十多年来，组织一直在努力实现和维护PCI DSS合规性。问题不在于知识或技术；这是熟练程度。

九年来，Verizon发布了关于支付卡行业数据安全标准（PCI DSS）合规状况的年度支付安全报告。九年来，模式一直保持不变：许多公司不遵守标准，许多遵守标准的公司在审计后不久就不遵守标准。IT组织不会因为缺乏知识或技术而与PCI DSS法规遵从性斗争；问题在于熟练程度。

自2013年以来，该报告的主要作者、Verizon企业解决方案全球安全保障咨询高级经理西斯克·范·奥斯滕（Ciske van Oosten）表示：“熟练是主要主题。”。“有了10年的数据泄露调查报告，您开始认识到模式。”

“这不是一个知识问题，”van Oosten补充道。“那里有丰富的知识。人们几乎被淹没了。这不是真正的技术失败。而是真正的熟练程度：自信、技能和经验。”

PCI DSS合规性状态

在今年早些时候发布的2017年报告中，威瑞森发现，全球企业的整体合规性有所提高-威瑞森评估的企业中，55.4%在2016年通过了中期评估，高于2015年的48.4%。但这意味着，近一半的零售商、餐馆、，酒店和其他接受信用卡支付的企业每年都未能保持合规性。

Verizon安全咨询全球董事总经理Rodolphe Simonetti表示：“PCI DSS合规性与组织抵御网络攻击的能力之间存在明显联系。”。“虽然我们很高兴看到PCI合规性有所提高，但事实仍然是，我们评估的全球组织中，超过40%的组织（无论大小）仍然没有达到PCI DSS合规性。在那些通过验证的组织中，近一半的组织在一年内不符合合规性，而更多的组织则更快。”

PCI DSS合规性因行业而异。报告发现，IT服务行业在所有研究的关键行业群体中保持了最高的完全合规性，2016年中期验证期间，全球61.3%的企业实现了完全合规。金融服务行业（包括保险公司）一度处于底部，但在2016年，它排名第二，59.1%的组织在中期验证期间实现了完全合规。零售业占50%，酒店业占42.9%。

不同的业务部门都面临着不同的控制：

• 零售：安全测试、加密数据传输和身份验证
• 酒店和旅行：安全强化、保护传输中的数据和物理安全
• 金融服务：安全程序、安全配置、保护传输中的数据、漏洞管理和总体风险管理

van Oosten指出了一个失败的金融服务组织。该公司正在寻求免除PCI DSS的Wi-Fi要求，但却发现其大楼内已经有无线网络。为什么？一位IT管理员厌倦了每次需要更改时都必须在地下室的服务器室和三楼的IT部门之间来回走动，因此安装了路由器，从他的办公桌上访问服务器。

强大的法规遵从性实践，强大的安全性

van Oosten指出，在2010年至2016年期间，Verizon调查的近300个支付卡数据违规事件中，没有一个在违规时完全符合。这些组织中的一些确实在某一点上实现了合规，但他们没有保持合规，通常是因为他们将合规视为要实现的目标，而不是过程。

van Oosten解释说，并不是PCI DSS合规性使您安全。合规性仅仅意味着在评估期的一周或两周内没有发现任何不合规的证据。但van Oosten说，将控制可持续性和恢复力作为其更大安全计划的一部分的组织确实表现更好。

例如，考虑一个具有良好分段网络的组织。它将持卡人数据与其他类型的数据分开，持卡人的数据只能在“需要知道”的基础上访问。这是一个强有力的基本安全实践。但是说环境发生了变化：公司增加了新的分支机构，安装了新的Wi-Fi路由器，或者更换了业务合作伙伴。将合规性视为要实现的目标的组织将等到外部评估人员指出问题后再进行下一次审计，以解决问题。另一方面，将PCI DSS合规性视为一个过程的组织将返回，以确保在环境变化后，细分保持完整。

“控制有效性和控制正确性之间存在差异，”van Oosten说。“这是基本的韧性和鲁棒性。变化是不可避免的。你的控制会失败。你需要有这种韧性。”

可持续数据保护

当研究公司预计将要实施的PCI控制措施（安全测试、渗透测试等）时，报告发现，许多基本措施都不存在，而且问题越来越严重。2015年，未通过中期评估的公司平均有12.4%的控制缺失。2016年，这一比例上升至13%。

“问题不再是‘是否’数据必须得到保护，而是‘如何’实现可持续的数据保护，”Simonetti说。“许多组织仍然孤立地看待PCI DSS控制，并没有意识到它们之间的相互关联-控制生命周期管理的概念经常缺失。这通常是由于缺乏熟练的内部专业人员造成的。然而，根据我们的经验，在外部专家的生命周期指导下，内部熟练程度可以显著提高。”

van Oosten表示，五个关键准则可以帮助您建立强大的控制生命周期管理：

• 合并以便于管理。增加更多的安全控制并不总是解决办法-PCI DSS标准已经包含了许多相互关联的数据保护标准和法规。使用此功能整合控件，使其更易于管理。
• 投资发展专业知识。对人员进行投资，以开发和维护如何增强、监控和衡量现有控制措施有效性的知识。
• 采用平衡的方法。保持一个稳健和有弹性的内部控制环境，以避免控制失控。
• 尽可能自动化一切。应用数据保护工作流和自动化，并确保经常对自动化进行审核。减少对需要人工干预的控制的依赖。
• 设计、运营和管理内部控制环境。控件的性能是相互关联的。如果顶部出现问题，将影响底部控件的性能。了解实现和维护有效和可持续数据保护计划的联系。

相关安全和合规条款：

• 5 information security threats that will dominate 2018
• 10 critical security skills every IT team needs
• How to measure cybersecurity effectiveness — before it’s too late
• 10 ways you’re failing at IT audits
• The CSO IoT security basics survival guide

本文:https://cioctocdo.com/real-reason-youre-failing-pci-dss-compliance