【e-zone 專訊】符合法規不一定等於絕對安全,Verizon 亞太區網絡安全總監黃財明(上圖)指出,有 66% 受訪者不希望與曾經有數據洩漏風險的商戶有業務往來,但可幸的是愈來愈多企業在法規要求上取得「合格」分數。而從事任何新的應用,都必須加入合規因素。
PCI DSS 共有 11 個主要控制項目, 其中第 11 項為控制項目「定期執行保安系統運作與流程測試」,但大部分企業在最近 4 年均顯示難以執行上述控制項目。黃財明表示曾有客戶因未有定期的保安系統運作測試,令網絡長期出現「安全無事」的假象,而實際情況是負責監察的數據紀錄系統,一直未有正常運作。這正是涉及 PCI DSS 中的第 10 項控制項目:企業要視乎情況執行月度與季度保安系統測試,否則系統紀錄運作不全,或會影響事故出現時的反應時間。另一方面,Verizon 亦建議企業需要推動「雙重認證」制度,因為密碼的長度與強度如何,均有機會被「Keylogger」等工具解破。
Source:ezone.hk