万事达案例分析报告_诺曼底案例分析报告

万事达案例分析报告由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“诺曼底案例分析报告”。

万事达和Cardsystems案例分析报告

一．小组介绍小组成员：

组长：王洋

组员：尹艺迪、曹雨情、王琼、丁银姬、黄敬然小组分工：

PPT制作：王洋

课堂演示：曹雨情

资料收集：(1)问题一：丁银姬

(2)问题二：王琼

(3)问题三：尹艺迪

(4)问题四：黄敬然

(5)问题五：王洋

资料整理：尹艺迪、曹雨情

案例分析报告：尹艺迪

二、准备过程：

1.案例讨论(2012-05-02，下午)

第一次会议，对案例进行阅读，总结案例所反映的问题，并对问题进行初步讨论，确定案例分析的重点，为资料收集做好准备，并针对案例问题进行初步分工。

其中案例所反映的问题如下：

(1)万事达和其它信用卡公司以及银行在这个案例中面临什么样的问题？出现该问题的原因是什么？它的影响是什么?

(2)万事达是否已经正确的查明这个问题？该问题涉及哪些人员、组织、技术等方面的问题？关于这个问题，你建议信用卡公司和银行还应获取其他哪些证据或资料？

(3)万事达和其他公司在处理该问题时考虑了哪些解决方案？方案合适吗？是否还有其他方案可予以考虑？

(4)对于当事方来说，最好的解决方案是什么？你认为万事达能否成功解决这一问题？请解释原因。

(5)对于案例中的问题，解释一下万事达、Cardsystem公司、安全专家和政府采取的方法有什么不同。

案例分析的重点为：

(1)了解信用卡行业的特点，针对案例末的问题，对案例中万事达公司面临的问题、原因、方案、影响及解决措施等进行详细分析。

(2)从组织、人员、技术三个维度对信用卡安全行业进行分析。

过程中遇到的问题及解决方法：

(1)对信用卡安全保护的机制及作用原理了解不够。

解决方法：反复阅读案例，并查阅相关文献，增加相关知识，增强对案例的理解。

(2)对信用卡的相关知识了解不足。

解决方法：上网搜集资料、阅读文献等，通过对资料的整理来对以上的问

题进行较深入的了解。

2.资料搜集(2012-05-02晚到2012-05-03日下午)

主要任务：对案例分析提出的主要问题搜集相关资料，对不同组员搜集到的资料进行初步整理

资料搜集的方式：通过互联网搜集、查阅相关报纸、图书

3.第二次讨论（2012-05-04下午）

主要任务：针对小组成员搜集到的资料及资料搜集过程中出现的问题进行讨论，详细讨论展示及分析报告各部分安排及内容，并进一步明确各小组成员分工，4.案例综合整理(2012-05-04 晚至2012-05-05下午)

对各组员搜集到的资料进行综合的系统的整理，得出分析的结论和意见及启示，最后编写案例分析报告和制作讲演PPT

过程中遇到的问题：

搜集到的资料繁多并且散乱，很难筛选出最有价值的资料。

解决方法：对问题进行进一步的细化，对每个细化问题逐个解决。

四：案例分析结论和意见

首先，通过阅读案例及对信用卡行业及其安全保护措施的了解，我们从外部宏观角度对信用卡行业进行了分析。

分析方法：PEST模型

经济环境：进入21世纪后，全球经济都得到了稳定持续的发展，虽然有几次波动，但都没有阻止信用卡时代的来临。大多数人都更倾向于利用信用卡进行消费同时多数企业都，大多数企业也都有结账终端用于信用卡支付。在这种信用卡消费方式繁荣发展的经济环境下，万事达公司也在不断发展。

政治法律环境：目前，联邦政府并没有一套完善的法律体系保护信用卡安全。万事达公司想负责其支付处理的公司提供安全要求是不受法律管制的，但是它可以向没有遵守其规则的处理方收取六位数的罚金。但是，由于缺少法律的保护，万事达公司在对其处理方的监管方面很难进行。

社会文化环境：随着经济的发展，人们的思想不断进步，更加倾向于使用信用卡消

费。这种消费方式简单快捷，满足了人们渴望得到更便利的服务方式的需求。企业也更加倾向于采用信用卡结账，减化了繁琐的结账过程，提高了企业的运营效率。

技术环境：随着教育的不断提高，技术的发展越来越成熟，信用卡公司可以开发出提供不同服务的信用卡和管理信息系统，使公司可以吸引更多的顾客，慢慢的改变人们的生活方式。然而，技术的不断提高，也给信用卡公司带来了安全风险，很多高技术人员开始进行计算机犯罪。

通过PEST分析，可以看出，经济的快速发展促进了信用卡消费方式的诞生，教育水平的不断提高提供了大量的技术人员，技术人员为企业带来了新鲜血液，开发出了各种信用卡和信息系统，加速了信息化进程。但是，与此同时，政治法律的发展却没有跟上信用卡消费的脚步，这促使了一件件的数据安全问题的发生。

其次，我们还从组织、人员、技术三个维度对万事达公司的信息泄露问题进行了分析：

此外，我们也针对案例中问题进行了分析讨论，得出的结论如下： 问题一，该公司面临的问题、原因及解决方案。

问题二，问题三，万事达公司考虑的解决方案及可以考虑的其它方案。

当万事达公司发现数据被暴露时，首先对对事件进行公开，并与执法人员一起对入侵者的欺诈模式进行追查，同时，对数据丢失的客户进行安慰，保证不会被追究任何欺诈的指控，支付诈骗损失此外，对CardSystems公司进行了警告，终止于其合作。为了解决这一严重的信息窃取问题，提高信用卡交易的安全度，万事达与各公司也采取或计划采取了一系列相关措施，主要有实行安全上网、客户身份验证更有效、雇用专门从事安全方面的员工、改进转移大量客户数据的方法，保护数据源免受外部入侵；加强内部控制，使员工不能访问与其工作不想管的文件、应用程序以及网络的一些区域；利用复杂密令、令牌、智能卡及生物统计身份认证设备强化密码保护；让一个管理身份失窃的办公室隶属于联邦贸易委员会运作，对任何处理敏感个人数据的组织设立最低安全标准，并对没有执行标准的组织处以罚金；将物理磁带的货运传输方式用通过安全高速的网络传输方式取代。

这些措施对于该问题的解决都具有不错的效果，此外，我们认为，还可以采取以下措施：及时通知信用卡客户应及时查账，如发现未经授权的交易行为及时与发卡公司、警方取得联系；将信用卡向着IC卡的形式发展，使信用卡附带还有大量信息的芯片，从而为客户身份的确认提供支撑，杜绝仿制的可能；制定更多的法律规范来限制公司收集个人信息，并加强对违反者的处罚力度。问题四，对当事方来说，最好的解决方案及万事达能否成功解决这一问题。

对于当事方来说，要有效地打击网络犯罪，减少数据盗窃事件，保证数据安全，最好的解决方案是采取综合的方法。

综合的方法包括安全上网的方法、客户身份验证更有效的方法、雇用专门从事安全方面的员工、改进转移大量客户数据的方法。在这基础上，除了保护数据资源免受外来入侵者破坏以外，公司还必须加强内部控制，使得员工不能访问与其工作不相关的文

件、应用程序以及网络的一些区域。公司可以利用复杂密码、令牌、智能卡以及生物统计身份认证来强化密码保护，从而建立这些控制。

在解决方案中，要包括两个主体：外部侵入者和公司内部人员。

对于外部侵入者的防范是一个很复杂的过程，它涉及信用卡从发卡系统、收单系统到跨行交换系统的整个产业链，任何一个系统出了问题都将危及信用卡产业的安全。此次信用卡资料外泄事件就是在收单方面出了问题，这是一个典型的木桶‘短板效应’。针对这一问题，首先，万事达公司应该先完善自己的信息系统，形成一个安全的网络，对于病毒、木马等恶意软件的侵入，黑客的攻击等能进行有效的阻击。主要的做法有：

1.信道防泄漏：通过专用的通信线路来传输保密信息，防止信息系统中的数据与信息在传输的过程中被非法截获；2.加密防泄漏：通过的重要的、需要保密的信息加密后再传输，防止信息系统中的数据与信息被截获后的有效识别；3.隔离防泄漏：通过防火墙隔离内部网络和外部网络，防止信息系统中的数据与信息被窃取；4.检测防泄漏：通过对硬件系统和软件系统（含信息系统的网络、操作系统、数据库管理系统、web服务器软件系统、防火墙及应用系统等）进行检测，及时发现并修补漏洞，防止信息系统中的数据和信息被盗取或被破坏。

我们倾向于认为，对于企业的安全威胁来自组织外部。但事实上，商业机构面对的最大威胁来自内部人士的盗用和错误的操作。很多员工忘记进入计算机系统的密码，或者允许同事使用自己的密码，这将对系统产生危害。试图进入系统的恶意入侵者有时会伪装成公司的合法成员来欺骗员工，声称自己需要信息以诱骗他们泄露自己的密码。所以，万事达公司在完善信息系统的同时，对内部员工的管理也是非常重要的。通过对领导和管理人员的安全教育和网络知识普及，加强企业工作人员的安全意识，使他们真正重视信息系统的安全维护。

在此基础上，万事达公司还需要得到三方面的支持：持卡人、第三方处理公司和政府。万事达公司要加强对持卡人的宣传教育，告诫持卡人通过直接输入银行网址，而不是通过链接的方式进入银行网上交易界面；不随便打开陌生邮件、不随便提供自己的卡号和密码等信息；不随便下载、打开不熟悉的邮件附件等等。

公司要对自己的处理方进行严密的监管，必须保证处理方严格的遵守了自己的安全准则。一定要杜绝案例中CardSystems公司非法存储用户信息等违规行为，这就需要当事方合理的与处理方进行沟通与配合。

同时，万事达公司也要积极响应政府的政策，配合政府不断完善关于网络安全方面的政策。就像案例中的各种提议一样，只有这些提议真正运作起来，发挥作用，信用卡安全问题才会更好的解决。

万事达公司很难成功解决这一问题。即使万事达公司肯付出昂贵的成本采取综合的管理方法，它也很难解决数据盗窃这一问题。

首先，虽然在这次数据丢失事件中，万事达公司并不是主要责任人，但是大多数的顾客是不清楚内情的，因此，万事达卡的声誉大受损害。万事达公司的损失不仅仅是免费更换一些卡片这样简单，更大的损失是此次事件导致持卡人信心明显降低，剪卡不

断。他们必须付出更多的努力澄清负面影响。就像案例中呈现的事实一样：虽然虽然破坏行为并不是发生在万事达卡的设备上，而且，在事发后，万事达公司的安全分析人员和执法人员马上进行追查，尽可能把影响降低到最小，但是加利福尼亚州的消费者和零售商还是以CardSystems、万事达和维萨违反本州法律，没有对其网络进行妥善保护，在事件发生以后没有迅速通知客户为由向三家公司提起了集体诉讼。

其次，要建立一个更加完善的信息系统是需要高昂的成本的，在此时万事达公司已经因数据失窃而造成了巨大的损失，想要马上完善信息系统是不可能的。况且，目前金融机构，尤其是数据处理公司，仍然是账户和身份盗用的热门目标，进行网络犯罪的人，会通过各种方式对数据进行盗取与买卖。就像案例中写到的一样：黑市猖獗，尤其是高度结构化的在线网站以及组织，窃贼可以通过这样的网站进行数据的出售，这极大的提高了数据盗窃的犯罪率。而法律对计算机罪犯仍然无从下手。在公司的信息系统不断提升的同时，计算机罪犯的信息技术也在不断提高，黑市给了他们去开发不同的软件的动力，而信用卡公司只能被迫的应对，这极大的提高了数据丢失的几率。而且，目前又出现了网络钓鱼欺诈行为，罪犯通过电子邮件提供一个链接，使用户根据提示点击进入，输入用户名和密码，诱使他们核实或更新账户资料。用户在上当的同时会把责任归咎于信用卡公司，然而，公司却无法控制罪犯和用户的行为，没有更好的办法杜绝这一事件的发生。

同时，万事达公司还有一个不可控的外部因素——像CardSystems公司一样的支付处理公司。万事达公司无法得知自己的支付处理公司是否遵守了自己的安全准则，这也极大的提高了万事达公司的运营风险。

成功的解决这一问题还需要一套完善的法律制度，而目前的法律制度在这一方面仍是空白，虽然已经有个很多提案，但是，这离完善还差的很远，还有很长的一段路要走。要解决数据安全问题，不仅需要一套综合管理方法、完善的信息系统，还需要多方面的配合的。以目前的情况来看，要达成这一目标还有很长的一段路要走，所以，万事达公司很难成功解决这一问题。

通过本次案例讨论，我们获得的启示与收获主要有：

1.美国万事达卡的数据泄露对中国的影响不大，但是，中国的信用卡公司要引以为戒，建立完善的信息系统，对组织人员也要进行适当的培训。

2.中国政府应未雨绸缪，尽早出台关于信用卡安全方面的政策，并对信用卡公司进行严密的监管，防止数据失窃事件的发生。

参考文献