日益增加的Web服务信息泄露 在 Web 服务和应用程序中实现支付,信息安全是无法回避的问题。根据NPO日本网络安全协会的调查A,个人信息泄露事故在 2004 年到2011 年间,从 366 起增加到 1551 起,多了 4 倍。 这个数字还仅限于发现的事故,可以推测如果包 含那些未被发现的事故在内,这个数字将会更多。在个人信息中,特别是信用卡信息,一旦发 生泄露就是直接和资金损失相关,所以风险也更高。而且,泄露的信息还可能被用于市场上的非法交易等行为,从而引发间接损失。最近的例子 在 2013 年 3 月,销售眼镜的网站“JINS在线商店” 遭到非法访问攻击,被盗取了 2059 位用户的信用卡信息。对于开发者来说,该怎样处理信用卡信息才是安全的,成了他们烦恼的根源。 本章首先会明确说明使用信用卡支付时需要重点防止泄露的信息,并在此基础上,列举为防止信息泄露而需要注意的重点,最后介绍了防范信息泄露措施的标准化平台——PCI DSS安全标准。 信用卡信息泄露的3点危害 一旦发生信用卡信息泄露,发生的损失主 要有以下 3 点。 被国际信用卡品牌罚款 第一个是将要承担 MasterCard、Visa 等国际信用卡品牌的罚款。对国际信用卡品牌来说, 担保信用卡交易安全是很重要的,因此发生这种使信用受损的泄露事故的话,会根据具体情况进行罚款。比方说,MasterCard 在信息泄露事故发生后,如发现违反了后述的PCI DSS,每次事故将有 15 000 美元至 10 0000 美元的罚款,还要按信用卡泄露信息的数量承担相应的处理费用。 对信用卡持卡人进行赔偿 第二个是对信用卡持卡人进行赔偿。一旦发生了信息泄露,就要重新发行该信用卡。信用卡的重新发行和后续等因泄露信息产生的费用,也是由运营商承担。再加上大部分的情况下, 信息被泄露的信用卡的持卡人一般都是 Web 服务和应用程序的重要客户,因此还会产生为了维持顾客关系而增加的处理成本。 品牌价值损失 第三个是品牌价值损伤带来的损失。要想恢复价值受损的品牌需要付出巨大的努力,而且品牌价值的损失还会带来商业机会的流失。 信用卡支付就是这样伴随着很大的信息泄露风险。由于很难单方面对信息安全无限制投入资源,所以运营方必须掌握高效的重要信息保护技术。 A http://www.jnsa.org/result/incident/2011.html
WEB+DB PRESS 中文版 01——第3章 信用卡支付的信息安全 信息泄漏对策的要点和国际信息安全标准PCI DSS ● 久保渓
书名: WEB+DB PRESS 中文版 01
作者: 日
出版社: 人民邮电出版社
出版年: 2015-3
页数: 180
定价: 20.00元
装帧: 平装
ISBN: 9787115384515