付款安全性：一年回顾

与以往一样，违规行为不仅限于中小型实体。 Facebook是四月份又一次丑闻的核心，有超过5.4亿条记录落入不法之手。

在线购物巨头亚马逊加入了令人担忧的综合名单，这些公司也未能保护客户数据，当时发现该公司偶然在其日本站点上发布了私人用户数据，金融家Capital One发现自己是受害者的受害者。特别是破坏性的黑客攻击，导致丢失1.06亿条敏感用户数据。

2019年要报告的大部分最大违规事件是由安全协议不完善引起的。

尽管一旦发生违规行为变得更加普遍和更具破坏性，似乎许多公司仍在采取某种宽松的方法来保护数据安全。似乎将重点放在勾选框上以显示良好的意图，而不是实际上采取严格和警惕的动作来确保数据安全。

符合PCI DSS

Verizon在其年度付款和安全报告中，发现了一些有趣的发现，说明企业如何应对不断出现的数据泄露威胁，以及企业在何处未能做出响应。

最值得注意的是，该报告发现，在达到合规性一年后，符合关键支付卡行业数据安全标准（PCI DSS）框架的企业数量从2017年的52.5％下跌至仅36.7％，达到了2013年以来的最低水平，尽管违规情况同比增加，但仍保持着可持续性下跌的趋势。

Verizon的报告表明，企业正在花费时间和金钱进行合规计划和计划，而这些计划和计划通常是无效的，无法经受专业审查。令人惊讶的是，尽管数据泄露和对不合规组织的影响明显增加，但仍有18％的公司没有明确的合规计划。

也许最有说服力的统计数据是所有合规企业的统计，有0％的人对其计划进行了优化；无可置疑地表明，即使拥有世界上最好的意愿，公司也发现将PCI DSS遵从性纳入其工作流程中很麻烦。

尽管只有36.7％的企业积极维护PCI DSS计划，但是在保护组织和客户方面，该框架还是非常有效的。 Verizon的调查结果表明，没有一家遭受违规的公司完全符合该标准明确定义的所有12条要求-甚至看似基本的要求也被抛在了一边。

调查（PFI）发现，未能充分遵守要求（要求组织安装和维护防火墙配置以保护持卡人数据）导致了显着的所有数据泄露事件的18.4％，即使这不是造成该事件的原因。违规，约49％的企业不合规。

查看《支付安全报告》中具体讨论的行业，在PCI DSS方面，财务仍然是表现最佳的部门，其合规率为39％，而招待费仅次于26.3％。

发现欧洲公司以48％的合规率领先于美国的同行，而整个大西洋仅20％。美国和欧洲组织都在与它们的亚太邻国进行比较。但是，发现这些合规率为69.6％。

这就提出了一个问题，为什么80％的美国公司在保持合规性方面存在此类问题？ Verizon报告强调指出，一旦公司达到最初的合规性，按照PCI DSS要求6和11不断进行更新，修补和测试，似乎会引起问题，导致合规性失败。也许，采用现代云策略可能是一个答案。消除了组织依赖于旧的，复杂的基础架构或陈旧的网络（这会造成合规性障碍）的需求。

数据泄露

在这一年中，发生了许多备受关注的数据泄露事件，影响了许多不同的组织。根据目前的估计，丢失的私人数据量约为1030万条个人记录，其中包括信用卡号，地址（电子邮件和家庭住址），银行信息以及更多可启动的记录。仅在2019年的前六个月，就有41亿条私人数据遭到泄露，但是虽然受影响的公司来自所有不同的贸易领域，但原因仍然相同。

在2019年报告的最大违规事件中，大多数是由于不良的安全协议，黑客和良好的老式人为错误造成的，尽管公司无法通过仔细的计划和理解完全消除这些风险因素，有能力减轻他们的负担。

分析人士预测，在未来几年中，网络犯罪分子将把精力中心化在连接智能设备的物联网（IoT）上，勒索软件的部署也有可能增长。除了其付款和安全报告之外，Verizon的数据泄露调查报告还显示，勒索软件事件占使用恶意软件事件的近24％，其获利能力以及所涉及的相对较低的风险意味着企业必须期望获得更多的收益。 2020年也是如此。

如前所述，不可能100％地保护企业免受攻击和其他数据泄露，但是通过确保符合行业标准，企业可以使自身及其客户免受伤害。

PCI Pal首席信息安全官（CISO）Geoff Forsyth