PCI DSS 2.0:解析PCI評估變更
PCI DSS(支付卡行業數據安全標準)和PA DSS(付款申請數據安全標準)的2.0版本即將登臺亮相。在官方“發布”PCI DSS 2.0之前,人們可以通過查看該標準委員會的“更改情況摘要”文件對此次所做的改動進行了解。(編輯注:本文以更改情況摘要中的信息為藍本。)
站在對 PCI(支付卡行業)進行評估的角度,在對標準所做更改的情況進行具體分析之前,在宏觀層次上此次更改體現出兩個特征:第一點,更改的幅度相對較小。這一點是人們所沒預料到的;該領域不少的專家曾預測新的標準會采用“主要版本/次要版本”的模式來進行發布(與軟件產品的發布情況類似)。2008年10月PCI DSS 1.2發布,此后許多人估計今年發布的2.0“主要版本”將會是徹底的改變,但結果卻與人們預測的不符。該標準委員會把標準的成熟化作為改動相對較少的原因。因此,企業可以做出這樣的預測:未來發布的標準改動將會更少。在過去的五年里,該標注的1.x版本反復出現,導致改動相當大,這使得一些企業遭受了沉重的打擊,對他們而言出現上述情況也不失為一件好事。
第二點,更改的執行時間也很合理。換句話說,在企業被要求就它們如何實施了這些標準的更改而進行陳述前,企業還有充分的反應時間。因為這些標準的更改要到2011年才生效,留給他們還有一年的時間。在進行升級評估前,企業還有充分的時間來確保自身的環境處于良好的狀態中。
但這些可以帶來積極效果的進展不應該成為安全和規則遵從(compliance)管理人員偷懶的借口。盡管大部分的改動意味著控制范圍的縮小,但一些較小部分反而會產生更大的沖擊。因為這些小部分會涉及到企業目前的業務流程、規則遵從符合的范圍,以及企業以往對控制的理解情況。所以,現在正是采取行動、查看更改、對企業的規則遵從計劃進行調整的好時機。這時候采取行動將事半功倍。
PCI 2.0可能會使評估的影響輕微下降
總而言之,大部分的標準更改意味著PCI評估過程中工作量的減少。更改后的標準為評審員或企業都提供了額外的靈活度,從而可以縮小評估工作的范圍,并允許進行有梯度的評估,適用于企業和QSA(質量體系評定)。梯度評估使得企業不會再為爭論自己的部署是否符合苛刻的參數而花費大量時間;在和控制范圍的描述說明結合在一起后,企業和服務提供商之間耗時巨大的討價還價的情況就大大減少了,它還能減少質量體系評定時關于意圖與實際意義的爭論。下表列舉了具有以下特點的領域:標準的更改對PCI評估工作沒有影響,或者減輕了評估過程的工作強度。
|
要求
|
被提議的更改
|
評估的影響
|
|
PCI DSS簡介
|
說明: PCI DSS Requirements 3.3和3.4只適用于在PTS(虛擬終端)SRED(安全閱讀和數據交換模式)下的 PAN. Align語言
|
在大多數情況下,對評估工作會有極小的影響。如果企業或者企業的QSA在過去的評估中將3.3和3.4用于其他持卡人資料,有可能會造成在對工作量進行評估時,評估范圍的縮小。
|
|
評估的范圍
|
說明:所有崗位和持卡人資料的流動應該被確定和記錄在文件中,確保對持卡人資料環境的準確界定。
|
有可能存在影響的領域(如下所述)
|
|
PCI DSS簡介和各種不同的要求
|
對系統組件定義的擴展,使其包括虛擬組件。對要求2.2.1進行更新,來說明“一臺服務器,一項主要功能”的內涵,并使用虛擬化。
|
有可能存在影響的領域(如下所述)
|
|
PCI DSS要求1
|
提供對互聯網和持卡人資料環境之間的安全邊界的說明。
|
從描述中來看,還不清楚所謂的說明究竟是什么。不過,當前對將CDE(通用桌面環境)從互聯網中分離出來所要進行的控制相對明晰了。這一要求只會帶來極小的影響。
|
|
PCI DSS要求3.2
|
要認識到這一點,發行人存儲敏感的認證數據要有合法的商業需求。
|
發行人的商業要求與對企業和服務提供商進行評估關系不大。對評估所需工作量影響極小。
|
|
PCI DSS要求3.6
|
對密鑰的改變、廢棄和替換的過程進行說明,并增加其靈活性,采用分裂控制(split control)和雙重知識。
|
從對更改情況的描述中,我們沒有獲得足夠的信息來獲悉這一點究竟如何改變。改變的目的是提高靈活性,這也意味著評估工作量的減少。
|
|
PCI DSS要求6.2
|
對要求進行更新,允許把不安全因素進行排列,并根據風險大小進行優先化處理。
|
這一點使得要求與目前企業所進行的工作更加合拍;在評估過程中,這項要求的實現情況可以用梯度來進行展示。
|
|
PCI DSS要求6.5
|
將要求6.3.1融合進6.5 中,消除在對內部和面向Web的應用進行安全編碼時的冗余。包括額外的安全編碼標準,例如CWE和CERT。
|
將這兩個領域進行整合,可以帶來評估工作量的減少。因為這樣一來,對同樣的控制,企業和QSA人員就不必進行兩次了。
|
|
PCI DSS要求12.3.10
|
對要求進行更新,在遠程訪問時,要求提供對CHD進行復制,移動和儲存的正當商業理由。
|
這項改動意識到:企業在進行遠程訪問時,需要對持卡人的資料進行操作。因此,企業在進行這項操作時就不必書寫補償性控制了。
|
正如你所看到的,除了兩個已經提及的領域,該表格中所列項目對評估所造成的影響都相對較小。反而是另外的兩個領域,商人和服務供應商或許更樂于保持警惕。
兩個需要注意的領域
最值得注意的改變是對PCI評估范圍的說明(在上面更改清單的第二個條款里)。然而,該條款還不太明確,特別是如何在最終的文件中體現出范圍的改變。但有一點可以肯定,最終文件里需要保留充分的記錄,從而讓參加評估的人能對范圍的改變有所注意。可以明確的是,在上述情況中持卡人的數據流圖表應該包括所有崗位和所有領域。
這對許多企業來說是個難題。實際情況表明,許多企業在這一點上并沒有滿足要求。乍一看,出示企業各個領域的最新持卡人數據流圖表并非難事。但是,在一個大型的、具有多種不同業務部門的零售環境中,數據流圖表可能只會涉及到一個業務部門,或者是整個企業付款流程系統的一部分。因此,評估范圍的改變會促使不同業務部門間加強流動信息的共享(因為一個過程可能關系到多個業務部門),并確保所有的付款流程都在文件材料上體現出來。在進行評估時,相關文件的不足總是主要的問題之一。所以,這項改變也更凸顯了原來就存在的一個老問題。
第二點,表面上看對虛擬化進行升級沒什么危害,可是我們中的大多數一直面臨著這么一個問題,即虛擬化如何與要求聯系,例如“一臺服務器需具備一項功能”(Requirement 2.2.1)。然而,將“系統組件”的定義擴展,使其包括虛擬化組件,從深層來看似乎有悖于Requirement 2.2.1,而且還會影響到其他的要求。例如,有些要求和測試步驟特別指出所涉及的是“所有系統組件”(Requirements 10.6指出, “系統組件的日志至少要每天檢查一次”,Requirement 2.2,“所有的系統組件都需制定配置標準”)。
為“所有系統組件”進行定位的Requirements含蓄地表示,系統組件包括虛擬環境,測試步驟也是如此。因此,測試步驟2.2.a(“檢查企業所有類型系統組件的系統配置標準,并核實這些標準是否與行業接受的硬性標準相一致”)意味著不僅企業本身要有一套與虛擬化環境相關的硬性標準,企業的評審員也要擁有和參考那套標準。而在以前的評估中,情況并非如此。
總的來說,對企業和服務提供商而言,該標準的這一版本意味著評估過程的精簡,能夠從某種程度上減輕由于實施PCI DSS規則遵從而帶來的負擔。不過,系統組件包括虛擬化組件和升級所需的文件材料又使評估過程變得復雜了。所以,在企業第一次進行PCI DSS 2.0標準評估時,一定要向評審員說明上述兩點的情況。不過,從現在就開始對企業現有的控制部署還不能覆蓋的領域進行規劃仍是一個很不錯的策略。
作者:Ed Moyle
