Posts

因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

八大秘诀让中小企业在疫情中保护信用卡资料

由于新冠肺炎 (COVID-19) 的冲击导致商业模式改变,中小型商店原来接受面对面交易的,纷纷移向线上电子商务的交易,因而产生信用卡资料安全保护的需求。PCI SSC [1] 是五大信用卡组织组成的安全委员会,特别针对中小型商店提出一些信用卡资料安全保护的小秘诀提供大家参考 (8 Tips to Help Small Merchants Protect Payment Card Data During COVID-19)

 

网络犯罪分子利用支付卡环境的快速变化采取各种行动

攻擊增加了 475%

小型企業需要支付五萬美金以上才能從資料洩漏的事件中復原

29% 的消費者表示不會在繼續使用有資料洩漏事件的小型企業

从 2020 年三月起跟 Coronavirus 有关的攻击增加了 475%,伴随着疫情,恶意攻击者藉由疫情的主题进行钓鱼或木马植入时有所闻。

依据 Bank of America 2019 年的研究显示 41% 的小型企业至少需要支付五万美金以上才能从资料泄漏的事件中复原。[2]

29% 的消费者表示不继续使用有资料泄漏事件的小型企业[3]

 

 

 

因此,PCI SSC 提出以下八个资料安全保护的小秘诀 (中小型商店适用)

  1. 减少能发现卡资料的位置:
  2. 适用强度较强的密码 (通行码):
    • 使用预设及强度低的密码是企业卡号泄漏的主要原因之一,有效的预防可以使用强度强的密码并且定期更新。小型商店泄漏资料的原因经常是因为便宜行事使用了强度低的密码以及厂商预设密码。
    • 更多的资讯可以参考: https://blog.pcisecuritystandards.org/infographic-strong-passwords
  3. 保持软体修补及最新:
    • 恶意攻击者通常会刻意寻找停止支援的软体利用这些未更新的系统的漏洞来进行攻击。因此及时进行安全修补可以降低被攻破的风险。确保做到必要的安全变更的主要方法可以透过定期弱点扫描来发现安全问题。 PCI 组织核可的 外部弱点扫描厂商 – ASV (Approved Scanning Vendors) 可以协助发现线上的支付系统、电商网站及相关系统是否有漏洞或错误的设定及如何因应,例如应该安装那些修补程式等。建议每季至少一次针对 ASV 漏洞扫描进行相关修补作业并确保你的软体更新到最新状态。
    • 更多的资讯可以参考: https://blog.pcisecuritystandards.org/infographic-patching
  4. 使用高强度加密方式:
    • 加密可以使信用卡资料在没有金钥下无法被读取,在储存或传输时受到保护。建议企业询问刷卡机的供应商是否支援点对点加密 (Point-to-Point Encryption) ,如果是一个新的网站,必须先确认购物车使用正确的加密机制,例如 TLS v1.2 来保护客户资料。
    • 更多的资讯可以参考: https://www.pcisecuritystandards.org/document_library?document=ssl&hs
  5. 使用安全的远端存取:
    • 确保最小化被攻破的风险,企业知道委外的系统供应商如何及何时存取系统是相当重要的。恶意攻击者会透过利用远端存取控制的弱点来取得对系统的存取权。因此需要限制远端存取的功能且在不使用时停止该功能。如果开放远端存取,必须要求系统供应商使用多因素认证及高强度的远端存取帐号密码,而且必须不同于该供应商使用于其他客户的帐号密码。
    • 更多的资讯可以参考: https://blog.pcisecuritystandards.org/infographic-secure-remote-access
  6. 确保防火墙已有适当的配置设定:
    • 硬体/软体式防火墙主要做为网际网路与企业系统之间的保护屏障,防火墙可以将不允许、或未授权的存取阻挡在外,以保护内部的系统。尽管有些防火墙的设定看起来可能很复杂,但适当的配置对于整体安全来说是不可或缺的,如果需要进一步的支援,可以寻找供应商或网路相关专业人员来进行协助。
    • 更多的资讯可以参考: https://blog.pcisecuritystandards.org/resource-for-small-merchants-firewall-basics
  7. 点击连结前要三思而后行:
    • 恶意攻击者常使用网路钓鱼或社交工程方式,透过看起来合法的 email 邮件或社交工具讯息来骗取使用者提供一些机密资料,如信用卡号码、特约商店的帐号密码等。小型特约商店对这类网路钓鱼或社交工程等的攻击,必须特别注意并提高警觉性。
    • 更多的资讯可以参考: https://blog.pcisecuritystandards.org/beware-of-covid-19-online-scams-and-threats
  8. 选择可信任的合作伙伴:
    • 认识服务供应商是谁,并需要问他们相关安全的问题,是非常关键重要的。这个服务供应商是否有遵守 PCI DSS 的要求? 对于线上购物的特约商店 (和一些目前正准备开始使用线上购物平台来取代实体交易的单位) 来说,选择的服务供应商,包括管理支付作业流程的服务供应商 (可能称之为 Payment Service Provider,或 PSP),通过 PCI DSS 是非常重要的。
    • 更多的资讯可以参考: https://www.pcisecuritystandards.org/pdfs/Small_Merchant_Questions_to_ Ask_Your_Vendors.pdf

文章资料原文:https://www.pcisecuritystandards.org/documents/PCI_COVID-19_Resource_Guide.pdf

[1] PCI SSC Payment Card Industry Security Standards Council https://www.pcisecuritystandards.org/

[2] https://nypost.com/2019/09/28/rise-in-data-breaches-wreaking-havoc-on-small-businesses-study/ according to Bank of America Merchant Services Third Annual Small Business Spotlight.

[3] 同上


作者简介

Bryan Cheng

安律信息技术公司 PCI 资深合规 QSA 与 顾问 - PCI QSA and Senior Consultant
  • Payment Card Industry Security, IT Security Management, Cloud Service Management
  • 专业认证:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

安律信息技术有限公司  Secure Vectors Information Technologies Inc.

安律信息技术有限公司,Secure Vectors Information Technologies Inc., 是一个专门从事支付产业安全管理服务的公司,包含技术检测、顾问咨询以即合规审查服务。我们的服务范围包括 PCI DSS 、PCI 3DS、PCI PIN Security 支付等卡产业安全标准并提供个人资料保护及 GDPR 适法性查检与顾问服务。

安律信息技术在美国、中国、新加坡、越南、台湾等地提供服务资料点,提供完整的服务。与合规相关的产品提供认证服务(合规审查)、合规安全代管以及合规管理 平台等服务。


你可能会喜欢看

【PCI DSS】 如何达成 PCI DSS v4.0 条文中 12.4.2 针对服务供货商的额外要求?

/
服务供货商 (Service Providers) 每季需依据 PCI DSS…

即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞

Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞…
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

八大秘诀让中小企业在疫情中保护信用卡资料

由于新冠肺炎 (COVID-19) 的冲击导致商业模式改变,中小型商店原来接受面对面交易的,纷纷移向线上电子商务的交易,因而产生信用卡资料安全保护的需求。PCI…
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

智能型手机被盗刷,mPOS的安全性?

『 智能型手机被盗刷!!! 』 规模较小的公司与商店都开始设计及导入mPOS这类型的装置,请大家要多加留意安全性。 企业安全解决方案供货商Positive Technologies研究人员发现一个影响全球支付服务的安全漏洞, 黑心商家或者是黑客有机会在顾客藉由mPOS载具进行消费时,入侵其消费者的账户或是窃取信用卡相关信息, 较进阶一点的方式,黑客还可以修改客户支付卡的金额,另外还能强迫消费者使用其他种方式来做付款,POS 机的厂商真的要注意!
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

支付卡营运标准的安全管理层次与精神

大部分初接觸 PCI DSS 支付卡產業資料安全標準的朋友們,在閱讀標準的過程中,很大一部份的思維會落入 "這個標準只看技術實施和落實” 這樣的情境。原因無他,PCI DSS 的第一個 Requirement 就是網路基礎建設的安全管控機制 (如下圖)。
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

Reddit 遭骇了,Two Factor 被破解!

由於長期以來駭客攻擊或資料洩漏的原因,過半是透過釣魚、竊取自其他來源先取得 Credential 後,才攻入目標的網站或主機,因此過去我們都稱 Two Factor Authentication 應該是防禦駭客最便宜的解決方案, 在以信用卡交易安全為標的的 PCI DSS 標準中...
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

* 如想了解更多合规服务,请您与我们联系 service@securevectors.com 我们会尽快回覆您的任何问题!

与我们联系

因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

八大秘诀让中小企业在疫情中保护信用卡资料

由于新冠肺炎 (COVID-19) 的冲击导致商业模式改变,中小型商店原来接受面对面交易的,纷纷移向线上电子商务的交易,因而产生信用卡资料安全保护的需求。PCI SSC [1] 是五大信用卡组织组成的安全委员会,特别针对中小型商店提出一些信用卡资料安全保护的小秘诀提供大家参考 (8 Tips to Help Small Merchants Protect Payment Card Data During COVID-19)

 

网络犯罪分子利用支付卡环境的快速变化采取各种行动

攻擊增加了 475%

小型企業需要支付五萬美金以上才能從資料洩漏的事件中復原

29% 的消費者表示不會在繼續使用有資料洩漏事件的小型企業

从 2020 年三月起跟 Coronavirus 有关的攻击增加了 475%,伴随着疫情,恶意攻击者藉由疫情的主题进行钓鱼或木马植入时有所闻。

依据 Bank of America 2019 年的研究显示 41% 的小型企业至少需要支付五万美金以上才能从资料泄漏的事件中复原。[2]

29% 的消费者表示不继续使用有资料泄漏事件的小型企业[3]

 

 

 

因此,PCI SSC 提出以下八个资料安全保护的小秘诀 (中小型商店适用)

  1. 减少能发现卡资料的位置:
  2. 适用强度较强的密码 (通行码):
    • 使用预设及强度低的密码是企业卡号泄漏的主要原因之一,有效的预防可以使用强度强的密码并且定期更新。小型商店泄漏资料的原因经常是因为便宜行事使用了强度低的密码以及厂商预设密码。
    • 更多的资讯可以参考: https://blog.pcisecuritystandards.org/infographic-strong-passwords
  3. 保持软体修补及最新:
    • 恶意攻击者通常会刻意寻找停止支援的软体利用这些未更新的系统的漏洞来进行攻击。因此及时进行安全修补可以降低被攻破的风险。确保做到必要的安全变更的主要方法可以透过定期弱点扫描来发现安全问题。 PCI 组织核可的 外部弱点扫描厂商 – ASV (Approved Scanning Vendors) 可以协助发现线上的支付系统、电商网站及相关系统是否有漏洞或错误的设定及如何因应,例如应该安装那些修补程式等。建议每季至少一次针对 ASV 漏洞扫描进行相关修补作业并确保你的软体更新到最新状态。
    • 更多的资讯可以参考: https://blog.pcisecuritystandards.org/infographic-patching
  4. 使用高强度加密方式:
    • 加密可以使信用卡资料在没有金钥下无法被读取,在储存或传输时受到保护。建议企业询问刷卡机的供应商是否支援点对点加密 (Point-to-Point Encryption) ,如果是一个新的网站,必须先确认购物车使用正确的加密机制,例如 TLS v1.2 来保护客户资料。
    • 更多的资讯可以参考: https://www.pcisecuritystandards.org/document_library?document=ssl&hs
  5. 使用安全的远端存取:
    • 确保最小化被攻破的风险,企业知道委外的系统供应商如何及何时存取系统是相当重要的。恶意攻击者会透过利用远端存取控制的弱点来取得对系统的存取权。因此需要限制远端存取的功能且在不使用时停止该功能。如果开放远端存取,必须要求系统供应商使用多因素认证及高强度的远端存取帐号密码,而且必须不同于该供应商使用于其他客户的帐号密码。
    • 更多的资讯可以参考: https://blog.pcisecuritystandards.org/infographic-secure-remote-access
  6. 确保防火墙已有适当的配置设定:
    • 硬体/软体式防火墙主要做为网际网路与企业系统之间的保护屏障,防火墙可以将不允许、或未授权的存取阻挡在外,以保护内部的系统。尽管有些防火墙的设定看起来可能很复杂,但适当的配置对于整体安全来说是不可或缺的,如果需要进一步的支援,可以寻找供应商或网路相关专业人员来进行协助。
    • 更多的资讯可以参考: https://blog.pcisecuritystandards.org/resource-for-small-merchants-firewall-basics
  7. 点击连结前要三思而后行:
    • 恶意攻击者常使用网路钓鱼或社交工程方式,透过看起来合法的 email 邮件或社交工具讯息来骗取使用者提供一些机密资料,如信用卡号码、特约商店的帐号密码等。小型特约商店对这类网路钓鱼或社交工程等的攻击,必须特别注意并提高警觉性。
    • 更多的资讯可以参考: https://blog.pcisecuritystandards.org/beware-of-covid-19-online-scams-and-threats
  8. 选择可信任的合作伙伴:
    • 认识服务供应商是谁,并需要问他们相关安全的问题,是非常关键重要的。这个服务供应商是否有遵守 PCI DSS 的要求? 对于线上购物的特约商店 (和一些目前正准备开始使用线上购物平台来取代实体交易的单位) 来说,选择的服务供应商,包括管理支付作业流程的服务供应商 (可能称之为 Payment Service Provider,或 PSP),通过 PCI DSS 是非常重要的。
    • 更多的资讯可以参考: https://www.pcisecuritystandards.org/pdfs/Small_Merchant_Questions_to_ Ask_Your_Vendors.pdf

文章资料原文:https://www.pcisecuritystandards.org/documents/PCI_COVID-19_Resource_Guide.pdf

[1] PCI SSC Payment Card Industry Security Standards Council https://www.pcisecuritystandards.org/

[2] https://nypost.com/2019/09/28/rise-in-data-breaches-wreaking-havoc-on-small-businesses-study/ according to Bank of America Merchant Services Third Annual Small Business Spotlight.

[3] 同上


作者简介

Bryan Cheng

安律信息技术公司 PCI 资深合规 QSA 与 顾问 - PCI QSA and Senior Consultant
  • Payment Card Industry Security, IT Security Management, Cloud Service Management
  • 专业认证:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

安律信息技术有限公司  Secure Vectors Information Technologies Inc.

安律信息技术有限公司,Secure Vectors Information Technologies Inc., 是一个专门从事支付产业安全管理服务的公司,包含技术检测、顾问咨询以即合规审查服务。我们的服务范围包括 PCI DSS 、PCI 3DS、PCI PIN Security 支付等卡产业安全标准并提供个人资料保护及 GDPR 适法性查检与顾问服务。

安律信息技术在美国、中国、新加坡、越南、台湾等地提供服务资料点,提供完整的服务。与合规相关的产品提供认证服务(合规审查)、合规安全代管以及合规管理 平台等服务。


你可能会喜欢看

【PCI DSS】 如何达成 PCI DSS v4.0 条文中 12.4.2 针对服务供货商的额外要求?

/
服务供货商 (Service Providers) 每季需依据 PCI DSS…

即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞

Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞…
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

八大秘诀让中小企业在疫情中保护信用卡资料

由于新冠肺炎 (COVID-19) 的冲击导致商业模式改变,中小型商店原来接受面对面交易的,纷纷移向线上电子商务的交易,因而产生信用卡资料安全保护的需求。PCI…
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

智能型手机被盗刷,mPOS的安全性?

『 智能型手机被盗刷!!! 』 规模较小的公司与商店都开始设计及导入mPOS这类型的装置,请大家要多加留意安全性。 企业安全解决方案供货商Positive Technologies研究人员发现一个影响全球支付服务的安全漏洞, 黑心商家或者是黑客有机会在顾客藉由mPOS载具进行消费时,入侵其消费者的账户或是窃取信用卡相关信息, 较进阶一点的方式,黑客还可以修改客户支付卡的金额,另外还能强迫消费者使用其他种方式来做付款,POS 机的厂商真的要注意!
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

支付卡营运标准的安全管理层次与精神

大部分初接觸 PCI DSS 支付卡產業資料安全標準的朋友們,在閱讀標準的過程中,很大一部份的思維會落入 "這個標準只看技術實施和落實” 這樣的情境。原因無他,PCI DSS 的第一個 Requirement 就是網路基礎建設的安全管控機制 (如下圖)。
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

Reddit 遭骇了,Two Factor 被破解!

由於長期以來駭客攻擊或資料洩漏的原因,過半是透過釣魚、竊取自其他來源先取得 Credential 後,才攻入目標的網站或主機,因此過去我們都稱 Two Factor Authentication 應該是防禦駭客最便宜的解決方案, 在以信用卡交易安全為標的的 PCI DSS 標準中...
因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

* 如想了解更多合规服务,请您与我们联系 service@securevectors.com 我们会尽快回覆您的任何问题!

与我们联系