支付卡合規下降 數據外洩風險上升

• 

數碼轉型

全球零售和服務業，每天處理大量電子付款，有關支付卡欺詐活動，就愈來愈猖獗，尤其跨境詐欺，令金融機構、商戶和消費者遭受嚴重損失。

隨著個人數據保護嚴格，資料外洩可能面對大筆罸款。2004年，Visa 推出了支付卡產業資料安全標準（Payment Card Industry Data Security Standard，簡稱為PCI DSS），當時認為各地企業能五年內達致有效、可持續的合規程度。

15年過去後，全球達致和維持合規水平企業比例由去年《支付安全報告》，卻從52.5% 跌至36.7%新低。按區域劃分，亞太區企業維持合規能力較高，尚能保持完全合規企業數目達69.6%，歐洲、中東和非洲比例為48%，美洲則更僅有20.4%。

Verizon 公佈 2019年《支付安全報告》(Payment Security Report)，指出支付安全合規(Payment security compliance) 程度連續第二年下跌，當中美洲企業合規程度，落後於全球其他地區。

Verizon 資料外洩調查報告系列 (Data Breach Investigations Report series)顯示，PCI DSS幫助提供卡支付設施的企業，保護支付系統，避免持卡人資料外洩或被盜。當中企業合規程度，是按照達致和維持安全標準的能力衡量。

Verizon 環球安全顧問總裁 (Global Managing Director for Security Consulting) Rodolphe Simonetti稱：「合規程度於2010年至2016年間穩步上揚後，下跌趨勢令人憂慮，加上地區差異擴大。無法維持PCI DSS合規要求的企業，日漸增加，客戶付款資料的安全，構成直接影響。最新PCI DSS 4.0即將推出，企業應把握契機，反思如何執行和構建合規計畫。」

Verizon框架助支付安全

資料保護及合規的挑戰；不少企業認為可用一個標則，放諸四海皆凖，達致有效、可持續資料保護。然而，現實社會上的安全情況更有複雜。

Simonetti續稱：「許多公司花費不少時間和金錢，制定資料保護合規計畫，卻成效不彰。計畫表面可能看來不錯，卻無法經得起專業安全評估。資訊安全總監著眼於維持基本控制措施，非檢視資料保護是否有效。所以他們需要清晰指引，以便其成果可以加以量度和預測。」

合規表現框架效用

以往的《支付安全報告》中，Verizon已制定不少方法協助企業管理自身的資料保護合規計畫。Verizon將該等方法學，合併為「Verizon 9-5-4合規計畫表現框架」(Verizon 9-5-4 Compliance Program Performance Framework) 作為提高合規及流程完備程度的指引。

「Verizon 9-5-4合規計劃表現框架」幫助企業達致可重複、穩定並可預測的合規成果，針對影響管控效益和持續性的9個因素（包括環境控制、控制設計、風險控制、穩健控制、彈性控制、生命週期管理、表現管理、完備程度測量，以及自我評估），提供規畫、監察及匯報持續狀況及成效的指引。

框架涵蓋評估企業營運能力的5個制約因素（容量、能力、勝任力、承擔及溝通），以及四大保證範疇（個人問責、風險管理及合規團隊、內部審核，以及外部審核及監管機構）。

合規低下致資料外洩

《支付安全報告》報告亦包含 Verizon 威脅研究諮詢中心（Verizon Threat Research Advisory Center，簡稱 VTRAC）數據，顯示超過95%欠缺妥善資料控制措施的合規計畫，較大可能成網絡攻擊目標。

Simonetti總結稱：「多年來，我們討論過PCI DSS合規程度不足，與網上資料盜竊的密切因果關係。報告加入撰寫Verizon資料外洩調查報告系列VTRAC團隊所提供的數據，發現所有符合PCI DSS規定的企業，均不會涉及付款卡資料被盜的安全事故。」以上足以證明，PCI DSS有效防止數據外洩。

今年報告集中討論資料保護合規計畫表現的可見度、控制措施及完備程度，載列多類企業（包括來自逾60個國家《財富》雜誌500大企業及大型跨國企業）參與的302 PCI DSS調查結果。

評估由Verizon的PCI合資格安全評估人員，配合ControlScan、Foregenix、MegaplanIT、Schellman等第三方合資格安全評估機構負責

，2019年《支付安全報告》均以真實個案研究為基礎，特別注重金融服務業（佔50.7%）、資訊科技服務業（佔17.5%）、零售業（佔19.9%）、旅遊招待業（佔10.6%），涵蓋地區包括美洲（佔50.0%）、亞太區（佔20.0%），以及歐洲、中東和非洲（佔30.0%）。