信用卡安全泄露事故引发网络金融界重视

2012年3月底MasterCard和VISA向百万信用卡持卡人发起数据安全警告,称最大的信用卡交易数据处理机构Global Payment出现严重的数据泄露。

尽管泄露的数据并不多,敏感信息如持卡人姓名和地址并未受到影响,但Global Payment仍然通知发卡机构以及持卡人注意网络犯罪分子可能会利用这些数据伪造信用卡,虽然Global Payment的确认受到入侵并不是很及时,但其安全危机响应措施却无可厚非,不过新闻一出,仍然导致其公司股价大跌9%。

2014年3月底,携程银行卡信息泄露事件让中国消费者和业界猛醒,中国特有的信用卡密码在无卡支付的互联网上形同虚设,信用卡安全离我们这么近,中国更应该同国际标准要求靠拢。

国内当然也有众多组织机构受到各类严重攻击,阿里、当当、京东、亚马逊、携程等等知名电商无一幸免。在众多安全事件中,能如此对用户、合作伙伴负责的并不多,除了CSDN能够依据国际标准主动承认错误和采取正当补救行动之外并不多。多数厂商要么掖着藏着,要么悄悄处理,让用户不明不白受难。表面上,服务商胜利了,至少短期内股价没受到大跌的影响,实际上用户心里明白或者至少对这些服务商的服务品质心存怀疑,在随后的相当长一段时间内会越来越对服务商失去信心,这就是为什么国际大牌厂商不断召回不良产品却仍受追捧,而本土企业没有什么不良新闻,产品品质却一直受到质疑的原因。

说到底,不是我们本土企业不想留住这些用户,不想改进产品和服务的品质,更不是本土企业不尊重用户的知情权,问题在于我们缺乏必要的安全事故沟通技巧,意外的安全事故不可能完全避免,这是科学和客观的真理,大多数用户也都懂这些,并能理解和接受这些意外发生的可能,但是用户最关心的是对自身的影响以及如何同服务商一道共同挽回可能造成的损失。

多数本土企业产不是怕承担一时的巨额赔偿损失,而是怕用户由于不理解而对产品或服务失去信心,所以喜欢在出现负面消息后赶紧找媒体进行舆论公关,而忘了真正应该面对的是客户、监管机构和受影响的合作伙伴。实际上,越是这样做,越发让用户觉得厂商不厚道,越是得不到用户的理解,越是不得人心当然也就也来越失去客户,除非是垄断行业让用户没得它选。

所以,真正把顾客当上帝的服务商,在出现客户资料外泄等安全事故时,应该向CSDN学习,及时讲清楚事故对用户造成的不良影响,为挽回这些影响,自身已经做了、正在进行以及将来还要做哪些方面的安全改进工作,用户需要配合哪些工作。当然,也还要表个姿态,对这起事件给用户造成的影响表示歉意,当然造成金钱损失的,要愿意按照法定的标准进行赔付工作,多数不直接涉及金钱的赔付标准欠缺,无法真正达成赔偿,所以道歉会为服务商加分。而造成金钱损失的,这次咱赔了,客户对使用咱的产品或服务比较放心,知道以后继续用咱的产品和服务能有保障,自然会有更高的忠诚度,客户的忠诚度和赔付的那点儿小钱孰轻孰重相信大家明白。

此外,除了公开透明及时沟通之外,说说安全事故发生之后的应急响应和危机处理,并不能只看表面功夫,更多的努力应该在事前做好准备,建立紧急事件响应体系,完善相关的安全响应流程,通过培训和演练加强同全体员工、合作伙伴以及最终用户的安全意识沟通等等都是未雨绸缪的安全防范措施。

最后,中国消费者越来越与全球接轨,个人隐私信息保护意识在上升,国内电商想进入国际市场,获得海外客户的信任,在信用卡信息安全保护方面无疑得遵循全球PCI-DSS标准,加强员工安全培训必不可少,欢迎支付卡行业相关厂商及业界朋友访问我们的PCI-DSS培训课件及服务栏目。

浅谈支付卡行业信息安全

关注国际国内网络信息安全事件的人士都会发现:几乎每周都有媒体报道重大数据失窃的新闻。尽管有法律法规要求相关机构要及时准确披露相关黑客入侵等安全事件,但是我们有理由相信被媒体曝光的安全事件只是“冰山一角”,没有被公开暴露出来的数据泄露事件的数量大的惊人。

其实人人都可能成为网络犯罪分子入侵的对象,黑客们可能会窃取受害者的虚拟身份,诈骗分子们可能会滥用他人的虚拟身份来谋取非法利益或搞破坏。特别是在金融领域,支付卡被广泛应用,包括如有银联标识的借记卡和信用卡,以及大型零售业及电商发行的购物卡。由于获取这些卡的信息并加以适当的利用便可以快速变现得到真金白银,所以犯罪分子们不惜用尽一切恶劣手段,其中有很多让人防为胜防。

用户个人信息被非法买卖已经不是什么新闻,信息安全从业人员们已经不再喜欢理睬那些借广告推销之名、想拿小小诱惑来套取个人信息的来电。因为这一招“社会工程学”与职业黑客们的手段如出一辙。昆明亭长朗然科技有限公司的金融信息安全顾问James Dong称:在消费者遇到诸如帐户失窃等金融纠纷时,人们往往会袒护消费者。其实与其说相关法律对消费者的保护不够,让网络犯罪分子和不良金融机构钻了空子,反倒不如说消费者的维权意识薄弱,不了解相关的权益内容。

如果认为犯罪分子只会将眼光紧盯个人消费用户,那则是大错特错。在商业领域,关键性重要情报的价值往往是难以估量的,足以决定一家公司的生死存亡。特别是处理支付卡相关的行业,都面临着严重的安全威胁——犯罪分子可以在数分钟之类转走对公帐户中的巨额财产、内部的不良工作人员也能轻易复制客户的支付卡信息,包括磁条数据等身份识别信息,转而卖给犯罪团伙、竞争者或地下集团。

人们常说保护客户数据安全应该从数据搜集源头开始,的确,支付卡行业不应该搜集过多的客户信息,但具体到哪些能搜集,哪些不能呢?亭长朗然公司James说:跨国的大型金融机构有联合起来发布相关行业安全标准——PCI-DSS,支付卡行业数据安全标准,这个标准在不断更新之中,也有一些子标准。

支付卡行业,包括银行、发卡机关、支付网关、互联网金融、电商网站、实体门店或物流的终端收银设备POS机等等只要能接触到支付卡的,都会受到影响,也都应该熟悉这一标准,并积极证明对标准的遵循。

除了规范支付卡数据收集,存储和传输方面也有详细的规范。每一个负责任的支付卡行业业者都应该实施一些必要的信息安全控制措施,防范这些支付卡数据的失窃。同时,也应该建立健全适当的安全应急响应流程,及时监测和正确响应相关的支付卡安全事故。

不少通用的信息安全理念也是PCI-DSS对支付卡行业的要求,比如密码的安全性,定期审核帐户和权限等等。这些无疑需要全面而综合的专门用于PCI-DSS员工培训的安全意识教育课程。

昆明亭长朗然科技有限公司,引进了全球知名的PCI-DSS在线培训课程,通过帮助支付卡行业的业者获得更多的安全认知能力和行业资质,共建消费者的支付卡数据安全信心和市场消费积极性,进而促进客户的客户的满意度,也让客户的业务变得更加成功。欢迎和我们联系免费体验在线课件。