遵照PCI DSS法案 確保數據的完整性
企業圍繞阻止數據泄漏和數據失竊的需要而大做文章,但費勁力氣的企業怎樣才能確保所有的數據得到了保護呢?數據完整性是支付卡行業數據安全標準(Payment Card Industry Data Security Standard ,PCI DSS)法案的一個關鍵組成部分(更不用說公司的運作能力),所以安全和法案團隊應優先確保數據完整性和準確性。
但是,了解哪些數據需要保護可能會非常棘手。
一般來說,法案規則相當清楚地規定了公司需要保護哪些數據(持卡人的數據、個人識別信息(PII)、個人健康信息(PHI)等),這些都屬于比較容易的部分。真正棘手的是怎樣在組織內部找出與法案相關的數據,對其進行合理的跟蹤和保護。
所以,即使你還沒有開始擔心的PCI,也有必要了解公司內部的重要數據是如何以及在何處流傳的。雖然DLP廠商會說,這不是嚴格意義上的技術問題,而是一個處理和人員的問題。你需要和每個業務部門的人都展開談話,因為你會發現他們使用數據的方式是你不可能想到的,甚至是有些業務需要可能是你沒有考慮到的。這些談話無疑會激起更多的談話,最終你將清晰地認識到:哪里有你必須保護的數據,你是否保護了這些應該保護的數據。
對于PCI DSS,在某種意義上這個項目都是關于數據完整性的,但更深的挖掘你會發現12個PCI要求中沒有一個嚴格地屬于數據完整性的范疇。也就是說,12個要求都是重要的,當我們具體地看待數據的完整性問題,有一些具體要求可以幫助實現數據完整性。
最值得注意的是,看看關于保護持卡人數據的要求(其中包括要求3:保護存儲的持卡人數據,和要求4:加密在開放的、公共的網絡上傳輸的持卡人數據)和強大的訪問控制措施的實施情況(包括要求7:限制對基礎信息的訪問,要求8:用戶必須具有唯一的用戶ID,要求9:限制對持卡人數據進行物理訪問)。要求8直接導致需求10:要求對所有持卡人數據和網絡資源進行定期訪問監測。最后,還有要求6:要求安全系統和應用程序的開發和維護。所以,總而言之,有一半以上的要求直接而明顯地強調了數據的完整性問題。
什么是保持企業數據完整性的最佳(或至少是共同的)做法?首先,無論是未使用的數據還是在整個網絡上傳輸的數據,都要對其進行加密。雖然這不是PCI DSS的要求,但我強烈建議通過SSL來傳輸數據,甚至把數據傳輸限制在企業自己的私有網絡中。這樣做確保了數據不會被盜竊和篡改,而且不會增加太多(如果有的話)的復雜性,又能真正有利于維護數據的完整性。.
下一步(同時,甚至更好的)的措施是給應用和網絡建立記錄和審計,這樣當數據改變時,企業能夠知道誰在訪問它的數據。而且,可能更重要的是,獲悉數據的去向。這應該包括一些網絡分析的能力。雖然記錄和審計不是PCI DSS標準的一部分,但如果所有的數據都加了密,那它們就變得必要了。此外,記錄和審計還能提供額外的好處,那就是能很快確發現敏感數據是否被傳輸到網絡上陌生的或不同的路徑——這很可能是潛藏著的破壞正在進行中。最近出現的Heartland 支付系統公司被入侵的事件警示我們,如果有這種記錄和審計技術,很可能將更早的發現問題,從而避免公司出現更嚴重的后果。
類似地,通過建立安全系統和應用程序并對其進行維護,你可以有一個更高的舒適度:這些系統中的數據在你的控制下,只有那些具有授權的、合法的訪問操作才能夠改變它。
通過遵循這些步驟(加密、日志、審計、安全的應用程序等),你不但符合PCI DSS法案,而且還符合了其他規則,如薩班斯法案(SOX),這將是一個額外的好處。
至于其他的建議,可以參考網上很多更詳細的PCI DSS描述,包括PCI DSS的一般資料的例子、建立一個優先遵循PCI DSS方法、適用于無線網絡的PCI DSS法案的指導方針、理解PCI DSS要求的意圖等。這會讓你清楚的知道從哪里開始處理數據的完整性,以及怎樣進一步的對數據完整性進行處理。
【編輯推薦】
