目光转移到标记化厂商：审计师更喜欢数据加密技术

       一项对500多名审计师的新调查发现，大家最偏向择通过加密的方式保护敏感信息，其优先度高于选择使用数据标记化或其它密码技术方式。

       Ponemon研究所进行了这样一项调查：“审计师眼中的加密技术”。该项调查是受泰利斯公司委托进行的。泰利斯是一个专门研究那些用于加密银行财务数据的嵌入式安全设备的公司，例如软件加密和硬件加密模块（HSM）。

 

       34%的审计师在捕获信息时（例如：销售点（POS）、网站、电子邮件网关以及客户服务中心）都选择用加密的方法来保护数据。该调查还发现在这种情况下第二评价最高的方式便是标记化。

 

       Ponemon研究所的董事长兼创始人Larry Ponemon表示，数据加密对于审计师而言一直是一个令人垂涎的技术，但曾经有过密匙管理技术问题的组织都认为标记化是个很好的可供选择的替代方式。

 

        Larry Ponemon表示“通常情况下，我们的研究显示在我们调查的所有不同的使用案例中，审计师仍然赞成使用数据加密技术，标记化是一种新兴的技术，我们认为支付卡行业数据安全标准和一些其它的合规性要求都将允许标记化成为数据加密的坚实替代品。”

 

        此外，调查发现，在数据库中保护机密资料时，相对于标记化而言，审计人员更喜欢数据加密技术（54％支持数据加密，15％支持标记化）。在保护应用中的数据库外的数据时，审计师相较于截取（28％）更喜欢屏蔽（36％）。当涉及到保护存储中的机密数据时，55％的审计师推荐数据加密技术，接着就是17%的赞成使用标记化。

 

        围绕着新的标记化科技的使用之争，也就是所谓的端到端数据加密或两者的混合技术，在支付卡行业安全标准委员会（PCI SSC）主办的特殊利益团体间一直持续。这些特殊利益团体包括吹嘘自己技术的供应商，他们希望支付卡行业数据安全标准（PCI DSS）总有一天会认定使用标记化或混合数据保护技术来保护信用卡数据。

 

        支付卡行业安全标准委员会十月份发布的一份指导性文件认为，支付卡行业法规遵从的标记化和点对点数据保护市场仍处于起步阶段。

 

        此外，Larry Ponemon调查发现，超过80％的审计师认为对敏感或机密的信息进行加密是一种最佳做法。但该调查也支持数据保护是由遵从性计划驱动的见解。百分之五十四的审计师说，他们评估的组织使用加密安全工具只是为了实现履约所需。审计师们表示，支付卡行业和健康保险流通与责任法案（HIPAA）是数据加密的最大驱动者，其次是国家数据保护和数据破坏通知规则。

 

        Larry Ponemon说，企业有机会更广泛地应用数据加密技术来保护知识产权。特别是那些总部设在美国的公司一直非常注重信用卡资料、社会保险号和卫生保健信息的数据保护技术，以便实现支付卡行业和健康保险流通与责任法案遵从。

 

        Larry Ponemon表示：“越来越多的公司正在认识到自己的知识产权的价值，以及其损失将是如此的具有毁灭性。仍然有很多公司没有如此广泛的使用这项技术。”