Verizon表示支付安全业务连续第二年出现倒退

Verizon的一份报告显示，美国的支付安全性已连续第二年恶化，因为只有五分之一的公司符合合规要求。

Verizon的2019年支付安全报告发现，完全遵守支付卡行业数据安全标准(PCIDSS)的全球范围从2018年的52.5%下降到全球的36.7%。2004年通过VISA启动了PCIDSS，并且该组织应在5年内得到遵守。依从性从2010年逐渐提高到2016年，然后开始下降。缺乏支付遵从性引发了大量的安全问题。

国家的国家行为者，越来越多的数据泄露背后的附属机构：网络犯罪和网络战争：一个监视者指南，指向那些想让你进入Windows 10的安全指南：如何保护你的业务

亚太地区的公司对PCI DSS标准的遵守率最高，在欧洲、中东和非洲的完全符合率为69.6%，达到48%。在美洲，只有20.4%的人完全符合PCI DSS标准。

部分问题是，遵从pci dss在很大程度上是为了在纸上显示控制，以保护数据和隐私，但合规程序往往会在现实世界的威胁下崩溃。

Verizon的报告基于302 PCIDSS与全球公司的合作。

Verizon安全保证咨询公司全球情报部门高级经理Ciske van Oosten说：

PCI DSS通过已有15年，但这是私营部门的努力。如果您不遵守PCIDSS，可以对服务提供商和商家进行处罚。执法是企业和合同之间的事务。如果你不顺从并且有违规行为，你将被追究责任。最终的后果是与金融网络脱节。

Verizon正在介绍其评估PCIDSS准备情况的框架，以及在正式评估之前获得合规验证的框架。vanOosten说，PCIDSS的遵从并不能保证一个组织不会遭受数据泄露，但它不太可能受到影响。

总的来说，PCIDSS标准有12个要求，分为6个领域，如建立和维护安全网络和系统、保护持卡人数据、维护漏洞管理程序、实施强有力的控制措施、定期监测和测试网络以及维护和信息安全政策。

就目前的要求而言，Verizon报告中的大多数公司都维护了防火墙，改变了供应商的默认情况，保护了持卡人的数据，防范了恶意软件的攻击，限制了对数据的访问和加密，但却陷入了安全管理和测试系统和流程的泥潭。

具体来说，需求11--测试安全系统和处理--是组织面临的最大问题。根据报告：

要求11在完全遵守情况下，在包装背面持续存在滞后。根据2017-2019年提交报告年份的最低法规遵从性排名，这一要求也具有最广泛的控制差距，这不仅意味着组织不遵守法规遵从性，而且还在更多的控制中失败。

因为这一要求可以帮助组织识别可能被利用的弱点，并导致违约，因此值得关注的是，遵从性没有得到改善。