浅谈支付卡行业信息安全

关注国际国内网络信息安全事件的人士都会发现:几乎每周都有媒体报道重大数据失窃的新闻。尽管有法律法规要求相关机构要及时准确披露相关黑客入侵等安全事件,但是我们有理由相信被媒体曝光的安全事件只是“冰山一角”,没有被公开暴露出来的数据泄露事件的数量大的惊人。

其实人人都可能成为网络犯罪份子入侵的对象,黑客们可能会窃取受害者的虚拟身份,诈骗份子们可能会滥用他人的虚拟身份来谋取非法利益或搞破坏。特别是在金融领域,支付卡被广泛应用,包括如有银联标识的借记卡和信用卡,以及大型零售业及电商发行的购物卡。由于获取这些卡的信息并加以适当的利用便可以快速变现得到真金白银,所以犯罪份子们不惜用尽一切恶劣手段,其中有很多让人防为胜防。

用户个人信息被非法买卖已经不是什么新闻,信息安全从业人员们已经不再喜欢理睬那些借广告推销之名、想拿小小诱惑来套取个人信息的来电。因为这一招“社会工程学”与职业黑客们的手段如出一辙。昆明亭长朗然科技有限公司的金融信息安全顾问James Dong称:在消费者遇到诸如帐户失窃等金融纠纷时,人们往往会袒护消费者。其实与其说相关法律对消费者的保护不够,让网络犯罪份子和不良金融机构钻了空子,反倒不如说消费者的维权意识薄弱,不了解相关的权益内容。

如果认为犯罪份子只会将眼光紧盯个人消费用户,那则是大错特错。在商业领域,关键性重要情报的价值往往是难以估量的,足以决定一家公司的生死存亡。特别是处理支付卡相关的行业,都面临着严重的安全威胁——犯罪份子可以在数分钟之类转走对公帐户中的巨额财产、内部的不良工作人员也能轻易复制客户的支付卡信息,包括磁条数据等身份识别信息,转而卖给犯罪团伙、竞争者或地下集团。

人们常说保护客户数据安全应该从数据搜集源头开始,的确,支付卡行业不应该搜集过多的客户信息,但具体到哪些能搜集,哪些不能呢?亭长朗然公司James说:跨国的大型金融机构有联合起来发布相关行业安全标准——PCI-DSS,支付卡行业数据安全标准,这个标准在不断更新之中,也有一些子标准。

支付卡行业,包括银行、发卡机关、支付网关、互联网金融、电商网站、实体门店或物流的终端收银设备POS机等等只要能接触到支付卡的,都会受到影响,也都应该熟悉这一标准,并积极证明对标准的遵循。

除了规范支付卡数据收集,存储和传输方面也有详细的规范。每一个负责任的支付卡行业业者都应该实施一些必要的信息安全控制措施,防范这些支付卡数据的失窃。同时,也应该建立健全适当的安全应急响应流程,及时监测和正确响应相关的支付卡安全事故。

不少通用的信息安全理念也是PCI-DSS对支付卡行业的要求,比如密码的安全性,定期审核帐户和权限等等。这些无疑需要全面而综合的专门用于PCI-DSS员工培训的安全意识教育课程。

昆明亭长朗然科技有限公司,引进了全球知名的PCI-DSS在线培训课程,通过帮助支付卡行业的业者获得更多的安全认知能力和行业资质,共建消费者的支付卡数据安全信心和市场消费积极性,进而促进客户的客户的满意度,也让客户的业务变得更加成功。欢迎和我们联系免费体验在线课件。

Similar Posts: