Verizon:支付安全合規程度創新低 全球不足四成企業達標

科技 16:30 2019/11/19

分享:

Verizon董事總裁Ashish Thapar認為,企業除了要保護好數據外,亦要選擇儲存什麼數據,而非一味追求數據的量。(程志遠攝)

美國電訊商Verizon發表2019年《支付安全報告》(Payment Security Report)指出,支付安全合規(Payment security compliance)連續第二年下跌。Verizon董事總裁Ashish Thapar認為,不少企業在符合安全標準後即較易鬆懈,未有時刻檢視和更新保安系統。

去年逾半企業達標 企業達標後易鬆懈

Visa於2004年推出支付卡產業資料安全標準(Payment Card Industry Data Security Standard,簡稱PCI DSS),不少人認為各地企業能於五年內達致有效並可持續的合規程度。

可是,Verizon連續8年發表的《支付安全報告》顯示,繼去年首次錄得支付安全標準合規數字下跌後,今年再次下跌。按區域劃分,亞太企業維持合規情況的能力較高,而美洲企業的合規程度則落後於全球其他企業,合規企業僅得20%。整體而言,現時全球能達致和維持合規水平的企業比例跌至36.7%的新低,遠低於去年《支付安全報告》的52.5%。

Thapar指出,亞太企業近年陸續開展不同的新業務,而設立或更新自身的支付系統時都循正確的方式。相反,不合規的企業都曾達標,卻未能長期維持。「不少曾經合規的企業在達到合規標準後,不足一年內即出現不達標情況,一不小心即有可能出現數據失竊等事件。」他續指,企業不應著眼於自己已做好什麼資料保護工作,而是應該按季度、按月甚至每日檢查或更新保安系統。

全體員工需參與 可藉AI輔助

被問到如何加強保護資料,Thapar認為除了做好預防措施外,企業亦需有多手準備,為不同情況制定應急方案。「企業必須時刻準備好被攻擊,寧願在天下太平時有應變方案放著,總好過被攻擊時竟然沒有措施可做。」他強調,這並不是資訊科技部門的責任,企業應由行政總裁等管理層主導,由上至下建立員工的保安意識和知識。他指,被黑客攻擊不一定是防衛系統不足,黑客很多時都是利用人為失誤攻入系統。

除了上述的工作外,Thapar建議企業宜重新思考,到底應該保存什麼數據,而非單單追求數據的量。「企業不單只是要為數據建立防火牆或單靠秘碼保護,儲存數據時亦需把數據加密,令黑客得物無所用。」他補充,近年有人工智能及機械學習等新技術興起,企業可藉這些技術處理日常的更新保安系統或檢查。可是,他重申,員工的正確意識總比系統或技術重要,不同的新技術應用都是輔助角色。

記者:楊匡然

緊貼財經時事新聞分析,讚好hket Facebook 專版