避免因第三方供应商导致数据泄漏

日期: 2011-01-20 作者:邹铮 来源:TechTarget中国 英文

  在过去几个月中,一系列的重大数据泄漏事故泄漏了数百万客户的重要信息。在12月初,麦当劳公司透露,其第三方电子邮件营销供应商的数据泄漏导致130万客户的数据记录被曝光。另外该公司在一份声明中表示,“这次数据泄漏事故涉及限制级客户信息,包括姓名、地址、电话号码、出生日期和性别”。还有消息称,第三方营销服务公司SilverPop的泄漏事故还造成了本田及其Acura子公司490万个帐户的泄漏,还有Walgreens公司的客户电子邮件地址也被泄漏。

  “现在云计算服务的使用越来越普遍,作为外包服务的用户,大家对于安全问题都非常担心,”分析公司Gartner公司副总裁Avivah Litan表示,“这些泄漏事故只是让大家更加担心第三方供应商服务了。”

  虽然这些泄漏事故严重程度远远比不上2007年零售商TJX公司以及2008年Heartland支付系统公司遭遇的重大安全泄漏事故,但是这些事故凸显了使用第三方供应商的危险性,这些第三方供应商的安全性往往无法验证或者被证明。Litan建议说,考虑选择在线服务供应商的企业最好检查这个公司的安全情况。

  “很多公司对于将身份验证操作转移到云服务都感到非常担心,除非他们真的真的非常满意供应商以及他们的安全状况,”她表示,“然而,不幸的是,对于第三方供应商是否安全的问题并没有可靠的标准,所以企业自己需要进行充分的调查工作。”

  虽然,对于需要处理信用卡信息和财务数据的企业,需要符合支付卡行业数据安全标准(PCI-DSS),但是对于保护个人识别信息(PII)方面却没有一套专门的标准。那些使用与PCI相同的标准的企业也不一定能够提供良好的安全性,他们在很多情况下只是进行基本的检查,分析公司The 451 Group公司的研究主管Josh Corman表示。

  “我们知道的是,企业仍然在遭受数据泄漏事故,我们并不知道其他方面是否会变更好或者更坏,”他表示。

  根据Verizon的数据泄漏调查报告2010显示,将近10家遭遇数据泄漏事故的公司中有8家是符合支付卡行业数据安全标准的,但是在泄漏事故发生的时候并没有符合标准。

  持有客户数据的企业应该要使用网络应用程序防火墙,使用安全措施开发软件,并且着重于关键服务器的白名单技术,451公司的Corman表示。Verizon报告发现,97%被泄漏的数据都涉及自定义恶意程序攻击,而94%的泄漏数据则涉及web应用程序漏洞,例如SQL注入漏洞。

  最后,处理信用卡数据和个人识别信息的企业可以通过限制服务器的数量和可以访问这些数据的人的数量来预防数据泄漏。另外,将关键数据保存在自己公司的服务器上,而不是交给第三方,这样企业可以保留对这些数据的控制权。

  “这是整个Web 2.0模式存在的问题,整个云模式,你的控制范围被缩小了,”Corman表示,“有时候你能做的最好的就是重新划定控制的范围。”

  Gawker泄漏事故就是一个很好的例子。虽然黑客们攻击了130万个帐户,但是使用Facebook Connect(Facebook用户身份验证系统)的用户就不需要担心,因为他们的登录凭证信息并没有保存在Gawker系统中。身份管理系统、令牌,以及其他集中管理重要数据的技术可以最大限度地减小个人信息在安全泄漏事故中被泄漏的可能。

  最后,从运作角度来看,可能企业不需要为客户数据的安全负责任,但是从法律上和道义上来看,企业必须实施控制。

  “这也许不是你的错,但这仍然是你的问题,”他表示。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

邹铮
邹铮

相关推荐