信用卡安全泄露事故引发网络金融界重视

2012年3月底MasterCard和VISA向百万信用卡持卡人发起数据安全警告,称最大的信用卡交易数据处理机构Global Payment出现严重的数据泄露。

尽管泄露的数据并不多,敏感信息如持卡人姓名和地址并未受到影响,但Global Payment仍然通知发卡机构以及持卡人注意网络犯罪分子可能会利用这些数据伪造信用卡,虽然Global Payment的确认受到入侵并不是很及时,但其安全危机响应措施却无可厚非,不过新闻一出,仍然导致其公司股价大跌9%。

2014年3月底,携程银行卡信息泄露事件让中国消费者和业界猛醒,中国特有的信用卡密码在无卡支付的互联网上形同虚设,信用卡安全离我们这么近,中国更应该同国际标准要求靠拢。

国内当然也有众多组织机构受到各类严重攻击,阿里、当当、京东、亚马逊、携程等等知名电商无一幸免。在众多安全事件中,能如此对用户、合作伙伴负责的并不多,除了CSDN能够依据国际标准主动承认错误和采取正当补救行动之外并不多。多数厂商要么掖着藏着,要么悄悄处理,让用户不明不白受难。表面上,服务商胜利了,至少短期内股价没受到大跌的影响,实际上用户心里明白或者至少对这些服务商的服务品质心存怀疑,在随后的相当长一段时间内会越来越对服务商失去信心,这就是为什么国际大牌厂商不断召回不良产品却仍受追捧,而本土企业没有什么不良新闻,产品品质却一直受到质疑的原因。

说到底,不是我们本土企业不想留住这些用户,不想改进产品和服务的品质,更不是本土企业不尊重用户的知情权,问题在于我们缺乏必要的安全事故沟通技巧,意外的安全事故不可能完全避免,这是科学和客观的真理,大多数用户也都懂这些,并能理解和接受这些意外发生的可能,但是用户最关心的是对自身的影响以及如何同服务商一道共同挽回可能造成的损失。

多数本土企业产不是怕承担一时的巨额赔偿损失,而是怕用户由于不理解而对产品或服务失去信心,所以喜欢在出现负面消息后赶紧找媒体进行舆论公关,而忘了真正应该面对的是客户、监管机构和受影响的合作伙伴。实际上,越是这样做,越发让用户觉得厂商不厚道,越是得不到用户的理解,越是不得人心当然也就也来越失去客户,除非是垄断行业让用户没得它选。

所以,真正把顾客当上帝的服务商,在出现客户资料外泄等安全事故时,应该向CSDN学习,及时讲清楚事故对用户造成的不良影响,为挽回这些影响,自身已经做了、正在进行以及将来还要做哪些方面的安全改进工作,用户需要配合哪些工作。当然,也还要表个姿态,对这起事件给用户造成的影响表示歉意,当然造成金钱损失的,要愿意按照法定的标准进行赔付工作,多数不直接涉及金钱的赔付标准欠缺,无法真正达成赔偿,所以道歉会为服务商加分。而造成金钱损失的,这次咱赔了,客户对使用咱的产品或服务比较放心,知道以后继续用咱的产品和服务能有保障,自然会有更高的忠诚度,客户的忠诚度和赔付的那点儿小钱孰轻孰重相信大家明白。

此外,除了公开透明及时沟通之外,说说安全事故发生之后的应急响应和危机处理,并不能只看表面功夫,更多的努力应该在事前做好准备,建立紧急事件响应体系,完善相关的安全响应流程,通过培训和演练加强同全体员工、合作伙伴以及最终用户的安全意识沟通等等都是未雨绸缪的安全防范措施。

最后,中国消费者越来越与全球接轨,个人隐私信息保护意识在上升,国内电商想进入国际市场,获得海外客户的信任,在信用卡信息安全保护方面无疑得遵循全球PCI-DSS标准,加强员工安全培训必不可少,欢迎支付卡行业相关厂商及业界朋友访问我们的PCI-DSS培训课件及服务栏目。

信用卡门的PCI-DSS合规启示

信用卡信息泄露事故不断,线上交易平台往往都会及时启动了安全应急响应流程,为潜在风险用户换卡。但看起来比较圆满的安全响应事件,却会引发信息安全界的不少质疑。

信息安全及在线金融服务专业人员们关注的焦点主要有三条:

1.一些网站记录了太多的信用卡信息,包括CVV,不管是以明文还是以加密的方式,这显然和PCI-DSS的精神不符,专家们在质疑PCI DSS落地情况,为线上交易平台提供PCI DSS牌照相关信息安全评估、审计与认证的服务商也受到了指责;

2.在安全支付服务器系统中进行在线调试,而且是“线上竟长时间打开调试功能”,显然和IT管理中“测试系统与生产系统分开”的基本软件开发及变更管理精神严重不符,线上交易平台的IT服务管理实践受到了质疑。

3.服务器未做严格的基线安全配置,存在目录遍历方面的安全漏洞。核心后台服务器缺乏基本的安全加固措施,让黑客可以从外部轻易获得相关明文日志信息,看起来基本的信息安全管理措施和流程很不到位。

不过话说过来,人人都是马后炮。昆明亭长朗然科技有限公司金融行业信息安全顾问James称:显然线上交易平台信用卡门只是冰山一角,这不仅仅是知名电商对支付卡行业数据安全标准PCI-DSS的合规遵循问题,而是信息安全相关的认证和监管生态出现了严重问题!

多数甲方将赚钱放在第一位,相关的认证和牌照只是拿来争取政府的补助和展示给客户看,其实质并不注重长久的数据安全,所以也不下功夫培训教育员工,只寄希望于咨询第三方快速通过牌照审核。

不少安全服务公司也是不学无术,靠一两个懂行的资深员工,带一批刚入门的毕业生,修改一些文件模板,拼拼凑凑一些报表报告,就在那儿糊弄客户,再通过走关系,请吃饭等等糊弄审核机构,最后的结果就是客户交钱,买个证书,在安全管理上没有什么改变。

发牌照的机构,搞一套死板的审核流程,两三次就被客户和咨询服务公司摸透了,剩下的不是被糊弄的份了,就是只管视查、盖章和收钱了。长期这样下去,如何能让消费者信得过信息安全相关的审计监管机构啊?还不如公司请个懂行的认证的老外每年来一次呢。

您可能会说漏洞就漏洞嘛,流程上的管理上的技术上的都难避免,也没有造成严重的损失啊。貌似如此,实际上,这里的损失无法估量,在地下黑暗经济中能够造成的损失有多少?每年的网络犯罪团伙有从这些漏洞中获得了多少?一些莫名其妙的金钱丢失就和这些漏洞有关!

如果漏洞发现者没有在漏洞平台上进行曝光,而是私下享用并卖给地下黑客市场,那黑客们零星的这花那儿花,国内的老百姓有几人能从发卡行或银行里获得公正呢?国内的商家有多少能在交付了货物或服务但银行却不给钱之后得到维权呢?

我们不要把线上服务商想得太坏,有问题不好好解决,只要搞搞表面工作糊弄过去了事儿。没有公司想把自家的负面新闻闹大,影响公司商业形象和信誉,进而造成业绩下滑。所以,我们要理解线上交易平台的安全应急响应措施,人们的态度又是那么的诚恳,我们不要给人家太多的责难,而要深思问题的根源何在,并且从自身找出类似的问题并改之。

如果您是线上交易平台的大客户或合作伙伴,当然有权力提出自己所关心的安全问题,甚至可以要求相关的报告,并进行现场的安全审核,只是那些信用卡发卡行并没有好好做这些工作,哪一天线上交易平台的系统出现意外,来个批处理,瞬间让钱哗哗流走,这些关联方都会跟着倒霉,那时可真会成为国际头条新闻呢。

同时我们也不要把国人的安全渗透水平想得太差,菜鸟们也可能在不断尝试和学习中超越专业的计算机安全人员。我们需要外界的专业安全力量来进行安全评估和渗透测试,悬赏漏洞发现者是个聪明的做法。

一下子暴露出这么多问题,这些问题的背后根源何在?昆明亭长朗然科技有限公司James说:我们根本没有一个合规守法的文化!这才是问题的核心。除非线上交易平台想利用其罪恶的手段,希望通过掌握最多客户身份和信用卡信息来达到保留客户的目的,否则没有道理违法存储这么过多客户信息,给自己公司和客户同时置于风险之下。

如果说线上交易平台没有罪恶的留住客户的手段,那则是他们缺乏必要的信息安全意识、IT服务管理方法与合规守法经营理念,让全体员工参加诸如PCI-DSS基础培训是一个解决之道,不论是为客户,为公司,还是为投资者,线上交易平台和我们都应该立即行动起来。

建立合规守法的企业文化的关键在:1.让人们理解法规的精神,2.让人们遵守法规的条款。通过多层次的员工沟通可以让人们明白法规的精神,了解法规的精神内涵远比宣读法规内容本身重要的多。而多数人在了解精神之后会同意并遵守,那些少数知法但不愿守法的才是我们工作的焦点,要做的是通过必要的奖惩措施来激励员工们积极遵守和实践法规的精神。