PCI合规性的“时间点”方法或许是许多零售商遇到困难的原因之一。

尽管主要的信用卡组织努力通过PCI DSS（支付卡行业数据安全标准）来提高零售业的安全性，但是零售产业对于网络安全所做的准备依旧落后于其他产业。

第三方风险管理公司SecurityScorecard近期总共分析了零售产业的1444个域以及至少100个IP地址。该公司的研究人员对外部零售业IP进行了为期5个月的被动监测来监测漏洞。

这一行为表明在主要的产业部门中，零售业的应用安全表现排名倒数第二。在18个行业的名单中，零售业最容易受到影响，排名第17位，仅超过娱乐产业。去年，该产业排名倒数第四，这意味着在过去的12个月内，产业在应用安全的表现不仅没有提升，反而下降了。

零售商在防御社会工程攻击能力上排名垫底。SecurityScorecard的分析表明，相比于其它产业，使用钓鱼以及其它社会工程方法来窃取数据和实施欺诈的犯罪分子更有可能成功地攻击零售业。

这些发现很重要，因为除了医疗、银行和金融部门，犯罪分子更倾向于瞄准零售部门。近几年，很多零售商都发生过数据泄露事件，上千万甚至数亿的付款卡信息遭到泄露。

Visa、Mastercard、American Express以及其他主要的信用卡组织都要求零售商实施一套改进的安全控制，用于保护处于闲置、使用中、存储以及交易中的信用卡数据。PCI（支付卡行业）安全标准也已经成功地实行了数十年。

尽管一些零售商泄露数据后会面临严厉的经济处罚，但是很多零售商也不会完全遵守这一标准。事实上，SecurityScorecard分析发现将近91%的零售商都存在一些问题，他们不大可能会遵循四个甚至更多的PCI DSS（支付卡行业数据安全标准）。

零售商在PCI DSS Requirement 6（与应用安全性相关）的表现尤为糟糕。SecurityScorecard分析，有98%的零售商存在可能导致不合规的问题，其中91%的问题涉及Requirement 6的一部分，需要及时修复软件和系统来应对已知的安全漏洞。

SecurityScorecard合规负责人Fouad Khalil表示，他的公司认为当按照安全表现来对各个产业进行排名时，会带来一些与应用安全相关的问题。

Khalil表示，SecurityScorecard对零售领域被动监控所发现的安全问题经过权衡之后，能够说明这一问题的严重程度。SecurityScorecard会使用行业认可的标准（如NIST的常见漏洞评分系统v2）来进行严重性排名。当已识别的问题没有正式的严重性排名时，SecurityScore则会使用公认的权威和自己的内部资源来确定问题的严重性。

“然后，这些经过权衡的问题类型随后被整合到用于检测应用程序安全性的因子评分中，”Khalil说道：“我们对美国的每个主要行业都重复了同样的过程，当我们将零售行业的因子得分与其他行业进行比较时，这一产业就排在了倒数第二位。”为了决定是否遵守了PCI DSS应用安全的要求，SecurityScorecard针对特定PCI要求的“违规测试指标”标记了这些漏洞。

SecurityScorecard在其报告中表示，PCI合规性的“时间点”方法可能是许多零售商在应用安全要求和其他一些要求上遇到困难的原因之一。它不仅足以实现PCI委托的安全控制，而且还能持续维护它们，特别是在修复和应用软件更新等问题上。

SecurityScorecard使用了一个类似的流程来完成社会工程威胁的排名。在这种情况下，该公司研究了一些问题，包括零售员工使用他们的公司帐户信息来注册可以被利用的服务，例如社交网络、个人理财帐户和营销列表。此外，SecurityScorecard使用公开数据监控员工的不满意度，Khalil说道。与应用程序安全性一样，零售行业在这方面也与其他行业相比表现不佳。

根据SecurityScorecard的数据，在这种情况下，零售业的劳动力通常都比较年轻，这可能是一个因素。网络钓鱼和社会工程骗局都以零售业的员工为目标，但是这些员工并不足够了解以及认识到这些威胁。

原文作者：Jai Vijayan