數碼轉型
全球零售和服務業,每天處理大量電子付款,有關支付卡欺詐活動,就愈來愈猖獗,尤其跨境詐欺,令金融機構、商戶和消費者遭受嚴重損失。
隨著個人數據保護嚴格,資料外洩可能面對大筆罸款。2004年,Visa 推出了支付卡產業資料安全標準(Payment Card Industry Data Security Standard,簡稱為PCI DSS),當時認為各地企業能五年內達致有效、可持續的合規程度。
15年過去後,全球達致和維持合規水平企業比例由去年《支付安全報告》,卻從52.5% 跌至36.7%新低。按區域劃分,亞太區企業維持合規能力較高,尚能保持完全合規企業數目達69.6%,歐洲、中東和非洲比例為48%,美洲則更僅有20.4%。
Verizon 公佈 2019年《支付安全報告》(Payment Security Report),指出支付安全合規(Payment security compliance) 程度連續第二年下跌,當中美洲企業合規程度,落後於全球其他地區。
Verizon 資料外洩調查報告系列 (Data Breach Investigations Report series)顯示,PCI DSS幫助提供卡支付設施的企業,保護支付系統,避免持卡人資料外洩或被盜。當中企業合規程度,是按照達致和維持安全標準的能力衡量。
Verizon 環球安全顧問總裁 (Global Managing Director for Security Consulting) Rodolphe Simonetti稱:「合規程度於2010年至2016年間穩步上揚後,下跌趨勢令人憂慮,加上地區差異擴大。無法維持PCI DSS合規要求的企業,日漸增加,客戶付款資料的安全,構成直接影響。最新PCI DSS 4.0即將推出,企業應把握契機,反思如何執行和構建合規計畫。」
Verizon框架助支付安全
資料保護及合規的挑戰;不少企業認為可用一個標則,放諸四海皆凖,達致有效、可持續資料保護。然而,現實社會上的安全情況更有複雜。
Simonetti續稱:「許多公司花費不少時間和金錢,制定資料保護合規計畫,卻成效不彰。計畫表面可能看來不錯,卻無法經得起專業安全評估。資訊安全總監著眼於維持基本控制措施,非檢視資料保護是否有效。所以他們需要清晰指引,以便其成果可以加以量度和預測。」
合規表現框架效用
以往的《支付安全報告》中,Verizon已制定不少方法協助企業管理自身的資料保護合規計畫。Verizon將該等方法學,合併為「Verizon 9-5-4合規計畫表現框架」(Verizon 9-5-4 Compliance Program Performance Framework) 作為提高合規及流程完備程度的指引。
「Verizon 9-5-4合規計劃表現框架」幫助企業達致可重複、穩定並可預測的合規成果,針對影響管控效益和持續性的9個因素(包括環境控制、控制設計、風險控制、穩健控制、彈性控制、生命週期管理、表現管理、完備程度測量,以及自我評估),提供規畫、監察及匯報持續狀況及成效的指引。
框架涵蓋評估企業營運能力的5個制約因素(容量、能力、勝任力、承擔及溝通),以及四大保證範疇(個人問責、風險管理及合規團隊、內部審核,以及外部審核及監管機構)。
合規低下致資料外洩
《支付安全報告》報告亦包含 Verizon 威脅研究諮詢中心(Verizon Threat Research Advisory Center,簡稱 VTRAC)數據,顯示超過95%欠缺妥善資料控制措施的合規計畫,較大可能成網絡攻擊目標。
Simonetti總結稱:「多年來,我們討論過PCI DSS合規程度不足,與網上資料盜竊的密切因果關係。報告加入撰寫Verizon資料外洩調查報告系列VTRAC團隊所提供的數據,發現所有符合PCI DSS規定的企業,均不會涉及付款卡資料被盜的安全事故。」以上足以證明,PCI DSS有效防止數據外洩。
今年報告集中討論資料保護合規計畫表現的可見度、控制措施及完備程度,載列多類企業(包括來自逾60個國家《財富》雜誌500大企業及大型跨國企業)參與的302 PCI DSS調查結果。
評估由Verizon的PCI合資格安全評估人員,配合ControlScan、Foregenix、MegaplanIT、Schellman等第三方合資格安全評估機構負責
,2019年《支付安全報告》均以真實個案研究為基礎,特別注重金融服務業(佔50.7%)、資訊科技服務業(佔17.5%)、零售業(佔19.9%)、旅遊招待業(佔10.6%),涵蓋地區包括美洲(佔50.0%)、亞太區(佔20.0%),以及歐洲、中東和非洲(佔30.0%)。