2016年9月,支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)( PCI SSC )迎來(lái)10周年紀(jì)念。這個(gè)由主流信用卡品牌創(chuàng)建的組織,成立目的就是為強(qiáng)化支付卡信息的安全保護(hù)。PCI SSC 管理著支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)( PCI DSS ),也就是任何存儲(chǔ)、處理或傳輸支付卡信息的組織都必須遵守的要求。PCI SSC 一直基于最新威脅和企業(yè)環(huán)境中不斷增加的復(fù)雜性,持續(xù)修訂 PCI DSS 。
適逢 PCI SSC 里程碑式的10周年之際,探討一下這一標(biāo)準(zhǔn)的成功之處和所遭遇的問(wèn)題,或許會(huì)帶來(lái)一定的啟發(fā)作用。沒(méi)有哪個(gè)標(biāo)準(zhǔn)能毫發(fā)無(wú)損地通過(guò)行業(yè)審查;事實(shí)上,標(biāo)準(zhǔn)幾乎總是落后于創(chuàng)新。然而,PCI DSS 卻是極少見(jiàn)的,超前于潮流的標(biāo)準(zhǔn)之一。
要讓一個(gè)行業(yè)能夠評(píng)估自身狀況,一個(gè)可供做出判斷的客觀基準(zhǔn)是必須的。PCI DSS 就設(shè)定了那個(gè)基準(zhǔn)。
PCI DSS 為尋求保護(hù)客戶支付卡信息的公司提供了有效的起始點(diǎn)。發(fā)現(xiàn)支付卡數(shù)據(jù)存儲(chǔ)地、鎖定可能造成泄露的漏洞、修復(fù)這些漏洞并告知相關(guān)銀行和信用卡商的過(guò)程,是強(qiáng)力信息安全項(xiàng)目的一個(gè)基本方面。
PCI SSC 經(jīng)常更新 PCI DSS 以便企業(yè)可以領(lǐng)先最新威脅一步,在他們的業(yè)務(wù)環(huán)境越來(lái)越復(fù)雜的情況下,也能更好地保護(hù)客戶的支付卡數(shù)據(jù)。自2006年 PCI DSS 第一版發(fā)布以來(lái),PCI SSC 已對(duì)該標(biāo)準(zhǔn)更新了7次。頻繁的改變,對(duì)緊跟技術(shù)和業(yè)務(wù)環(huán)境的發(fā)展而言十分必要。但是,它同時(shí)也提出了重大挑戰(zhàn),尤其是對(duì)勉力跟上的小商戶而言。
PCI DSS 要求企業(yè)進(jìn)行季度漏洞掃描,并向?qū)徲?jì)者報(bào)告修復(fù)情況。而且這些掃描是不算在年度 PCI DSS 全面評(píng)估當(dāng)中的。無(wú)論有沒(méi)有這些要求,企業(yè)都應(yīng)該持續(xù)遵循最佳實(shí)踐。對(duì)那些不這么做的企業(yè)來(lái)說(shuō),至少客戶能夠確保每年有幾次會(huì)有最低限度的注意力投放到發(fā)現(xiàn)和修復(fù)漏洞上。
成功之處:檢查薄弱環(huán)節(jié)最新一版的 PCI DSS 3.2,添加了對(duì)第三方服務(wù)提供商的要求。正如過(guò)去幾年激增的重大數(shù)據(jù)泄露事件表露出來(lái)的,第三方一直是信息安全中的薄弱環(huán)節(jié)。PCI DSS 3.2 要求服務(wù)提供商進(jìn)行季度審查,確保人員遵從安全策略和操作規(guī)程。提供商還被要求至少每半年對(duì)分段控制進(jìn)行滲透測(cè)試。
挑戰(zhàn):常被視為走過(guò)場(chǎng)太多公司將 PCI DSS 合規(guī)視為一路打勾下去的走過(guò)場(chǎng),而不是實(shí)踐良好的整體網(wǎng)絡(luò)安全。企業(yè)應(yīng)從基于風(fēng)險(xiǎn)的視角看待網(wǎng)絡(luò)安全,讓網(wǎng)絡(luò)風(fēng)險(xiǎn)管理享受到與其他操作性風(fēng)險(xiǎn)同等的持續(xù)性優(yōu)先對(duì)待。
挑戰(zhàn):大企業(yè)很難保持領(lǐng)先有分布式遺留環(huán)境(比如在上百個(gè)商場(chǎng)的自營(yíng)終端上部署的多代銷(xiāo)售終端系統(tǒng))的大型企業(yè),在保持對(duì)不斷變化的 PCI DSS 的合規(guī)上舉步維艱。只要標(biāo)準(zhǔn)進(jìn)行了更新,企業(yè)就得努力確保他們的技術(shù)和安全控制也更新到合規(guī)的程度,而當(dāng)企業(yè)環(huán)境遍布全球時(shí),這項(xiàng)工作推行起來(lái)就十分棘手了。如果企業(yè)從一開(kāi)始就實(shí)現(xiàn)強(qiáng)力網(wǎng)絡(luò)安全防護(hù),那他們就能在 PCI DSS 合規(guī)工作中領(lǐng)先一步。
挑戰(zhàn):必須用自動(dòng)化替代人工過(guò)程對(duì)很多公司而言,季度和年度合規(guī)報(bào)告,是一項(xiàng)耗時(shí)耗力的手工工作,要將數(shù)據(jù)抽取到一連串的電子表格中呈現(xiàn)給審計(jì)者看。人工將網(wǎng)絡(luò)風(fēng)險(xiǎn)信息編譯進(jìn)各種各樣的電子表格,是一項(xiàng)恐怖的、分散精力的、資源密集型的任務(wù),往往迫使安全團(tuán)隊(duì)將視線從安全防護(hù)上調(diào)離開(kāi)來(lái)。網(wǎng)絡(luò)風(fēng)險(xiǎn)報(bào)告必須自動(dòng)化,不僅僅是為了 PCI DSS 審計(jì),更重要的,是讓安全高管、業(yè)務(wù)線應(yīng)用程序所有者,以及董事會(huì),能夠理解安全團(tuán)隊(duì)在保護(hù)公司資產(chǎn)上所做的努力。
挑戰(zhàn):錯(cuò)誤和偏差不可避免地進(jìn)入到了過(guò)程中除了人工編譯 PCI DSS 合規(guī)報(bào)告的精力消耗,錯(cuò)誤和偏差也會(huì)不可避免地混入到數(shù)據(jù)中。某些情況下,企業(yè)沒(méi)時(shí)間收集數(shù)據(jù),于是就使用了以前報(bào)告中的過(guò)時(shí)信息。人工企業(yè)采用了自動(dòng)化收集、分析和報(bào)告網(wǎng)絡(luò)風(fēng)險(xiǎn)信息的做法,那么所有利益相關(guān)者就能工作在同步的數(shù)據(jù)集上了。
挑戰(zhàn):企業(yè)內(nèi)部過(guò)程協(xié)調(diào)的必要性PCI DSS 合規(guī)過(guò)程需要在合規(guī)、安全、IT和業(yè)務(wù)線應(yīng)用程序所有者之間進(jìn)行協(xié)調(diào)。然而,這幾方往往是各自為戰(zhàn),造成四處滅火和垂死掙扎的窘狀。為保持領(lǐng)先,業(yè)務(wù)線應(yīng)用程序所有者應(yīng)該成為程序和數(shù)據(jù)防衛(wèi)戰(zhàn)中不可或缺的一部分,而不僅僅是流程末端無(wú)足輕重的一個(gè)簽名。