根据Verizon Risk Team进行的上一次DBIR(数据泄露调查报告),酒店业位列受灾最严重的行业之一。寻求窃取信用卡信息的网络犯罪分子多年来一直将其作为目标,这主要是因为交易数量很高,并且易于感染连锁酒店中的多个位置。
事实上,酒店倾向于将卡数据保存在几个不同的地方:中央预订系统,第三方合作伙伴,前台,电子邮件和卡授权表-物理和虚拟POS系统以及PMS(物业管理系统),包括连接的系统。在太多的地方,卡数据很容易遭到盗窃,并且有可能遭到入侵。
不幸的是,酒店业发现违规现象非常缓慢。通常,只有在顾客说出自己的信用卡已被欺诈使用之后,或者当信用卡处理银行向酒店发出有关信用卡可能被盗用的警报时,才会向酒店发出警报。
一旦黑客入侵了POS或PMS,他们就可以在数天,数月甚至数年的时间内被登录到系统中,而未被发现。而且,通常,当它们在系统中时,不仅有信用卡信息受到威胁,而且还有个人信息,例如姓名,地址,身份证号码和护照。该数据(尤其是信用卡数据)不会被黑客窃取,而只是用于购买,也用于出售。在黑暗的网上,具有SAD的有效信用卡的价值可能超过50美元!
许多酒店认为出于各种原因他们需要保留信用卡数据。首先是为了改善客户服务,这正是他们面临风险的原因。
改变信用卡数据的存储方式是抵御任何酒店的网络犯罪分子的第一步。仅在绝对必要时捕获和存储付款数据才可以立即降低该数据落入不正确人手中的风险。
在IT部门内建立和维护正确的PCI DSS程序不仅对证明收购方和支付品牌的合规性至关重要,而且对挑战和改善内部IT安全流程也至关重要。PCI标准迫使IT经理验证当前的技术和流程是否合适,以及是否需要所有关键数据存储位置。卡数据环境越小(只要保护措施得到正确实施),犯罪分子就很难瞄准和窃取它。
任何处理信用卡数据的实体的主要重点应该是:“如果不需要,则不要存储”。
尽一切可能消除数据,培训人员,创建流程并找到有助于此工作的技术。通常,可以通过加密或标记化数据来替换当前存储或传输的数据。这将有助于减少PCI评估的范围并简化合规性。
并且,在可能的情况下,将整个信用卡管理过程外包给符合PCI的服务提供商。外包不仅降低了与信用卡管理相关的风险,而且还大大减少了实现PCI DSS合规性的工作。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!