PCI Survey Finds Merchants Don't Use Antivirus Software

يواجه المستهلكون مخاطر أكبر لفقدان السيطرة على بياناتهم عند القيام بأعمال تجارية مع تجار تجزئة أصغر ، حيث أن الكثيرين لم يقوموا بالاستثمار من أجل الامتثال لمعايير أمن بيانات صناعة بطاقات الدفع (PCI DSS) وفقًا لدراسة استقصائية جديدة.

تناول الاستطلاع الذي غطى 560 منظمة أمريكية ومتعددة الجنسيات ، المستجيبين مجموعة متنوعة من الأسئلة حول استثماراتهم ونشر التكنولوجيا للتوافق مع نظام PCI DSS ، الذي تم طرحه في عام 2005. وهو معيار صناعي تم إنشاؤها بواسطة شركات بطاقات الائتمان الرئيسية التي تم تصميمها لحماية بيانات الدفع للعملاء.

وجد الاستطلاع أن 55 بالمائة من المؤسسات فقط قامت بتأمين معلومات بطاقة الائتمان ولكن ليس البيانات الأخرى مثل الضمان الاجتماعي و dri أرقام رخصة Ver أو تفاصيل الحساب المصرفي. كما أن 28 بالمائة فقط من الشركات الأصغر التي يتراوح عدد موظفيها بين 501 إلى 1000 موظف تتوافق مع نظام PCI DSS. ويقارن ذلك مع أكثر من 70٪ من التجار الكبار الذين لديهم 75000 أو أكثر من الموظفين الذين يزعمون أنهم متوافقون.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك]

"إذا ذهبت إلى المؤسسات الأكبر يقول Amichai Shulman ، CTO لشركة Imperva ، التي تجعل برامج الأمان للشركات تتوافق مع PCI DSS: "من المرجح أن تكون آمنًا اليوم". وتكلف إمبيرفا بإجراء المسح من معهد بونيمون ، وهي شركة تجري بحوثا في سياسة أمن المعلومات والأمان.

أوضح شولمان أن السبب الرئيسي في أن الشركات لا تتوافق مع نظام PCI DSS هو التكلفة. وقال شولمان: "إنهم لا يذهبون إلى الجهود لتكون متوافقة مع كل شيء أو لا شيء ، لذا فهم لا يفعلون شيئًا في الوقت الحالي". في المتوسط ​​، تنفق الشركات حوالي 35 في المائة من ميزانيات أمن تكنولوجيا المعلومات لديها على الامتثال لـ PCI DSS.

شركات بطاقات الدفع تكلف بالامتثال ، ومن المفترض أن يكون معظم التجار متوافقين الآن ، وفقًا للمعلومات الواردة في موقع مجلس معايير الأمان لـ PCI.

أظهر الاستطلاع بعض النتائج المقلقة الأخرى. وقال شولمان إن حوالي 10 بالمائة من المستجيبين الذين قالوا إنهم متوافقون مع PCI DSS قالوا إنهم لم يستخدموا برامج الحماية الأساسية مثل مكافحة الفيروسات وجدران الحماية وطبقة المقابس الآمنة (SSL).

لا ينص PCI على استخدام برامج محددة منتجات البرامج ولكن بدلا من ذلك يعزز الممارسات والمشورة العامة ، مثل استخدام جدار الحماية ومكافحة الفيروسات. في السنوات الأخيرة ، طور البائعون منتجات لجعل تنفيذ PCI DSS أسهل. ومع ذلك ، كانت النتيجة مفاجئة ودلائل على استمرار الارتباك أو صعوبة بعض الشركات مع PCI DSS.

"سأجد صعوبة بالغة في شرح لماذا لا أستخدم SSL كجزء من توافق PCI الخاص بي ،" Shulman قال. "يبدو لي أن هناك مجالًا كبيرًا لسوء تفسير هذا الشرط ، وأن الشركات تسيء استخدامه."

يجري تحديث نظام حماية البيانات PCI DSS ، وسيتم استخدام المسح كمدخل. يقوم مجلس معايير الأمن في PCI ، الذي أنشأته شركات بطاقات الائتمان الرئيسية في عام 2006 ، بجمع التعليقات حتى 31 أكتوبر / تشرين الأول على التغييرات في الإصدار الجديد من المعيار ، المقرر صدوره في سبتمبر 2010.