摘要：每年都有许多小公司报告数千起数据泄露事件。这些小公司防御力量薄弱，也无法承担数据泄露的后果，包括Visa和万事达（MasterCard）的严厉处罚、补救费用（联系信用卡持有人并与信用卡发行银行展开合作）和设备更新成本，当然还有诉讼费。以下是避免数据泄露的四个方法。

　　了解你的电子支付处理商
　　
　　电子支付处理商多如牛毛。请至少确保你的处理商得到了支付卡行业安全标准委员会（Payment CardIndustry Security Standards Council）的PCI认证。处理商每年都必须满足严格的标准才能获得PCI认证，包括每年一度的现场审查、对内部安全策略的检查、对网络的模拟攻击（被称为渗透测试）和内部网络审查（你还可以要求查看处理商的财务状况，以证明其财务稳定性）。你可能不必为PCI认证支付更多费用，却可以放心许多。Visa在其网站上公布了获得PCI认证的全球处理商名单。
　　
　　消除内部威胁
　　
　　有偷窃癖好的雇员也会带来巨大灾难。请为敏感数据设置访问权限（查看监控摄像机的人或许不应该拥有访问客户数据库的权限），并始终密切注意你的设备。窃取数据的一个花招（被称为“掠读”）就是在销售点记录器、自动加油机和自动取款机里安装危险的微型无线电波身份识别芯片（可以读取和存储信用卡号码和PIN码）。在自动取款机方面，可以考虑使用ADT公司的反掠读（Anti-Skim）软件。如果侦测到任何的安全危害，这种软件就会拨通客服机构电话或者当场取消交易。如果你确实有所怀疑，那么你可以请合格安全评估商（Qualified Security Assessor）进行检查。基本检查的起步价约为125美元，具体价格视公司规模和复杂性而定。
　　
　　加强防御
　　
　　不管你的网站位于何处——在你自己的服务器上或者由数万家第三方公司之中的一家负责托管——都需要确保网站的安全性。选择防御能力强的托管服务器（本身也可能出现问题）对防止数据泄露至关重要。要想知道托管商能否提供足够的保护，一个方法就是核查其资质。萨班斯-奥克斯利法案（Sarbanes-Oxley）规定，所有公开上市的信息技术公司都必须获得SAS-70（I型或II型）认证，以证明它们对其内部网络的控制能力。但小型私人公司也可以通过获得这种认证来打响自己的招牌。另外，如果拥有SSL认证，这说明托管商对网上收集的安全数据（比如信用卡信息）进行了全面保护。你或许还想知道托管商的入侵检测与保护方案。这种方案可以在造成真正损失之前识别黑客攻击。许多托管商都没有采取以上措施。因此，请选择那些采取了这些措施的托管公司。
　　
　　购买保险
　　
　　由电子支付处理商或直接由大多数保险公司提供的数据泄露安全计划保险只需付出少量金钱就可获得巨大帮助。每年支付100美元左右可获赔5万美元。通常来说，理赔范围包括了Visa和万事达的罚金，以及向银行或信用社支付的信用卡重发费用。和其他所有保险单一样，请仔细查看用小号字体显示的条款，以免理赔范围出现漏洞。
　　
　　责任编辑：Lily