報告指支付卡保安法規遵循仍存在問題

最近有一份由 Verizon 發表的報告指，很多企業仍為遵循支付卡安全標準而疲於奔命，導致消費者敏感資料處於高風險。根據「Verizon支付卡業界數據法規遵循報告」，大部份接受信用卡或扣賬卡，或同時接受兩者的企業仍然未能達致及維護支付卡行業數據安全標準 (Payment Card Industry Data Security Standard，簡稱PCI DSS) 的法規要求。因此，這些企業更容易遺失客戶敏感資料及在信用卡詐騙中面對更高風險。

即使有可能面對罰款及遭信用卡公司增加交易費用，企業亦未能維持法規遵循。同時，這些企業亦面對來自其合作夥伴及客戶的壓力，希望他們持續遵循法規要求。除了分析整體市場在遵循PCI DSS的情況外，有關報告亦測試企業遵循12種特定PCI要求的情況，並為企業提供有助他們獲取及維持相關法規遵循的建議。

PCI報告重點基於真實PCI評估及資料外洩個案

報告是由Verizon旗下的PCI認可保安評估團隊於2010年所進行超過100項的PCI DSS評估，同時包含Verizon旗下調查回應團隊偵查真實支付卡數據外洩個案收集回來的數據。此外，Verizon風險智能團隊以2011年Verizon數據外洩調查報告的數據外洩個案配合有關的評估結果，從而衍生出更豐富及更全面的數據分析。有關評估包括來自美國、歐洲及亞洲企業的數據，首次代表著全球企業對PCI標準的遵循狀態。

重點調查結果

2011年Verizon支付卡業界數據法規遵循報告的主要調查結果包括：

1. 即使法規遵循的情況沒有惡化，也沒有改善，但始終是令人失望的。只有21%的企業在初步審查中被認定為全面遵循法規要求。報告指出，大部份企業未能遵循法規要求的主要原因包括：達致法規遵循面對的困難、企業管理人員過份自信及企業只專注遵循其他法規要求及處理其他保安問題。

2. 未能遵循PCI法規直接導致數據外洩。今年的報告亦指出，曾經發生數據外洩事故的企業大多未能遵循PCI法規要求，這些企業同時亦有較高機會遭受身份盜竊及詐騙問題的威脅。

3. 企業為達致關鍵PCI要求而疲於奔命。企業主要為遵循4項PCI法規而煩惱，包括第3項 (保護持卡人資料)、第10項 (追蹤及監管存取)、第11項 (定期測試系統及程序)，以及第12項 (維護保安政策)，而這些要求直接保護持卡人數據。

4. 未能把遵循法規要求放於首要任務，意味企業漠視高風險的保安威脅。Prioritized Approach於2009年推出，協助企業識別有關持卡人數據的風險，並把有關風險降低，從而使年度PCI程序更為順利。報告顯示，企業只依賴PCI DSS作為指引，而非以風險為本的方案遵循PCI法規，因此不少企業正漠視高風險的保安威脅而有可能導致嚴重的後果。

5. PCI標準可對抗最常見的攻擊方法。惡意程式及黑客入侵是最普遍獲取持卡人數據的方法。多項重疊的PCI法規要求旨在協助企業對抗這些攻擊。