，當(dāng)我進(jìn)入現(xiàn)在這家公司時(shí)，該公司正處于起步階段，當(dāng)時(shí)公司正在基于核心、標(biāo)準(zhǔn)元素重新定義所有流程，"Rodriguez稱，"我們建立了核心領(lǐng)域(信息安全、PCI、隱私等)，并對(duì)其流程以及控制進(jìn)行了描述。然后我們?cè)u(píng)估彼此的流程和控制，以確定我們的領(lǐng)域是否應(yīng)該參與，以及如何參與。"

　　這是一個(gè)費(fèi)力費(fèi)時(shí)的過程，即使是對(duì)于相當(dāng)大規(guī)模的企業(yè)，對(duì)于很多小型商家，在單個(gè)時(shí)間點(diǎn)的其余時(shí)間內(nèi)保持合規(guī)性更加困難。前安全評(píng)估員兼獨(dú)立安全顧問Steven Weil表示，他開始看到越來越多的企業(yè)對(duì)PCI合規(guī)采取全年的做法，但這是一個(gè)挑戰(zhàn)，因?yàn)槠髽I(yè)必須有成熟的信息安全和合規(guī)計(jì)劃。

　　Weil表示："不幸的是，還有很多不太成熟的企業(yè)只是專注于每年一次的PCI合規(guī)性；對(duì)于這些企業(yè)而言，這樣做的風(fēng)險(xiǎn)越來越大。"

　　防火墻合規(guī)性、安全測試是主要問題

　　根據(jù)Verizon表示，企業(yè)未能滿足PCI合規(guī)要求的兩個(gè)主要領(lǐng)域涉及第11條要求，對(duì)安全系統(tǒng)和流程進(jìn)行定期測試；以及第1條要求，其中主要是對(duì)防火墻的維護(hù)。

　　該公司只透露了部分細(xì)節(jié)信息，另外，在一份聲明中，Verizon Enterprise Solutions的合規(guī)和管理專業(yè)服務(wù)主管Rodolphe Simonetti表示，不斷變化的網(wǎng)絡(luò)安全環(huán)境需要企業(yè)改變他們的安全做法。

　　"企業(yè)需要采用我們稱之為'有彈性'的模式，這意味著他們必須接受他們永遠(yuǎn)不可能完全安全，"Simonetti表示，"對(duì)于數(shù)據(jù)保護(hù)，并沒有萬全之策。"

　　Weil推測，Verizon已經(jīng)看到防火墻規(guī)則審查沒有得到充分執(zhí)行，或者說，沒有按照PCI DSS要求的至少每六個(gè)月執(zhí)行一次。

　　"在大型或復(fù)雜企業(yè)中，受PCI監(jiān)管的關(guān)鍵防火墻可能有數(shù)百條規(guī)則必須進(jìn)行審查，"Weil表示，"但對(duì)于繁忙的安全專業(yè)人員而言，了解哪些規(guī)則仍然有效以及哪些規(guī)則需要?jiǎng)h除/禁用，是很困難和非常耗時(shí)的工作。此外，防火墻管理員擔(dān)心關(guān)閉防火墻規(guī)則可能會(huì)帶來影響。"

　　Rodriguez表示同意，他說，盡管對(duì)于幾乎所有全面的信息安全計(jì)劃而言，防火墻維護(hù)都是基本工作，但PCI DSS圍繞防火墻的要求是"規(guī)定性的"，特別是對(duì)所有允許的服務(wù)、協(xié)議和端口的使用的文檔記錄和業(yè)務(wù)理由。

　　"還有很多人沒有意識(shí)到PCI DSS要求，"Rodriguez表示，"所以他們沒有構(gòu)建這些控制到其流程和程序。"

　　同時(shí)，第11條要求還包含了高難度任務(wù)，從無線網(wǎng)絡(luò)安全到定期網(wǎng)絡(luò)安全掃描和第三方滲透測試。

　　有些企業(yè)仍然在艱難地滿足第11條要求，這并不足為奇；Verizon去年報(bào)告稱，在最符合要求的企業(yè)(即滿足95%PCI DSS控制的企業(yè))中，超過半數(shù)沒有滿足第11條要求。雪上加霜的是，PCI 3.0版中的新要求規(guī)定，企業(yè)需要部署正式的滲透測試方法，這被認(rèn)為是更新版本標(biāo)準(zhǔn)中最難以遵守的變化之一。

　　Aberdeen Group研究公司副總裁兼研究員Derek Brink表示，滿足PCI要求所帶來的挑戰(zhàn)變得更加艱巨，這也說明現(xiàn)在的IT基礎(chǔ)設(shè)施比幾年前更加復(fù)雜。

　　"對(duì)于所有企業(yè)而言，真正的目標(biāo)應(yīng)該是將風(fēng)險(xiǎn)降低到可以接受的水平，"Brink表示，"這意味著減少數(shù)據(jù)泄露事故的可能性-通過部署和維持普遍接受的安全控制和流程，以及減少不可避免要發(fā)生的數(shù)據(jù)泄露事故帶來的影響。"

　　Brink感嘆說，有些人肯定會(huì)利用Verizon令人沮喪的報(bào)告結(jié)果來"抨擊PCI標(biāo)準(zhǔn)"，他主張商家應(yīng)該努力實(shí)現(xiàn)和維持PCI合規(guī)性，因?yàn)橹挥羞@樣做，這些企業(yè)才將會(huì)比他們想象的更加安全。

　　Brink補(bǔ)充說："對(duì)于我來說，Verizon報(bào)告的巨大價(jià)值在于，它提供了關(guān)于關(guān)鍵問題的可能性和影響的事實(shí)和趨勢(shì)，這應(yīng)該是企業(yè)必須了解的有關(guān)風(fēng)險(xiǎn)的事實(shí)。"

　　Verizon證實(shí)，下個(gè)月的PCI報(bào)告結(jié)果將會(huì)包含基于30多個(gè)國家的財(cái)富500強(qiáng)企業(yè)和大型跨國公司的數(shù)據(jù)。除了審查企業(yè)如何以及在哪里未符合PCI要求，該報(bào)告還會(huì)提供對(duì)12個(gè)PCI要求的深度剖析，以及第一次評(píng)估3.0版本的合規(guī)性工作。