グローバル企業でもPCIDSS準拠は28%。2020年版ベライゾンペイメントセキュリティ報告書
https://www.verizon.com/business/resources/reports/payment-security-report/
※全文読む元気なしw
「グローバル企業のわずか27.9%が、ペイメントカード業界データセキュリティ基準(PCI DSS)への完全な準拠を維持」ということですが、自社でPCI DSSを取らなくてもECサイトやれますからねぇ。
※日本の場合、大手以外は全部ペイメント企業に丸投げでしょ?
一方、企業側にクレジットカード情報が渡らなくてもスクリプトの中間者攻撃で抜く手口があり、WAFではわからないので……
4 件のコメント
コメントするには、ログインまたはメンバー登録(無料)が必要です。
そのベライゾンの自社広告目的の報告書って信用できます?
※どことは言いませんけど、IBM WebSphere製品あたりは設計上、PCI DSS
準拠だったはずですし。
わざわざ既存パッケージを使わずに独自開発するから色々と観点が漏れるわけで、昨今のデジタル関連でセキュリティインシデントになっているものの中にもそういうものが含まれているように思います。
フロントのサイトでは、決済処理していなくて、裏でペイメントサイトへ連携している感じですね。
某社の約10年以上前の例ですが、
『PCI DSS取得に関して、最終的に60人月強のスタッフと設備で7千万円の費用がかかりました。』
で、取得後の維持にも結構な費用が掛かりそうですね。
※確か以前は2年毎だったような気がする