打点I 's和Crossing the T 's:

网络时代如何保障数据安全

无穷无尽的信息

歌手和文化现象嘎嘎小姐说得最好,她打趣道:“信任就像一面镜子。”如果它坏了,你可以修复它,但你仍然可以在反射中看到裂缝。”

人们对他们选择交往的人非常信任。从他们的朋友和家人到他们日常做生意的公司,任何时候个人信息泄露都有一定程度的风险。

被告知一个令人尴尬的秘密的人会与他们认识的每个人分享吗?希望不是!但是他们给他们去吃午饭的餐厅的信用卡信息呢?他们与这个概念共享的信息,包括个人数据和信用卡号码,是否受到保护?

失去客户信任的风险是一个非常现实的问题,它会让企业陷入困境,损害它们的声誉,每次攻击都会让它们损失数百万美元。

根据IBM的数据泄露报告,平均每一次泄漏会给企业造成不到400万美元的损失,并且会影响2.5万多条记录的数据。

在餐饮行业,受到网络攻击的品牌包括Checkers和Rally ' s、Applebee ' s、Dunkin '和Panera Bread等重量级品牌,而这只是自2018年以来的事。不幸的是,尽管这些品牌的形象有些受损,但它们可以收拾残破,迅速继续前进,而对于较小的概念来说,损害可能会严重得多。

PCI DSS、PA-DSS和EMV是行业标准,SOC 1和SOC 2是审计和认证标准,旨在保护商家、客户和发行者在数据泄露或意外泄露信息的情况下,免受增加的风险和责任。这些不断发展的标准不仅包括客人和商家,也包括加工者和发行者。

利害关系是什么?

据《PCI Pal》报道,估计有44%的美国人说他们遇到过安全漏洞。此外,参与PCI Pal调查的约一半美国人表示,如果公司能定期进行审计,并增加验证系统,他们会感到更放心。

继Facebook、万豪(Marriott)和Equifax等几家大型安全漏洞之后,客户和行业都在密切关注合规结构,尽最大努力确保数据受到保护,不惜一切代价。

不幸的是,违约是一种常见的事件,客户非常重视。PCI Pal的数据显示,五分之四的美国消费者会根据他们对一家公司的信任程度改变他们的支出。近90%的美国消费者表示,他们不能相信自己的信息受到了公司的保护。对于不遵循EMV、PCI DSS、PA-DSS和SOC 1和2标准的企业来说,风险远远超过他们可能获得的好处。

当黑客窃取财务和个人信息时,企业并不只是交了罚款就可以脱身。他们不仅会因为罚款、处罚和法律费用而损失金钱,还会因为客户不相信他们的信息去了哪里,或者这些信息最终会落到谁的手里而损失未来的收入。

违约还可能损害公司的商誉,商誉本质上是与品牌名称、声誉、客户基础以及与员工和客户的关系相关的货币价值。虽然商誉的价值不容易定义,但它是在公司当前净值的基础上计算的。在受到攻击后,一个品牌的商誉可能会受到打击,降低其当前价值,并在一段时间内玷污其形象。

由于审计机构的严格审查,这些品牌可能还会面临更高的合规成本,失去接受银行卡支付的能力,甚至可能因为财务压力而完全倒闭。

不过,这是有道理的。假设你上次去你家附近的公园时被扒手了。最有可能的是,你在回那个公园之前会三思。当客户考虑他们与什么公司做生意时,它的工作原理是一样的。对一些人来说,他们可能要等上几个月才能回去,但对另一些人来说,缺乏安全和信任会让他们永远不会回去。

合规有几种形式,但都有保护客户数据的类似约定。有些是企业用来验证其控制(SOC 1和SOC 2)的外部审计实践,而其他的是确保数据始终安全(PA-DSS和PCI DSS)。支付卡自身也在认真对待数据保护问题,美国许多发卡机构在2015年底将EMV作为合规标准。

每一种类型的合规执行不同的功能,但当作为完整的网络安全举措的一部分组合时,所有这些合规都为运营商和客户提供了无与伦比的保护水平。

PA-DSS和PCI DSS:了解什么

PA-DSS,也被称为支付应用数据安全标准,PCI DSS,支付卡行业数据安全标准,是支付卡行业安全标准委员会制定的规则。虽然这两个缩写词看起来相似,但它们涵盖了支付过程的两个不同部分。

PA-DSS程序和遵从标准与应用程序相关,供应商必须确保他们的软件符合14项严格标准。这些要求包括:保护持卡人存储的数据、确保不保存验证码、进行适当的测试以防止漏洞的发生、确保持卡人数据永远不存储在连接互联网的服务器上,以及其他一些要求。员工培训和其他内部政策计划也属于PA-DSS的指导方针。

那么,一个申请是否有PA-DSS认证又有什么关系呢?达到并超过这些标准表明,一家企业遵守的标准比那些没有被指定的企业更严格。对于客户来说,这意味着他们可以选择与供应商和供应商软件合作,以保证他们的数据安全,并始终正确地处理他们的信用卡数据。

对于那些不熟悉PCI DSS的人来说,该标准是在21世纪初开发的,以帮助解决和打击网上发生的盗窃和欺诈案件。购物者渴望利用电子商务,但在线购物和支付也成为黑客和其他希望获取有价值信用卡信息的人的主要目标。

2004年12月,五大信用卡巨头,包括Visa、Mastercard、American Express、Discover Financial Services和JCB International,推出了PCI DSS的第一个版本,并开始要求商家遵守新标准。

PAR的发展总监Leonard Redles说:“PCI DSS是支付卡行业发布的数据安全和系统操作标准,因此是大型信用卡发行商。“当你处理信用卡时,它们基本上是一套安全系统措施和经营业务的方式,将你的数据被盗和信用卡号码被盗的风险降至最低。当你拿到认证的时候,你就同意了你将要做的很多技术上的事情。”

到2006年,PCI安全标准委员会成立,标准的定期更新已经出来了。就像谷歌不断更新算法以给用户最好的体验一样,PCI标准也得到了开发和改进,以确保所有客户在发生违约时都得到保护。目前,PCI DSS的最新版本是3.2.1版本,于2019年5月发布。PCI DSS是一个很难获得的认证,要求该公司建立各种自动化系统和编码实践,旨在控制其数据和系统的流量、存储和访问。

PAR的高级产品经理Christine Fuchs说:“我们通过Brink的实施指南提出了关于如何确保你有一个安全的商店环境,但拥有一个PCI安全的环境是商家的责任。”“通常情况下,如果客户购买POS系统,他们应该知道去PCI委员会网站并查找该供应商。当然,他们希望购买的是具有最新认证的POS系统。”

当一家公司在PCI DSS法规下接受审计时,几个领域将被密切审查,以确保数据从摇篮到坟墓都受到保护。这包括从处理、存储和传输持卡人信息的人员,到服务器、网络基础设施设备、数据中心、独立工作站和应用程序本身,以确定故障点可能出现的位置。

每当人们在支付设备上刷卡或刷卡时,就会传输大量客户数据。根据PCI SSC的规定,从个人的账号和支付卡上的身份信息,到磁条数据、个人识别码和其他信息,都需要处理这些信息的企业加以保护。

尽管PCI DSS在确保支付交易安全方面做了很多工作,但这只是这个过程中的几个接触点之一。即使处理和POS软件都经过认证,并经过全面测试,以满足严格的标准,商家可能也不会总是那么小心。如果发生数据泄露,那些无法跟上需求的人可能会面临一些问题。

福克斯说:“如果商家向我们报告违规行为,我们会遵循ISO(国际标准化组织)的程序,然后我们会与任何与违规行为有关的部门合作。”“如果商家举报违规,我们的法律团队会立即处理,他们会遵循相应的程序和程序。如果类似的事情发生,他们会从公司各个部门收集信息。”

当然,正如PAR的开发运营总监Leonard Redles所说,最好的公司可以通过保持合规来将自己和客户的损失降到最低。这些公司强调安全,并投入必要的时间和金钱,以保持他们的产品和程序的最新和密封的漏洞。

“当你在谈论POS时,这几乎是人们想要的核心原则。他们想要PA-DSS,即使应用程序没有信用卡信息。”他们想知道您的应用程序已被认证为POS应用程序。PCI DSS,这些标准不仅适用于信用卡,而且对你拥有的所有数据和整体系统安全都有好处。”

PCI和EMV:共同努力减少欺诈

虽然PCI合规归结为一堆旨在阻止你的数据落入窃贼手中的常识做法,但现在有另一种类型的保护,商家正在使用,以确保你的号码安全。

EMV是Europay、MasterCard和Visa的缩写,是一套涵盖支付卡数据的指导方针。如今,在大多数信用卡上,尤其是自2015年EMV标准实施以来,你很可能会看到芯片。芯片上有你的支付数据,每次用信用卡购物时,都会向发卡机构发送一条独特的信息。他们的想法是,这些独特的代码和验证措施,包括芯片和pin或芯片和签名技术,将使支付信息无用,如果它最终落入错误的人手中。

尽管PCI和EMV针对的是支付过程的两个不同领域,Fuchs说,一些商家采用EMV技术的速度很慢,主要是由于资金限制。

富克斯表示:“这在2015年成为一项强制要求,许多商家最初采用它的速度很慢,但现在它得到了更广泛的接受,正在成为一种标准。”“人们接受它很慢,因为它需要花钱;你必须为每家商店购买设备,这是有成本的。

对于那些采用缓慢的人来说,如果他们通过PCI审计,这意味着他们使用外部审计公司来审计他们的门店,他们的外部审计人员可能给了他们一个过渡到EMV解决方案的最后期限。”

虽然一开始投资EMV兼容解决方案的成本可能令人望而却步,但其成本可能比使用客户数据玩俄罗斯轮盘赌的成本低得多。根据CardFellow的说法,不合规的成本因发行商而异,但一些公司已经开始向没有emv功能的商家收费。更糟糕的是,在违规的情况下,即使商家遵守PCI标准,也不会降低不符合EMV标准的风险。

“如果他们的商店环境中有什么东西导致了入侵,那可能是他们的错,”Fuchs说。“但(符合EMV和PCI标准)将大大降低你承担责任的几率。目的是消除责任,这意味着我们提供的是消除责任。但如果他们的商店环境中有什么东西,比如他们的网络不安全,导致入侵发生,那就是他们的错。”

EMV的责任从发行者转移到商家,是为了推动更多商家采用芯片卡技术,这种技术自引入美国以来,已经成功地减少了银行卡欺诈。Visa在2018年3月宣布,在2015年12月至2017年12月期间,升级其读卡器以接受芯片交易的商户的伪造欺诈美元减少了76%。

我的SOC: SOC 1和SOC 2的情况

除了PA-DSS和PCI DSS外,还有服务组织控制(Service Organization Control,简称SOC)报告,公司应该有这些报告来记录其内部政策。SOC 1和SOC 2报告旨在记录企业的财务报告政策,但也可以用于处理收集敏感信息的其他领域,包括人力资源领域。

Redles说SOC审计对于公司来说是很重要的,因为它可以确保他们的运营免受任何类型的威胁。

雷德尔斯说:“第一类是对控制的验证,第二类是外部审计师通过审查系统数据、样本、政策和已经完成的实际事情对控制进行验证。”“它们只是不同类型的审计。您可以为您的公司政策获得几个不同级别的认证。您必须创建特定级别的策略来满足最低要求,然后您可以创建任何您想要的额外策略。它们证明,您拥有围绕其审计的核心原则的每个策略文档,您正在遵循您的流程,它们足以保护您拥有的数据并维护系统安全。”

通常,SOC 1报告包括内部控制和财务报告。另一方面,SOC 2涵盖了非金融控制,包括系统安全、隐私和敏感数据的安全。这两份报告都由美国注册会计师协会(AICPA)信托服务标准管理,该标准涵盖了从安全性、可用性到处理完整性、保密性和隐私的所有内容。

SOC 1和SOC 2报告都有Type 1和Type 2版本。在每种情况下,第1类报告都会在某个时间点查看公司的安全或财务流程。然而,第二类报告分析的是企业在至少六个月的时间跨度内的控制。更让人困惑的是,还有SOC 3报告,但它们包含的信息可能在SOC 2中找到,但使用的语言更容易让一般观众理解。

SOC报告共同努力,为客户提供一定程度的缓解,知道他们委托的公司正在适当地使用数据,并有正确的内部控制到位,以保护它和保持它的隐私。

“对于PAR,它证明了我们没有泄露数据,我们妥善保护了它,我们有所有正确的控制,旋转密码,旋转加密密钥,使用MFA连接所有远程系统,等等。它还确保我们有适当的安全程序,团队审查一切,自动化系统维护系统安全,以及员工监督。”

任何与快速发展的软件即服务(Software as a Service,简称SaaS)模式有关的公司都是SOC 2的首选,主要是因为它与软件安全直接相关。由于近年来SOC越来越受欢迎,将客户数据存储在云端的公司也需要与SOC 2兼容。

“SOC 1和SOC 2实际上只是证明你的组织有适当的程序和政策,并足够关心去创建它们,并投入一些努力去遵循它们,”雷德尔斯解释说。“所以,如果你不愿意做任何一件事,这在当今世界对任何一家赚钱并面向大客户销售的公司来说都是司空见惯的事,那你就会质疑他们在做什么。”

然而,尽管SOC 1和SOC 2审计和合规的成本,Redles相信这些业务获得的额外安全性和信任足以超过所需的工作。

“维护这些东西会减慢你的速度,但与此同时,安全并不是为了方便,”雷德尔斯说。“便捷的安全不是安全。”

并非所有的客户数据都是财务数据,但它仍然需要保护

关于公司如何保护你的财务和支付卡信息,我们已经谈了很多,但在互联网上流动的数据很可能比那些至关重要的16位数字还要多。数据是公司能得到的最有价值的资产之一,在很多情况下,我们非常乐意为他们提供数据,以换取我们想要的东西。

无论是你最喜欢的网上商店的85折优惠券,还是你必须得到的不容错过的白皮书,我们通常会很好地与我们信任的公司分享我们的个人信息。但是,一旦我们交出这些数据,会发生什么,已经成为越来越多法律的主题,这些法律旨在控制如何使用这些数据,以及谁可以访问这些数据。

不仅在美国开展业务,而且在世界各地开展业务的公司都在接受这样一个现实:它们收集的有价值的数据需要得到保护,同时又让消费者有权控制信息被收集后会发生什么。这种增加隐私的做法将更多的权力交还给了消费者,并增加了旨在防止他们的信息落入坏人手中的保护措施。

GDPR

如果你生活在欧盟,你可能会多次遇到这个由四个字母组成的首字母缩写词。《通用数据保护条例》(General Data Protection Regulation,简称GDPR)于2018年5月正式生效,通过规范在欧盟开展业务的公司收集客户数据的方式,同时让消费者在这一过程中获得更多透明度,从本质上把隐私和数据收集工作拖进了21世纪。

今天,当客户提供消费者数据来交换时事通讯、产品演示、优惠券、网络研讨会或其他任何东西时,需要进行几个步骤。最大的变化之一是,现在公司必须获得同意,使用清晰、简洁的语言。企业不再被允许用塞满法律术语的政策来迷惑消费者。相反,条件必须清晰简洁,允许消费者自由同意他们所做的事情。他们还需要在任何时候自由取回数据的权利;这就是被遗忘的权利。

GDPR的其他很酷的功能包括,消费者有权在任何时候要求访问他们的数据,纠正不准确的数据,完整任何不完整的个人数据,甚至如果他们选择与其他公司分享你收集的信息。

在处理客户数据方面,公司也被要求有很高的标准,要求它们总是有安全协议来保护这些数据。在出现数据泄露的情况下,GDPR也会支持消费者,要求企业在可能的情况下,在72小时内将问题通知客户和任何数据控制人员。如果公司拖拖拉拉,他们可能会面临巨额罚款。

虽然一些欧盟国家对违规公司采取了较为温和的罚款方式,但英国却开始了抨击。今年7月,英国信息专员办公室(ICO)发布了一份新闻稿,打算对英国航空公司(British Airways)罚款超过1.83亿英镑,原因是该公司在2018年秋季报告的一次违规行为。就在第二天,ICO发布了第二份声明,打算对万豪国际(Marriott International)处以略低于1亿英镑的罚款,理由是该公司违反了《全球分销条例》(GDPR)。尽管该政府机构表示,数据泄露可能发生在2014年,但这个问题直到2018年底才被报道。

像万豪国际(Marriott International)这样的情况有趣的地方在于,管理机构并没有把罚款严格限制在自己的范围内。相反,他们将与任何违反其标准的企业或实体进行斗争。对于目前未能遵守这些条件的公司来说,它们面临着一个非常现实的风险,即吸引那些看好不惜一切代价保护消费者数据的组织的注意。

CCPA

如果你认为欧盟是唯一一个推动更严格的数据安全法的政府实体,那你就大错特错了。我们不需要看得太远,因为加州将实施一套数据保护标准,直接与欧洲的标准相媲美。

《加州消费者隐私法案》遵循了《通用数据保护条例》的许多相同原则,但也有一些独特之处。CCPA根据国家法律评论》,2020年1月1日生效将使消费者知道他们的数据被收集,不管是被出售或向其他第三方公司披露,退出他们的销售数据和更容易起诉公司的数据泄露。

该法律还附带了12个月的追溯规定,这意味着如果消费者要求访问他们的个人信息,公司需要在他们要求的日期之前提供他们拥有的一整个日历年的所有数据。

虽然CCPA旨在保护加州居民免受公司滥用或丢失个人身份信息的影响,但该法律影响了全美各地的企业。根据该法律,任何年收入总额超过2500万美元的企业都属于该法律的管辖范围,向其他企业出售消费者信息的公司年收入超过一半也属于该法律的管辖范围。其他符合CCPA规则的企业包括那些收集个人信息的企业和加利福尼亚州的任何企业(包括数千家实体)。

CCPA有很多可移动的部分,但主要的想法是所有的数据都需要被保护,无论它来自哪里或被用于什么。尽管看起来很像欧盟的GDPR规则,CCPA确实提供了一些独特的保护,给加州的消费者更多的权利。与GDPR通常只涵盖消费者数据不同,CCPA更进一步,也保护了家庭数据。CCPA还允许消费者以任何理由要求删除数据。这与GDPR的指导方针有很大的不同,GDPR的指导方针只允许人们在符合六个特别列出的原因之一的情况下提出删除请求。

通过扩大规则,将消费者删除数据的任何理由纳入其中,它将把依赖于出售或与其他公司共享数据的大企业的权力,交还给那些直接受到这些行为影响的人。CCPA还通过减少与采取法律行动相关的繁文缛节,让消费者在对数据泄露和其他不当使用进行赔偿时更具约束力。

安全的未来

今天,科技公司仅仅说他们遵循了指导方针,而没有采取适当的行动来获得和维护他们的认证,这是不够的。尽管2018年的数据泄露数量较2017年有所下降,但包含个人身份信息(PII)的消费者记录数量增长了126%,达到4.46亿多条记录。

随着如此多的信息在互联网上自由流动,与那些以保护这些信息不受攻击而自豪的企业和供应商合作比以往任何时候都更加重要。无论是黑客攻击,未经授权的访问,还是粗心的员工造成的意外泄露,客户的数据都应该保密,不让潜在的攻击者掌握。

如果外国政府或黑客组织的威胁吓不倒你,想想这个;未来的各种威胁可能会变得更加复杂和巧妙。例如,攻击者可能会抓住人工智能,利用机器收集的大量数据来攻击网络漏洞,或者利用其音频/视频功能创建逼真的电子邮件来欺骗某人或与公众分享错误信息。

世界各地的政府组织都在关注数据是如何从消费者转移到企业的,并正在慢慢改变规则,以反映当前的情况。通过让人们更容易被遗忘,更容易获取个人数据,并确保一切都得到妥善保护,普通公民现在有了一定的保障,可以防止他们犯错。虽然这可能不会阻止所有违规行为的发生,但它确实增加了近年来缺乏的安全和问责水平。

公司还可以避免昂贵的罚款和罚款,并失去客户的信任。正如著名的发明家和政治家本杰明·富兰克林曾经宣称的那样:“一盎司的预防抵得上一磅的治疗。”所有这些认证都不便宜,而且所有认证的获取和维护都是耗时的,但由于一个代价高昂的错误而失去宝贵的客户信任,甚至可能失去收入的成本,对大多数公司来说是不值得冒的风险。

额外的资源:

https://www.plantemoran.com/explore-our-thinking/insight/2017/08/five-risks-for-pci-dss-non-compliance https://www.pcisecuritystandards.org/document_library

https://www.pcisecuritystandards.org/pci_security/why_security_matters

https://www.ibm.com/security/data-breach

https://www.fastcasual.com/blogs/is-your-restaurant-data-breach-proof/

https://www.forbes.com/sites/suzannerowankelleher/2019/04/04/the-latest-big-data-breach-should-make-you-rethink-how-you-pay-for-ever男/ # 280 c17bd4e4b

https://www.pcisecuritystandards.org/pci_security/why_security_matters

https://www.pcipal.com/wp-content/uploads/2019/09/This-is-The-World-PCI-Pal-ebook-DIGITAL-USA-v1.pdf

https://www.creditcards.com/credit-card-news/emv-faq-chip-cards-answers-1264.php

https://fattmerchant.com/blog/brief-history-emv-technology/ targetText = % 20第一% 20 ofemv % 20版,用% 20 pos % 20系统% 20 % 20身份验证。

https://securityintelligence.com/difference-pci-dss-pa-dss-payment-application-vendor-thinkappsec/

https://blog.truedigitalsecurity.com/blog/emv-vs-pci

更多信息请访问ParTech.com

票面价值的标志