解決方案

信用卡的潛在風險

防堵信用卡詐欺方面,雖然已經小有成效,但對於信用卡安全,大家都不應該掉以輕心。為了提供信用卡支付,店家會安裝程式,處理信用卡資料。

以下程式也潛藏著許多漏洞:
SQL Injection / XSS跨站攻擊 / Path Traversal / Session Hijacking(會話劫持) / 惡意軟體(連程式一起被偷渡下載)
早期,駭客還必須有一定的水準,才能成功駭進網站。現在透過網路機器人,駭客簡單幾個步驟即可對網路商店發動大規模的攻擊。

保護信用卡交易安全

信用卡最令人擔心的就是:交易糾紛。當有疑似詐欺情況發生時,總是買賣雙承擔風險及損失,而非信用卡公司本身。除了損失收入之外,這些有詐欺交易紀錄的公司還會被登記在信用卡公司網站上。當累積次數太多,信用卡公司將終止其交易行為。

PCI標準規範

2004年,為打擊信用卡欺詐和盜竊,組成了信用卡安全標準委員會(PCI SSC)。目的是為了提供發卡公司保障,確保有提供刷卡服務的店家在處理持卡人資料時,有合乎最基本的安全規範。

PCI標準規範要求店家(包含網路及實體商店)須合乎以下規範:

  1. 建立並維護一個安全的網路系統
  2. 保護持卡人資料
  3. 需有漏洞管理的程序
  4. 實施有效的連結控管措施
  5. 定期監測並測試網路系統
  6. 需有資訊安全政策
未能遵守PCI標準規範的公司,無法提供信用卡付款的服務,並可能受到懲罰和罰款。

企業有形以及無形的損失

如果網站的信用卡資料常常遭竊的話,除了營業損失之外,還得時常面對法律訴訟以及其他罰款。消費者一旦認定說,在這個網站消費不安全,不願在此消費時,會明顯影響公司的收入。品牌聲譽受損,比任何罰款都來得嚴重。

透過WAF,我們可以即時檢測網站的流量內容,尋找那些已知或未知的惡意封包。這可是原始碼檢測所做不到的。一旦WAF設置完成,便可抵禦以下攻擊: 路徑探索(Path Traversal) / 已知蠕蟲 / 遠端命令執行 探針(Probe) / DDoS攻擊 / 伺服器盜用 / XSS跨站攻擊 / SQL Injections

避免信用卡風險的必要性

找到最合適的解決方案來保護客戶信用卡資料,絕對是排第一的重要。當然也必須公司能夠負擔得起。沒有人可以精準預估,要花在原始碼檢測的成本和資源有多少。之後,還必須有專門的人力和成本來修補發現的安全漏洞。