过去几年,金融业一直在收紧规则,以应对日益增长的网络安全威胁。敏感的信用卡和支付卡数据自然是网络犯罪分子的首要目标,因此是安全工作的首要目标,特别是考虑到
数据泄露平均增加至 488 万美元。
这是支付卡行业安全标准委员会 (PCI-SSC)推出最新版本的数据安全标准 (PCI DSS),引入
4.0版本。 PCI DSS v4.0 在之前版本的基础上,呼吁所有参与处理支付卡数据的实体采取重要的网络安全措施,包括自动攻击检测系统和加强网络钓鱼防御。虽然这些步骤标志着确保行业安全的积极举措,但组织遵守这些新义务的时间已经不多了,许多组织面临着在 2025 年 3 月的全面合规截止日期之前实现全面合规的压力。
实施 PCI DSS v4.0 的挑战似乎是巨大的,但有一个安全研究人员社区正在加紧努力,以简化这一过程。 该社区在发现漏洞并在恶意行为者利用漏洞之前报告漏洞方面发挥着关键作用。他们的专业知识非常符合 PCI DSS 要求,可以帮助组织更轻松地满足新的安全标准。
安全研究人员通常被称为“善意”或道德黑客,他们测试组织的数字基础设施,以发现可能隐藏的弱点。虽然一些公司可能由于误解或过时的观点而犹豫是否与社区互动,但许多组织已经从与这些研究人员的合作中受益。如今,与诚信的安全研究人员合作已经有了完善的实践和系统。这种合作可以简化查找和修复漏洞的过程,特别是在新的 PCI DSS 法规下。
组织可以采用漏洞披露政策 (VDP) 或错误赏金计划来利用这种专业知识。 VDP 为第三方安全研究人员提供了一种结构化的方式来报告他们发现的任何漏洞,确保安全团队在漏洞被不良行为者利用之前根据报告采取行动。漏洞赏金计划更进一步,通过金钱奖励来激励披露漏洞的黑客。 PCI DSS v4.0 明确认可了这些策略,第 6.3.1 节指南建议将错误赏金计划作为满足漏洞识别要求的一种方式。
这些类型的主动安全措施对于 PCI 标准来说并不新鲜。一些 PCI 框架,包括商业现货移动支付 (MPoC) 和 3D 安全软件开发套件 (3DS SDK),已经要求漏洞披露政策。然而,PCI DSS v4.0 中包含的错误赏金计划标志着向前迈出了一步,表明主动吸引外部研究人员来增强安全性变得越来越重要。
作为管理新发现漏洞的最佳实践,协调漏洞披露 (CVD) 也正在获得跨行业的关注。 VDP 是这种协调方法的关键部分,并已被越来越多的组织(包括政府机构)采用。例如,英国国防部已
将 VDP 集成到其安全实践中,与 100 多名研究人员合作寻找并解决漏洞。
在私营部门,Visa、PayPal 和高盛等领先公司已采用安全计划,让安全研究人员社区参与进来,帮助管理漏洞并保持对安全标准的遵守。这些组织已经表明,与社区合作不仅仅是一项合规活动,而且是保护支付系统的宝贵策略。
随着 PCI DSS v4.0 全面合规的最后期限临近,组织显然无法单独解决网络安全问题。现实已经结束了
200,000 个常见漏洞和暴露 迄今为止,(CVE)已被识别,但没有一家公司有能力管理所有这些。对于支付和金融服务行业的组织来说,他们所依赖的复杂的供应商和合作伙伴网络进一步加剧了复杂性。
解决方案在于协作。通过 VDP 或错误赏金与安全研究人员合作,公司可以满足合规性要求,同时改善其安全状况。这些举措不仅简化了漏洞的识别和解决,而且还有助于打造一个更安全的整体互联网。
关键词:Finextra,新闻,在线,银行,银行,技术,金融,金融,fin,科技,fintech,IT, )打破(t)最新(t)零售(t)交易(t)贸易(t)执行(t)头条新闻(t)区块链(t)数字(t)投资(t)移动(t)商业(t)挑战者,支付,监管科技,保险科技,服务
