与较小的零售商开展业务时,消费者面临更大的数据控制风险,因为许多人没有投资遵守支付卡行业的数据安全标准(PCI DSS) ,这项调查涵盖了560家美国和跨国组织,它们询问受访者有关其投资和技术部署的各种问题,以遵守2005年推出的PCI DSS。这是一项行业标准由主要信用卡公司创建,旨在保护客户付款数据
调查发现,55%的组织只保证信用卡信息,但不包括社会保险和dri等其他数据ver的许可证号码或银行账户信息。此外,501至1,000名员工中只有28%的小公司遵守PCI DSS。相比之下,超过70%的拥有75,000或更多员工的大型商户声称他们是合规的。
[进一步阅读:如何从Windows PC移除恶意软件]
Shulman说,公司不遵守PCI DSS的主要原因是成本。 “他们没有努力遵守规则,因为它是全部或没有,所以他们目前什么都不做,”舒尔曼说。“大公司发现处理成本要容易一些,”他说。根据PCI安全标准委员会网站上的信息,平均而言,公司在IT安全预算中花费了大约35%的PCI安全标准。
根据PCI安全标准委员会网站上的信息,支付卡公司强制执行合规性,大多数商家目前应该符合标准。
调查发现了一些令人不安的结果。 Shulman说,约10%的受访者表示他们符合PCI DSS标准,表示他们没有使用基本的安全软件,如防病毒,防火墙和SSL(安全套接字层)。软件产品,而是提倡实践和一般建议,例如使用防火墙和防病毒软件。近年来,供应商已经开发出了产品,以便更容易地实施PCI DSS。尽管如此,结果令人惊讶,并表明可能会继续混淆或困难,一些企业正在使用PCI DSS。“
我很难解释为什么我不使用SSL作为我的PCI合规性的一部分,”Shulman说过。 “在我看来,这个要求有太大的误解空间,并且公司正在滥用它。”
PCI DSS正在更新,调查将用作输入。 2006年由主要信用卡公司设立的PCI安全标准委员会将于10月31日收集有关该标准新版本变化的反馈意见,该标准将于2010年9月发布。