隨著年底購物季的臨近，各路騙子也都排著隊地紛至沓來，讓人眼花繚亂，又到了商戶朋友們守護支付安全的時候了。據威瑞森(Verizon)年初發布的《支付卡行業數據安全標準》實施評估報告，很多商戶在以下五個方面都還存在著致命漏洞，需要引起足夠的重視?！?/P>

　　一、定期測試安全系統和流程

　　2013年，只有40%的公司完全符合此項要求。不過從積極的一面來看，與2012年的11%相比，已經有了大幅的提高。

　　馬薩諸塞州韋克菲爾德的支付卡行業安全標準委員會負責標準工作的總經理斯蒂芬·奧費(Stephen Orfei)說，“對于普遍缺少IT資源的中小商戶，還有許多的工作要做?！?/P>

　　現在越來越多的商戶都將這些安全需求轉給支付方案提供商進行解決，但奧費警告說，歸根結底對數據安全負責的還是商戶。不能因為你做了外包，就可以逃避責任。這意味著要與支付方案提供商跟進，以確保他們使用了正確的流程。

　　二、不使用支付方案提供商的默認密碼或安全參數

　　盡管此項要求看上去是一個顯而易見的安全措施，但也只有51%的公司完全符合。

　　據馬里蘭州哥倫比亞Tenable網絡安全公司支付卡行業安全專員杰夫曼(Jeff Man)說，問題的根源大概是因為舊的系統可能已經運行多年。大多數公司已經運作了一段時間，但還沒有豐富的安全項目經險，所以他們一直在努力趕上。但截止2012年，也才只有26%的組織完全符合。

　　三、跟蹤和監控所有入網資源和持卡人數據

　　只有60%的公司符合此項要求，但數量上差不多是上年的三倍。

　　奧費說：“我看到了一些非常積極的勢頭。至于改進的原因，應該和最近大量引人注目的數據泄露事件有關。如果在這些最新的數據泄露事件中看到一線希望的話，那就是得到了老總們關注?！?/P>

　　四、識別和驗證系統組件訪問

　　據威瑞森數據，62%的組織符合此項要求。

　　識別和驗證系統組件訪問，意味著對于關鍵數據，每個用戶都要有自己獨立的、可審計的權限，而且不允許賬戶共享。這也要求為密碼強度、雙重認證、嘗試登錄限制次數以及密碼保護機制設定標準。據威瑞森數據，76%的網絡入侵都涉及用戶憑證太弱或被盜。

　　比如在今年九月，就有報道說伊利諾斯州的三明治連鎖店吉米·約翰，被黑客通過使用從公司支付方案提供商那里竊取來的登錄名和密碼竊取了216家門店的支付數據。杰夫曼說，“看來支付方案提供商用來管理所有客戶的密碼是共用的?！?/P>

　　五、安裝和配置防火墻保護持卡人數據

　　盡管這看起來很顯然是所有公司都應該做的事情，然而卻只有64%的公司完全符合此項要求。

　　只在進行安全審計的時候開啟防火墻是遠遠不夠的，要讓它發揮作用，必須要保持全天候的運行狀態。據威瑞森數據，發生數據泄露的組織只有12.5%完全符合此項要求。雖然僅有防火墻本身對于保護公司的數據安全是不夠的，但如果連防火墻都沒有的話，那無異于家中門戶大開。

　　奧費表示，必須要持續關注數據安全，以及是否符合支付卡行業數據安全標準。這是必須要融進公司血液里的東西，每個人都必須虔誠對待。