DoSECU 安全报道 9月25日消息:根据一项最新调查,在企业与一些小型的零售商合作的时候会面临着失去对数据的控制这样一个更大的风险,因为多数企业没有遵守PCI安全标准(PCI DSS)。
这项调查覆盖了560个美国和多国组织,对受访者询问有关PCI DSS遵守的技术投资和部署的各种各样的问题,这项调查于2005年推出。这是由主要的信用卡厂商研讨出来的一个行业标准,旨在保护用户的支付数据。
调查发现,55%的企业之确保了信用卡信息的安全,而没有对其他的数据进行保护措施,如社交安全和驾驶者的证件号码或银行账户详细资料。同样,仅有28%的员工人数在501到1000之间的小型企业遵守了PCI DSS。相比之下,超过70%的(员工数在75000或更多员工的)大型商家声称遵守了这一标准。
"如果你与大型企业进行合作,那么你现在很可能会被确保安全。"Imperva公司CTO Amichai Shulman说。据悉,Imperva公司主要生产企业遵守PCI DSS的安全软件。Imperva公司委托Ponemon Institute进行这项研究。Ponemon Institute专门进行隐私和信息安全政策的研究。
Shulman表示,那些公司不遵守PCI DSS的首要原因是成本问题。"他们不进行任何这方面的努力的原因是他们觉得自己一无所有,这样做也是孤注一掷,所以他们不采取任何行动。"Shulman说。
大型企业发现成本问题不是很大的困难,他说。一般来说,企业会花费35%的IT安全预算在PCI DSS的遵守上。
根据PCI安全标准委员会的网站消息,支付卡厂商要求遵守相关标准,并且大多数的商家会在遵守方面得到支持。
该调查出现了一些令人不安的结果。Shulman表示,大约10%的声称已经遵守了PCI DSS的受访者表示他们没有使用最基本的安全软件,例如防病毒软件、防火墙和SSL(安全套接层)。
PCI 没有对具体的软件产品进行规定,而是推广一些做法和一些设备,如防火墙和防病毒。最近几年,厂商已经研发出了一些产品,可以更易于遵守PCI DSS。但是,结果却出乎人们的意料,并可能会对一些已经支持PCI DSS的企业造成持续的困扰。
"我发现很难解释为什么我不将SSL作为PCI遵守的一部分,"Shulman说,"在我看来,人们很容易误解这些需求,企业正在滥用它。"