根據(jù)Verizon關(guān)于移動(dòng)和零售業(yè)安全及支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)合規(guī)的報(bào)告顯示，很多企業(yè)在完成合規(guī)項(xiàng)目后，不再遵守合規(guī)性，從而留下安全漏洞，可能導(dǎo)致未來數(shù)據(jù)泄露事故和數(shù)據(jù)丟失，而這原本是可以避免的。

[[126520]]

“大多數(shù)企業(yè)仍然將合規(guī)性視為兩三個(gè)月的項(xiàng)目，”Verizon合規(guī)性和管理專業(yè)服務(wù)主管Rodolphe Simonetti表示，“而在項(xiàng)目完成后，企業(yè)未能維護(hù)合規(guī)性，因?yàn)樗麄儧]有繼續(xù)在這些系統(tǒng)中工作。”

Simonetti提到了即將發(fā)布的Verizon PCI報(bào)告的內(nèi)容，其中顯示企業(yè)仍然在其內(nèi)部系統(tǒng)艱難地部署和維護(hù)PCI DSS合規(guī)。這份報(bào)告在過去五年的時(shí)間里對(duì)全球30多個(gè)國家的5000家公司進(jìn)行了安全評(píng)估，主要重點(diǎn)是世界500強(qiáng)企業(yè)。這個(gè)分析的結(jié)果非常驚人，其中發(fā)現(xiàn)在2014年遭遇安全泄露事故的公司在事故發(fā)生時(shí)都沒有遵守現(xiàn)有的PCI DSS合規(guī)。

Simonetti表示，“大多數(shù)公司絕對(duì)沒有保持合規(guī)性，這非常令人驚訝。”

該報(bào)告中的數(shù)據(jù)顯示，在六個(gè)月后，不到三分之一的公司仍然保持PCI DSS合規(guī)性，這是非常非常低的數(shù)據(jù)，實(shí)現(xiàn)合規(guī)性很困難，但保持合規(guī)性是更大的挑戰(zhàn)。

有趣的是，企業(yè)未能維持PCI DSS合規(guī)性的領(lǐng)域是Simonetti原本認(rèn)為可以維持合規(guī)性的領(lǐng)域，包括維護(hù)防火墻、修補(bǔ)系統(tǒng)，以及定期安全漏洞測(cè)試。

“我認(rèn)為這是安全基礎(chǔ)，”他表示，“盡管如此，仍然有很多公司未能維持這種非?；镜陌踩?。”

問題往往是，有些公司將PCI合規(guī)視為年度項(xiàng)目，而不是支持安全性的持續(xù)過程。“你永遠(yuǎn)不可能實(shí)現(xiàn)100%的安全性，”他表示，“重要的是保持靈活性，確保數(shù)據(jù)泄露事故的影響不會(huì)太糟糕。有些企業(yè)做了很多工作來確保不會(huì)發(fā)生數(shù)據(jù)泄露事故，但事故發(fā)生時(shí)他們卻未能快速響應(yīng)。”

零售業(yè)和酒店業(yè)分析公司IHL Group***分析師Greg Buzek表示，對(duì)于大多數(shù)企業(yè)而言。PCI DSS合規(guī)問題的答案是，信用卡安全必須采用多管齊下的方法，同時(shí)應(yīng)該包括數(shù)據(jù)加密和令牌化。只有這樣，當(dāng)信用卡被盜時(shí)，加密和令牌可以保護(hù)信用卡數(shù)據(jù)。