成功評估:PCI DSS標準和安全數據存儲
支付卡數據安全措施中的不足是造成企業未能通過支付卡行業數據安全標準(PCI DSS)評估的主要因素之一。通常一些被禁止的數據,如CVV2帳戶安全密碼或個人識別碼(PIN),仍然被保留了下來(PCI DSS嚴禁保留這些數據),或者在沒有充足的安全保障的情況下對原始帳戶號碼(PAN)進行了存儲。和一些相對簡單的網絡安全措施相比,在安全數據存儲方面,PCI DSS給許多商家都提出了極具挑戰性的問題。
不了解支付安全的人往往只會采取普遍適用的措施(如“使用加密技術”),卻完全不考慮全球分布式支付環境的極端復雜性。同時,安全評估機構(QSA:Qualified Security Assessor)報道的多起案例表明,持卡人龐大的未加密數據被存儲在了商家的Web服務器上,全世界的人都能看到這些數據。
在本文中,通過簡化企業數據存儲措施和縮小PCI DSS評估范圍,我們提供了一些具有建設性的意見來幫助企業簡化評估程序。
首先,人們對PCI DSS普遍存在一種誤解,認為它是為了保障支付數據安全制定的標準。而實際上,該標準的制定是為了降低支付卡交易過程中的風險。二者之間細微的差別在于,不用實施復雜的數據安全周期,或者購買昂貴工具(會產生大量的管理費用),用戶就可以切實地降低交易風險。
因此,解決問題的辦法往往是刪除數據而并不是加密數據。Visa在目前由自己所倡導的方案中就力薦這個方法:刪除數據。在布蘭登•威廉斯(Branden Williams)和我合著的《PCI DSS規則遵從書》(The PCI DSS Compliance Book)一書中,數據安全性一章的開頭是這樣寫的:“在開始討論數據保護方法之前,我們需要提醒讀者的是‘只有死了的數據才是最安全的數據’,這句話除了比較幽默以外,也告誡用戶刪除數據或其它不再操作數據的方法才是使PCI DSS合規變得更容易的最好方法,這樣還可以降低交易風險、減少責任、減小罰款和違規損失的可能性。”
數據銷毀背后的道理很簡單:當今的安全技術非常復雜,常常需要進行維護(如,需要每日審查或安全監控),況且采用的技術可能一點也不可靠(“基于簽名”的反病毒檢測技術,只能檢測到一小部分攻擊)。因此,花大力氣保護數據卻沒什么效果的方法與確保數據無法進入工作環境的方法相比,著實是一個下策。顯然,這并不適用于保護公司的知識產權(IP)和其他保密信息,但卻適用于支付數據。畢竟,我們都同意一點,就是銀行更適于存儲大量的數據,因為我們自己的公司并沒有存儲數百萬美元。同樣,在未來,公司不存儲卡數據也會成為一個明顯的趨勢。
但是,刪除數據僅僅是開始。使PCI DSS評估變得更加順利的另一個關鍵策略是縮小評估范圍。由于PCI評估的復雜性直接決定了評估的范圍(PCI決定了持卡人數據環境的大小,從而決定了在評估中必須包括的審計的系統數量),因此縮小評估范圍將對評估過程產生直接影響。這是為什么呢?讓QSA調查一下持卡人環境中的1萬個系統(如果一個企業的網絡是平面的,并且持卡人數據又沒有與余下部分的網絡分割開來)和只調查10個系統,產生的差別是很大的,能對評估成功的可能性造成巨大影響。
因此,在評估前,可通過QSA進行現場評估或SAQ自我評估,我力薦以下方法:
◆通過計算傳輸、存儲或處理持卡人數據的所有系統來估計PCI的評估范圍。在此提醒您,除了交易服務器和網關,通過了未加密卡數據流量的網絡設備也包含在評估范圍之內。
◆可以試著預測一下,在未經許可的情況下,持卡人數據會存儲在您公司的哪些地方。一般易被人們忽略的數據存儲地是開發商環境或屬于其他業務部門(如營銷部門)的服務器。如果每一個開發商工作站由于使用真正的卡數據進行系統測試(順便說一下,這種做法在PCI DSS中是被明令禁止的。)而成了“范圍”的一部分,那么范圍在逐漸發生變化的確非常危險。
◆下一步,根據評估范圍和手頭有的資料,按敏感的數據量對系統進行排名。
◆仔細研究排名后的列表,并試著弄明白你的企業流程如何改變才能避免數據存儲,或者在少存儲數據的情況下如何經營企業。這是最關鍵的一步,任何可以被刪除(或者一開始就沒有存儲過)的數據都有助于縮小評估范圍,從而使評估過程更加容易。
◆然后,檢查一下不能刪除的數據,已決定是否能以一個較短的周期進行存儲。這樣可以降低歷史數據遭到損害的風險。
◆考慮使用現代方法保護數據(如標記化),把數據用一串無關緊要的符號來代替,這樣可以避免儲存數據。
◆最后,逐步檢查支付的過程,從而確定哪些部分可以外包給安全支付供應商,這種關系有助于降低風險、縮小PCI的評估范圍。實際上,信息安全將永遠不會成為大多數商家的核心競爭力。因此,與服務供應商建立關系,比審計跨站點腳本攻擊或為安全信息和事件管理(SIEM)產品編寫的相關規則更加簡單。
只有經過上述步驟,你才可以考慮使用各種額外的技術保障措施,如強訪問控制和加密技術等,來保護剩下的數據。很可能需要將強訪問控制和數據加密技術結合起來保護您的環境。可選的加密技術有:磁盤加密、文件加密(為了保護存儲的flat-file數據)和數據庫加密(為了保護持卡人數據庫)。后者可以進一步分為多種方法來加密數據庫中的記錄。
在信息技術領域有一句常見格言:“加密很容易,密鑰管理卻很難”。這就是PCI DSS在密匙管理方面制定了那么多條規則的原因。具體來說,要求3.5(“保護好用于加密持卡人數據的加密密鑰以防止信息泄露和濫用”)和要求3.6(“全面記錄和執行所有用于加密持卡人數據的密鑰管理流程”)。這些要求又都具有多個子要求,如3.5.2(“以盡可能少的地點和形式安全存儲密鑰”)和3.6.6(“分割內容和設立加密密鑰的雙重控制”)。
一定要避免常見的加密失誤,如我在有關技術文件中提及的《加密的五大誤區》,如把加密密鑰與加密數據存儲在同一個數據庫中,或者在程序代碼中嵌入硬編碼固定密碼。
結論
一想到簡化PCI評估流程、降低支付卡的交易風險,首先要著眼于通過數據刪除來縮小范圍,然后再采取保護措施。
具體來說就是,將更復雜的安全保障(如,數據加密)放到最后去處理。雖然有些人擔心外包會有什么風險,但對一些商家而言,將數據外包給安全支付供應商,確保了商家和客戶的數據得到更好的保護。至少這可以對最近的“清除數據”方法(如標記化)進行審查。
【編輯推薦】
