由於新冠肺炎 (COVID-19) 的衝擊導致商業模式改變,中小型商店原來接受面對面交易的,紛紛移向線上電子商務的交易,因而產生信用卡資料安全保護的需求。 PCI SSC [1] 是五大信用卡組織組成的安全委員會,特別針對中小型商店提出一些信用卡資料安全保護的小祕訣提供大家參考 (8 Tips to Help Small Merchants Protect Payment Card Data During COVID-19)
網路犯罪分子利用支付卡環境的快速變化採取各種行動
從 2020 年三月起跟 Coronavirus 有關的攻擊增加了 475%,伴隨著疫情,惡意攻擊者藉由疫情的主題進行釣魚或木馬植入時有所聞。
依據 Bank of America 2019年的研究顯示 41% 的小型企業至少需要支付五萬美金以上才能從資料洩漏的事件中復原。[2]
29% 的消費者表示不繼續使用有資料洩漏事件的小型企業。[3]
因此,PCI SSC 提出以下八個資料安全保護的小秘訣 (中小型商店適用)
- 減少能發現卡資料的位置:
- 最佳防禦資料洩漏的方法就是完全不儲存卡資料。 由於疫情的關係,許多小商店接受「來店自取」或「電話付款」來因應疫情的管制,要記得紙筆寫下信用卡相關的資料,建議直接輸入信用卡交易的系統或終端以避免更多的地方可能出現卡號。
- 更多的資訊可以參考: https://blog.pcisecuritystandards.org/industry-guidance-on-accepting-telephone-payments-securely
- 適用強度較強的密碼 (通行碼):
- 使用預設及強度低的密碼是企業卡號洩漏的主要原因之一,有效的預防可以使用強度強的密碼並且定期更新。 小型商店洩漏資料的原因經常是因為便宜行事使用了強度低的密碼以及廠商預設密碼。
- 更多的資訊可以參考: https://blog.pcisecuritystandards.org/infographic-strong-passwords
- 保持軟體修補及最新:
- 惡意攻擊者通常會刻意尋找停止支援的軟體利用這些未更新的系統的漏洞來進行攻擊。 因此及時進行安全修補可以降低被攻破的風險。確保做到必要的安全變更的主要方法可以透過定期弱點掃描來發現安全問題。 PCI 組織核可的 外部弱點掃描廠商 – ASV (Approved Scanning Vendors)可以協助發現線上的支付系統、電商網站及相關系統是否有漏洞或錯誤的設定及如何因應,例如應該安裝那些修補程式等。 建議每季至少一次針對 ASV 漏洞掃描進行相關修補作業並確保你的軟體更新到最新狀態。
- 更多的資訊可以參考: https://blog.pcisecuritystandards.org/infographic-patching
- 使用高強度加密方式:
-
加密可以使信用卡資料在沒有金鑰下無法被讀取,在儲存或傳輸時受到保護。建議企業詢問刷卡機的供應商是否支援點對點加密 (Point-to-Point Encryption) ,如果是一個新的網站,必須先確認購物車使用正確的加密機制,例如 TLS v1.2 來保護客戶資料。
-
更多的資訊可以參考: https://www.pcisecuritystandards.org/document_library?document=ssl&hs
-
- 使用安全的遠端存取:
-
確保最小化被攻破的風險,企業知道委外的系統供應商如何及何時存取系統是相當重要的。 惡意攻擊者會透過利用遠端存取控制的弱點來取得對系統的存取權。因此需要限制遠端存取的功能且在不使用時停止該功能。如果開放遠端存取,必須要求系統供應商使用多因素認證及高強度的遠端存取帳號密碼,而且必須不同於該供應商使用於其他客戶的帳號密碼。
-
更多的資訊可以參考: https://blog.pcisecuritystandards.org/infographic-secure-remote-access
-
- 確保防火牆已有適當的配置設定:
-
硬體/軟體式防火牆主要做為網際網路與企業系統之間的保護屏障,防火牆可以將不允許、或未授權的存取阻擋在外,以保護內部的系統。儘管有些防火牆的設定看起來可能很複雜,但適當的配置對於整體安全來說是不可或缺的,如果需要進一步的支援,可以尋找供應商或網路相關專業人員來進行協助。
- 更多的資訊可以參考: https://blog.pcisecuritystandards.org/resource-for-small-merchants-firewall-basics
-
- 點擊連結前要三思而後行:
-
惡意攻擊者常使用網路釣魚或社交工程方式,透過看起來合法的 email 郵件或社交工具訊息來騙取使用者提供一些機密資料,如信用卡號碼、特約商店的帳號密碼等。小型特約商店對這類網路釣魚或社交工程等的攻擊,必須特別注意並提高警覺性。
- 更多的資訊可以參考: https://blog.pcisecuritystandards.org/beware-of-covid-19-online-scams-and-threats
-
- 選擇可信任的合作夥伴:
-
認識服務供應商是誰,並需要問他們相關安全的問題,是非常關鍵重要的。這個服務供應商是否有遵守 PCI DSS 的要求? 對於線上購物的特約商店 (和一些目前正準備開始使用線上購物平台來取代實體交易的單位) 來說,選擇的服務供應商,包括管理支付作業流程的服務供應商 (可能稱之為 Payment Service Provider,或 PSP),通過 PCI DSS 是非常重要的。
- 更多的資訊可以參考: https://www.pcisecuritystandards.org/pdfs/Small_Merchant_Questions_to_ Ask_Your_Vendors.pdf
-
文章資料原文:https://www.pcisecuritystandards.org/documents/PCI_COVID-19_Resource_Guide.pdf
[1] PCI SSC Payment Card Industry Security Standards Council https://www.pcisecuritystandards.org/
[2] https://nypost.com/2019/09/28/rise-in-data-breaches-wreaking-havoc-on-small-businesses-study/ according to Bank of America Merchant Services Third Annual Small Business Spotlight.
[3] 同上
作者簡介
Bryan Cheng
- Payment Card Industry Security, IT Security Management, Cloud Service Management
- 專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant
安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一個專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。
- PCI 安全認證: www.securevectors.com
- SecuCollab 合規安全代管服務: www.secucollab.com
- SecuCompliance 合規管理平台: www.secucompliance.com
你可能會喜歡看
【PCI DSS 過證懶人包】資安小白也能輕鬆達標
PCI DSS 認證的流程以及合規費用說明
2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?
PCI DSS 認證的流程以及合規費用說明
集團業務重整 公告
2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?
*如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com
我們會儘快回覆您的任何問題!