八大秘诀让中小企业在疫情中保护信用卡资料

Share on social media

Categories : 新闻

由于新冠肺炎 (COVID-19) 的冲击导致商业模式改变，中小型商店原来接受面对面交易的，纷纷移向线上电子商务的交易，因而产生信用卡资料安全保护的需求。PCI SSC [1] 是五大信用卡组织组成的安全委员会，特别针对中小型商店提出一些信用卡资料安全保护的小秘诀提供大家参考 (8 Tips to Help Small Merchants Protect Payment Card Data During COVID-19)

网络犯罪分子利用支付卡环境的快速变化采取各种行动

从 2020 年三月起跟 Coronavirus 有关的攻击增加了 475%，伴随着疫情，恶意攻击者藉由疫情的主题进行钓鱼或木马植入时有所闻。

依据 Bank of America 2019 年的研究显示 41% 的小型企业至少需要支付五万美金以上才能从资料泄漏的事件中复原。[2]

29% 的消费者表示不继续使用有资料泄漏事件的小型企业。[3]

因此，PCI SSC 提出以下八个资料安全保护的小秘诀 (中小型商店适用）

减少能发现卡资料的位置：
- 最佳防御资料泄漏的方法就是完全不储存卡资料。由于疫情的关系，许多小商店接受「来店自取」或「电话付款」来因应疫情的管制，要记得纸笔写下信用卡相关的资料，建议直接输入信用卡交易的系统或终端以避免更多的地方可能出现卡号。
- 更多的资讯可以参考: https://blog.pcisecuritystandards.org/industry-guidance-on-accepting-telephone-payments-securely
适用强度较强的密码 (通行码)：
- 使用预设及强度低的密码是企业卡号泄漏的主要原因之一，有效的预防可以使用强度强的密码并且定期更新。小型商店泄漏资料的原因经常是因为便宜行事使用了强度低的密码以及厂商预设密码。
- 更多的资讯可以参考: https://blog.pcisecuritystandards.org/infographic-strong-passwords
保持软体修补及最新：
- 恶意攻击者通常会刻意寻找停止支援的软体利用这些未更新的系统的漏洞来进行攻击。因此及时进行安全修补可以降低被攻破的风险。确保做到必要的安全变更的主要方法可以透过定期弱点扫描来发现安全问题。 PCI 组织核可的外部弱点扫描厂商 – ASV (Approved Scanning Vendors) 可以协助发现线上的支付系统、电商网站及相关系统是否有漏洞或错误的设定及如何因应，例如应该安装那些修补程式等。建议每季至少一次针对 ASV 漏洞扫描进行相关修补作业并确保你的软体更新到最新状态。
- 更多的资讯可以参考: https://blog.pcisecuritystandards.org/infographic-patching
使用高强度加密方式：
- 加密可以使信用卡资料在没有金钥下无法被读取，在储存或传输时受到保护。建议企业询问刷卡机的供应商是否支援点对点加密 (Point-to-Point Encryption) ，如果是一个新的网站，必须先确认购物车使用正确的加密机制，例如 TLS v1.2 来保护客户资料。
- 更多的资讯可以参考: https://www.pcisecuritystandards.org/document_library?document=ssl&hs
使用安全的远端存取：
- 确保最小化被攻破的风险，企业知道委外的系统供应商如何及何时存取系统是相当重要的。恶意攻击者会透过利用远端存取控制的弱点来取得对系统的存取权。因此需要限制远端存取的功能且在不使用时停止该功能。如果开放远端存取，必须要求系统供应商使用多因素认证及高强度的远端存取帐号密码，而且必须不同于该供应商使用于其他客户的帐号密码。
- 更多的资讯可以参考: https://blog.pcisecuritystandards.org/infographic-secure-remote-access
确保防火墙已有适当的配置设定：
- 硬体/软体式防火墙主要做为网际网路与企业系统之间的保护屏障，防火墙可以将不允许、或未授权的存取阻挡在外，以保护内部的系统。尽管有些防火墙的设定看起来可能很复杂，但适当的配置对于整体安全来说是不可或缺的，如果需要进一步的支援，可以寻找供应商或网路相关专业人员来进行协助。
- 更多的资讯可以参考: https://blog.pcisecuritystandards.org/resource-for-small-merchants-firewall-basics
点击连结前要三思而后行：
- 恶意攻击者常使用网路钓鱼或社交工程方式，透过看起来合法的 email 邮件或社交工具讯息来骗取使用者提供一些机密资料，如信用卡号码、特约商店的帐号密码等。小型特约商店对这类网路钓鱼或社交工程等的攻击，必须特别注意并提高警觉性。
- 更多的资讯可以参考: https://blog.pcisecuritystandards.org/beware-of-covid-19-online-scams-and-threats
选择可信任的合作伙伴：
- 认识服务供应商是谁，并需要问他们相关安全的问题，是非常关键重要的。这个服务供应商是否有遵守 PCI DSS 的要求? 对于线上购物的特约商店 (和一些目前正准备开始使用线上购物平台来取代实体交易的单位) 来说，选择的服务供应商，包括管理支付作业流程的服务供应商 (可能称之为 Payment Service Provider，或 PSP)，通过 PCI DSS 是非常重要的。
- 更多的资讯可以参考: https://www.pcisecuritystandards.org/pdfs/Small_Merchant_Questions_to_ Ask_Your_Vendors.pdf

文章资料原文：https://www.pcisecuritystandards.org/documents/PCI_COVID-19_Resource_Guide.pdf

[1] PCI SSC Payment Card Industry Security Standards Council https://www.pcisecuritystandards.org/

[2] https://nypost.com/2019/09/28/rise-in-data-breaches-wreaking-havoc-on-small-businesses-study/ according to Bank of America Merchant Services Third Annual Small Business Spotlight.

[3] 同上

作者简介

Bryan Cheng

安律信息技术公司 PCI 资深合规 QSA 与顾问 - PCI QSA and Senior Consultant

Payment Card Industry Security, IT Security Management, Cloud Service Management
专业认证：PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

安律信息技术有限公司 Secure Vectors Information Technologies Inc.

安律信息技术有限公司，Secure Vectors Information Technologies Inc., 是一个专门从事支付产业安全管理服务的公司，包含技术检测、顾问咨询以即合规审查服务。我们的服务范围包括 PCI DSS 、PCI 3DS、PCI PIN Security 支付等卡产业安全标准并提供个人资料保护及 GDPR 适法性查检与顾问服务。

安律信息技术在美国、中国、新加坡、越南、台湾等地提供服务资料点，提供完整的服务。与合规相关的产品提供认证服务（合规审查）、合规安全代管以及合规管理平台等服务。