跳转到主要内容

【PCI DSS合规】您在PCI DSS合规性方面失败的真正原因

十多年来,组织一直在努力实现和维护PCI DSS合规性。问题不在于知识或技术;这是熟练程度。

九年来,Verizon发布了关于支付卡行业数据安全标准(PCI DSS)合规状况的年度支付安全报告。九年来,模式一直保持不变:许多公司不遵守标准,许多遵守标准的公司在审计后不久就不遵守标准。IT组织不会因为缺乏知识或技术而与PCI DSS法规遵从性斗争;问题在于熟练程度。

自2013年以来,该报告的主要作者、Verizon企业解决方案全球安全保障咨询高级经理西斯克·范·奥斯滕(Ciske van Oosten)表示:“熟练是主要主题。”。“有了10年的数据泄露调查报告,您开始认识到模式。”

“这不是一个知识问题,”van Oosten补充道。“那里有丰富的知识。人们几乎被淹没了。这不是真正的技术失败。而是真正的熟练程度:自信、技能和经验。”

PCI DSS合规性状态

在今年早些时候发布的2017年报告中,威瑞森发现,全球企业的整体合规性有所提高-威瑞森评估的企业中,55.4%在2016年通过了中期评估,高于2015年的48.4%。但这意味着,近一半的零售商、餐馆、,酒店和其他接受信用卡支付的企业每年都未能保持合规性。

【英国隐私保护】英国 ICO 援引不充分的并购数据保护尽职调查作为提出 1.25 亿美元违规罚款的一个因素

2019 年 7 月 9 日,英国信息专员办公室 (ICO) 公开宣布有意对万豪处以 9900 万英镑(约合 1.23 亿美元)的 GDPR 罚款,原因是万豪发现和通知喜达屋数据泄露事件。 ICO 对其处以创纪录罚款的理由之一是,万豪在收购喜达屋时数据保护尽职调查不充分,这是导致违规行为发现延迟到 2018 年的一个因素,尽管违规行为发生在 2014 年喜达屋,并且收购了喜达屋万豪酒店于 2016 年举办。

无论 ICO 对收购方数据保护尽职调查责任的看法是否合理,记录万豪罚款应该提醒人们在涉及处理大量个人数据的目标的并购交易中进行彻底的数据保护尽职调查的重要性。

ICO的观点

有趣的是,拟议罚款的消息并非来自 ICO。由于美国证券交易委员会 2011 年和 2018 年的网络指南规定网络风险和网络事件可能触发美国证券交易委员会的一般报告义务,万豪在其网站上的一份声明中披露了这一违规行为,同时提交了 8-K。

订阅 PCI DSS