近年來,全球企業組織發生安全漏洞的事件頻傳,顯然在客戶及供應商之間引發了一連串的效應。根據一些針對全球超過 1,400 位高階主管進行的年度調查,銷售額被大多數的高階主管視為優先要務,爾後依序為獲利能力與成本控管,而安全與隱私權課題亦持續被列為重點之一。
當今全球企業所遭受到的資訊安全威脅不論在數量或影響力皆持續成長,而意外事件數量同樣也呈等比級數增加。美國 CSI/FBI 2006 年度的電腦犯罪與安全調查顯示,超過半數的受訪者在前一年度曾遭遇未授權使用者入侵電腦系統的狀況,獨立巿場調查公司 Computer Economics 也估計,光是電腦病毒攻擊對全球財經造成的損失,就從 1996 年的 5 億美元激增到 2006 年的 142 億美元。
以實際的例子來看,美國去年中旬就曾發生超過四千萬筆信用卡資料遭竊的嚴重事件,這次的漏洞出現在為許多知名信用卡公司從事信用卡交易處理服務的 CardSystems Solutions, 該事件致使部分信用卡公司終止與 CardSystems Solutions 的合作關係。
同樣在 2005 年中旬,英國的國家基礎建設安全協調中心 (National Infrastructure Security Co-ordination Center) 發佈消息指出,超過 300 個政府機關及民間企業遭受 75 種不同的特洛伊木馬程式攻擊以竊取資訊。這些數據的確驚人,但它們的長期影響才是我們更需關注的焦點,因為任何安全缺口所造成的影響,會反映在客戶信心、品牌聲譽與巿場價值等評量指標,而這些正是拖垮整個企業組織的關鍵。
類似事件使信用卡公司聯合陣線,建立起業界的安全標準,如支付卡工業資料安全標準 (PCIDSS;Payment Card Industry Data Security Standard),早在於 2001年 Visa推出其持卡人資訊安全計劃 (Cardholder Information Security Programme,CISP) ,這是第一個要求零售商及服務提供者符合特定資料安全標準的計劃,而在最近,Visa、MasterCard、American Express、Discover、Diner’s Club 及 JCB 共同制定了一套更新、涵蓋範圍更廣的標準:PCI-DSS。這些公司要求所有管理、傳輸、處理或儲存支付卡資料的零售商或服務提供者必須在 2005 年 6 月 30 日前符合第一版 PCI 標準。
PCI 安全標準協會 (PCI Security Standards Council) 於 2006 年 9 月將 PCI 標準更新至 1.1 版。更新後的 PCI-DSS 標準將零售商必須遵守的特定要求擴增至 160 項,這些要求對資訊科技行業的許多不同層面造成影響。
最新的 PCI-DSS 要求顯然為資訊科技部門帶來新的挑戰,只有少數企業組織具備足夠的基礎結構與資源,得以迅速遵守這些規模宏大且範圍廣泛的要求。有份報告估計,今日有多達 20% 的零售商未遵守 PCI-DSS,而這些零售商每月可能須面對高達 2 萬 5 千美元的罰款。Visa 在 2006 年向零售商索取 460 萬美元的罰款,較 2005 年增加 35%。隨著新定期限的迫近及執行強制力的增加,無疑會有許多與 PCI-DSS 有關的迫切議題給資訊科技從業員很大的挑戰。
對於必須遵循這些法規的企業而言,安全解決方案就要兼具預防對策與改善作法,否則一旦無法負起法律規定的責任,就會面臨耗費鉅資的訴訟與賠償風險,尤其許多交易環境都牽涉到事業夥伴、客戶與供應商等外部對象的企業組織,更須跨越整體供應鏈,建立兼顧防禦與控管的安全技術架構。當然,可能面臨的罰款只不過是冰山一角,持卡人資料未受到安全保護可能會為零售商帶來龐大的風險與賠償責任,更重要是企業組織的誠信和聲譽可能?於一旦。
若要了解多些 PCIDSS,可瀏覽 https://www.pcisecuritystandards.org/
當今全球企業所遭受到的資訊安全威脅不論在數量或影響力皆持續成長,而意外事件數量同樣也呈等比級數增加。美國 CSI/FBI 2006 年度的電腦犯罪與安全調查顯示,超過半數的受訪者在前一年度曾遭遇未授權使用者入侵電腦系統的狀況,獨立巿場調查公司 Computer Economics 也估計,光是電腦病毒攻擊對全球財經造成的損失,就從 1996 年的 5 億美元激增到 2006 年的 142 億美元。
以實際的例子來看,美國去年中旬就曾發生超過四千萬筆信用卡資料遭竊的嚴重事件,這次的漏洞出現在為許多知名信用卡公司從事信用卡交易處理服務的 CardSystems Solutions, 該事件致使部分信用卡公司終止與 CardSystems Solutions 的合作關係。
同樣在 2005 年中旬,英國的國家基礎建設安全協調中心 (National Infrastructure Security Co-ordination Center) 發佈消息指出,超過 300 個政府機關及民間企業遭受 75 種不同的特洛伊木馬程式攻擊以竊取資訊。這些數據的確驚人,但它們的長期影響才是我們更需關注的焦點,因為任何安全缺口所造成的影響,會反映在客戶信心、品牌聲譽與巿場價值等評量指標,而這些正是拖垮整個企業組織的關鍵。
類似事件使信用卡公司聯合陣線,建立起業界的安全標準,如支付卡工業資料安全標準 (PCIDSS;Payment Card Industry Data Security Standard),早在於 2001年 Visa推出其持卡人資訊安全計劃 (Cardholder Information Security Programme,CISP) ,這是第一個要求零售商及服務提供者符合特定資料安全標準的計劃,而在最近,Visa、MasterCard、American Express、Discover、Diner’s Club 及 JCB 共同制定了一套更新、涵蓋範圍更廣的標準:PCI-DSS。這些公司要求所有管理、傳輸、處理或儲存支付卡資料的零售商或服務提供者必須在 2005 年 6 月 30 日前符合第一版 PCI 標準。
PCI 安全標準協會 (PCI Security Standards Council) 於 2006 年 9 月將 PCI 標準更新至 1.1 版。更新後的 PCI-DSS 標準將零售商必須遵守的特定要求擴增至 160 項,這些要求對資訊科技行業的許多不同層面造成影響。
最新的 PCI-DSS 要求顯然為資訊科技部門帶來新的挑戰,只有少數企業組織具備足夠的基礎結構與資源,得以迅速遵守這些規模宏大且範圍廣泛的要求。有份報告估計,今日有多達 20% 的零售商未遵守 PCI-DSS,而這些零售商每月可能須面對高達 2 萬 5 千美元的罰款。Visa 在 2006 年向零售商索取 460 萬美元的罰款,較 2005 年增加 35%。隨著新定期限的迫近及執行強制力的增加,無疑會有許多與 PCI-DSS 有關的迫切議題給資訊科技從業員很大的挑戰。
對於必須遵循這些法規的企業而言,安全解決方案就要兼具預防對策與改善作法,否則一旦無法負起法律規定的責任,就會面臨耗費鉅資的訴訟與賠償風險,尤其許多交易環境都牽涉到事業夥伴、客戶與供應商等外部對象的企業組織,更須跨越整體供應鏈,建立兼顧防禦與控管的安全技術架構。當然,可能面臨的罰款只不過是冰山一角,持卡人資料未受到安全保護可能會為零售商帶來龐大的風險與賠償責任,更重要是企業組織的誠信和聲譽可能?於一旦。
若要了解多些 PCIDSS,可瀏覽 https://www.pcisecuritystandards.org/
(刋登於資本一週) - 2008年4月19日
