对于小型,中型和大型公司,对客户数据和公司底线的威胁都是真实存在的。今年8月,国土安全部宣布,“退避” 是一种激进的销售点恶意软件,负责几家商店的违规行为,它可能会困扰多达1,000其他零售商的网络。
有足够的建议告诉首席信息官或首席信息官制定一个漏洞恢复计划,但是避免此类事件的关键步骤并不清楚。第一步是确保符合pci基本数据安全指南。除此之外,还有四个步骤可以保护零售客户免受违规行为的影响:
1.知道什么时候需要支援。
在当今以云、移动和其他新技术为基础的复杂商业环境中,跟上安全新闻并随时监控所有潜在弱点是一个真正的挑战。这可能是一项艰巨的任务,不应该总是留给首席信息官。
在分析了特定的需求和安全团队的能力之后,下一步是决定从审计师或其他安全专家那里招聘外部帮助是否有意义,或者是时候聘请全职首席信息安全官 (CISO) 了,负责了解漏洞并防止其损害业务的人员。
当Target的数据被泄露时,该零售商的前全球和网络情报经理卡尔·马特森 (Karl Mattson) 辩称,CISO正在建立链接。到去年6月,塔吉特 (Target) 担任了该职位,负责布拉德·迈奥里诺 (Brad Maiorino),他曾在通用汽车 (General Motors) 和通用电气 (General Electric) 担任CISO职位,负责内部和外部风险,并确保关键的公司利益相关者始终处于循环状态。
这种人员配置格式使CIO可以专注于监督业务流程,同时依靠CISO进行更深入的pe,以确保不会发现任何安全漏洞。对于小型企业,聘请临时顾问或兼职IT安全专业人员应足以帮助最大程度地降低风险。
2.避免在内部处理付款。
很容易理解内部处理付款的吸引力,因为这样做的企业每笔交易可能会节省几美分。但这很冒险。随着越来越多的公司过渡到处理自己的付款,违规行为的频率有所增加。
TJX 2007年的违规行为使公司损失了265万美元,最近的Target违规2013年总计为148万美元,证明了内部处理付款的高风险性质。这为黑客创建了一个一站式服务,以访问他们所追求的信息。
随着网络犯罪分子越来越擅长针对内部系统,将支付处理外部化的需求也变得越来越大。对于大多数零售商而言,基于云的处理系统将增加一个理想的安全层,从而消除了客户卡,支付终端和店内系统之间的物理链接。底线: 现在花更多的钱来减少以后的责任。
3.复习加密和标记化。
最安全的数据是网络罪犯无法读取的那种数据。加密、标记化 -- 或者更好的是,两者的结合 -- 可以确保客户信息极其难以破译。那么两者到底有什么不同呢?
端到端加密确保敏感信息需要 “密钥” 或不断变化的数字代码才能访问。销售点系统和处理位置之间传输的数据被有效地加扰,使其难以辨认,直到到达终点为止。但是,有效管理加密密钥访问是确保客户信息安全的关键步骤。
另一方面,代币化并不是一种新的做法,但在一定程度上要归功于Apple pay的引入,这在支付行业中是一颗冉冉升起的新星。与加密不同,它将数据从一个点发送到另一个点,而无需识别信息,而无需使用密钥即可对其进行加扰。如果攻击者可以访问数据,他们仍然无法查看信用卡号或密码,而是数据的伪造版本。在许多情况下,实际数据存储在本地或由第三方服务存储,这是唯一可以正确读取的地方。
4.理解并拥抱新兴支付技术
零售业目前正在经历重大变化-从移动支付到采用emv卡处理。对于规避风险的人来说,在组合中添加更多的付款选项似乎是一条危险的路线,但是随着这些新的招标类型越来越受欢迎,公司应该支持它们以保持竞争力。随着入侵威胁的增加,这些新方法为保护客户和业务数据提供了创新的方法。
随着EMV合规性的2015年10月截止日期的临近,现在是实施芯片和pin读卡器的时候了。当然,如果在截止日期后发生违规行为,明年就在最快的时间内采用适当的pOS硬件和软件将避免财务责任,但现在采用EMV意味着预先2015年10月的商店安全计划中的差距更少。
借助EMV的三管齐下的安全系统,每笔交易都链接到一个交易号,而不是特定的信用卡详细信息,从而使其比传统的磁条卡支付更加安全。
移动设备也因其安全功能而引起轰动。一些系统不仅是传统的磁条信用和借方支付,而且是evenEMV。那些访问信用卡信息以完成购买的人采用了通过卡提供商已经采取的安全措施,但它们还通过实时帐户警报带来了透明度的额外好处。有些还具有有助于识别购买并及早发现欺诈的功能。另外,购物者可能会比丢失的钱包更快地注意到丢失的手机。
虽然上述所有步骤都可以在提高安全性方面发挥关键作用,但最佳零售策略将它们融合在一起。换句话说,零售商不能只是选择。他们需要实施所有这些方法来确保客户数据的安全。
阻止黑客攻击的其他技巧?安排培训课程并定期进行员工背景调查,以确保所有硬件和软件都是最新的。
如果灾难真的发生了,最好的防线是快速有效地向客户传达漏洞的方法。毕竟,声誉和工作取决于购物者的信任。