一年过去了吗？气温下降，树叶在转动，繁忙的假日购物季即将来临。在一些商店，它已经在这里!对于我们这些网络安全领域的人来说，这意味着一件事：大量关于假日安全威胁的炒作和压力。花一点时间阅读新闻，你会偶然发现一个故事，警告消费者注意力分散，容易受到攻击者的攻击，并提醒零售商潜在的厄运潜伏在一系列旨在窃取客户数据的新型网络攻击背后。

这些“大肆宣传”背后都有一个真实因素。但现实情况是，如果您是零售商或接受信用卡和电子支付的企业，那么假日购物季节应该无关紧要。正如零售商倾向于在十月份全面测试和锁定他们的假日网站以准备大匆忙一样，支付安全不仅应该在假期之前很好地实施，它应该是在每年365天中很好地实现，就像管理库存或人员配置检查一样。

支付卡行业数据安全标准(PCI DSS)在设定与支付安全性相关的最低标准方面做得令人满意，但许多组织错误地将其用作整个安全框架。任何安全框架都应根据商家的特定风险概况进行定制 - 它所处的业务、存储的数据、已实施的对策以及最有可能发起攻击的敌人。在这种威胁形势下，遵守PCI标准是不够的。当然，您的组织可能会通过遵循PCI和类似的指导方针来达到最低程度的安全性，但事实是，这还不足以确保当今互联世界中非常复杂的货币交易世界。

那么，商家应该如何在他们的组织中实施真正的支付安全呢?在大多数情况下，这需要四个步骤：

建立您的风险简介：一个销售手工制作的萨克斯风簧片的网站将具有与拥有数百万客户以及在线、移动和实体支付渠道的巨型零售连锁店截然不同的风险。超越PCI DSS并实现真正的支付安全性的第一步是了解您的业务风险的全部范围：您接受付款的渠道是什么?您的数据存储在哪里?你存储什么样的数据?谁有权访问这些数据?谁最有可能想窃取这些数据，他们将如何攻击?这些类型的问题为制定针对商家特定运营定制的战略支付安全策略提供了重要的输入。

关注所有销售点：组织历来专注于保护店内和在线信用卡交易。对于许多商家来说，今天的安全要求范围更广，需要在整个支付生命周期内保护数据。从商店到在线，到中介机构和银行。商家必须保护的支付渠道也在激增，包括信用卡读卡器、Square读卡器、在线支付、数字钱包等。了解您的完整支付渠道以及整个支付生命周期是确定真正支付安全性的关键。

优化运营：网络运营对于应对违规披露窗口和最大限度地减少违规的可能性至关重要。随着支付在消费者，销售点系统，信用卡提供商和发卡银行之间转移，这些能力尤为重要。它需要合适的人员、流程和技术的组合，才能形成有效的支付安全策略的支柱。

不要忘记网络：保护外部威胁只是支付安全解决方案的一半。商家还必须通过强大的身份和访问管理、应用程序安全、培训和意识计划等来防范故意和意外的内部威胁。内部人员几乎占所有数据泄露的一半，因此在任何支付安全策略中考虑此威胁向量至关重要。

通过这些步骤，商家可以大大提高支付安全性。然而，这些并非离散的步骤，它们是持续的和相互关联的，这就是为什么购物季真的不应该与一年中的任何其他时间有任何不同。无论季节如何，您都需要了解不断变化的风险状况、你销售点、运营效率和有效性状态以及内部安全性。

在假日中被抓住太容易了。但如果你的组织全年都认真对待安全问题，节假日应该没什么可担心的。