一个调查在500名有责任确保符合支付款卡行业(PCI)安全标准的信息技术专业人员中,超过一半的人认为这在他们的组织中是“负担但必要的”,约三分之一的人认为这对他们的虚拟网络环境有特别的影响。
这项调查是由思科评估对PCI的态度,需要实现PCI遵从性的组织的成本,以及正在考虑未来安全性更改的地方。调查显示,约85%的人相信他们的组织准备通过PCI审计,但同时约三分之一的人表示,他们希望对他们的虚拟网络做出改变,如使用防火墙和入侵保护系统作为虚拟安全设备,以满足未来的PCI合规需求。
尽管PCI要求特别适用于支付卡数据的保护和存储方式,但由PCI安全标准委员会设置的安全标准似乎对整个组织的安全性产生了影响。
“高达60%的人在使用点对点加密从而简化合规工作,并可能减少下一次PCI评估的范围,”思科的调查结果表明。思科安全解决方案主管Fred Kost说,PCI的要求也影响了虚拟网络的安全计划。当被问及“您预计需要如何更改虚拟化环境以满足PCI遵从性?”时,约三分之一的人回答说,他们需要添加虚拟安全设备,如防火墙和IPS,以满足PCI 2.0遵从性,而三分之一的人还希望“进一步加强我们的虚拟化软件。”
十分之六的受访者表示,他们在五年的PCI合规支出从10万美元到100多万美元不等。至于实现PCI合规的努力是否真的让他们的组织更安全,大约70%的人回答是肯定的。然而,15%的人回答说,“不,在存在PCI遵从性要求之前,我们已经遵循了安全最佳实践”,10%的人说,“不,PCI遵从性并没有使组织更安全”,6%的人“不确定”。
布赖恩特大学计算机和电信服务主任Rich Siedzik说,同意PCI“是一件非常耗时的事情。他们在寻找你遵守检查站规定的证据,因为你必须通过168个检查站。”
他指出,这需要在安全改进和报告方面进行工作,以满足审计人员和其他在PCI合规审查中发挥作用的人员的要求。“我们对PCI的看法是,安全第一,PCI第二。如果你把重点放在安全上,许多PCI部件就会到位,”他说,并补充说,大学更喜欢在可能的情况下自动化控制过程。
Siedzik说,在一天结束的时候,“PCI是值得的”,他注意到各种各样的项目,比如部署Bradford Networks网络访问控制的产品为整个大学的工作人员和学生跟踪网络并确保反病毒的使用,促使几年前部分满足PCI要求。
当被问及对PCI依从性的看法时,在思科的调查中,36%的受访者表示,“这是必要的,我不介意处理它”,51%的人表示,“这是负担,但有必要”,8%的人表示,“这是负担,但没有必要”,5%的人回答,“它在保护持卡人数据方面做得不够。”