無論是搞實體還是選擇在線業務，商家們都發現支付卡行業（簡稱PCI）已經成了他們不可或缺的商業伙伴，但由此帶來的信用卡數據保護工作卻充滿挑戰且令人困惑。

相信每位零售商都會有這樣的感受，自己需要了解如何保護來自在線交易的信用卡及其它客戶數據，因為這世界上有一大幫緊盯著這塊肥肉打算漁利的犯罪分子。零售商目前已經成為第二大數據泄露受害者（僅次于酒店服務業），根據Verizon公司2012數據泄露調查報告，有20%的違規事件發生在零售行業。而且雖然在美國人口普查局公布的研究結果中，全美只有5%的公民擁有電子商務賬戶，但這一數字顯然正在穩健地逐年遞增。

“現在這個世界充滿新鮮與誘惑，但在商家眼中卻又暗藏著無數殺機，因為從我們步入商業領域的第一天開始就已經被惡意人士給盯上了，”支付業務企業Hearland支付系統公司首席安全官John South表示。

在這個危機四伏的網絡世界中生存的零售商大部分只是小型企業，而他們的安全漏洞也最為嚴重：幾乎95%的數據泄露事故發生在員工數量低于100人的小公司，Verizon報告指出。他們顯然不像大企業那樣養得起安全及風險管理團隊。

“我們幾乎看不到什么大規模數據泄露事件，反倒是小型違規狀況時有發生，”PCI安全標準委員會總經理Bob Russo告訴我們，該委員會是專門制定PCI數據安全標準（即PCI DSS）的政府主管部門。“這些標準對于擁有完善安全部門的大型企業而言非常適用，但我們正在想辦法讓小商家也能獲得可供實施的精簡方案。”

在線零售商對于安全性的要求極高，這一點與傳統的實業型企業有所區別，因為大部分交易都是以雙方不碰面的刷卡形式完成的。由于客戶在網絡購物過程中不需要使用真正的支付卡，因此整個付款流程要求商戶接受經過審批的安全廠商的定期（每季度）網絡掃描。這類掃描的目的在于檢測安全漏洞與錯誤配置。

許多在線零售商并不知道PCI的要求哪些安全機制、也不了解該如何打理這些機制。但即使如此，在保護客戶數據方面稍做改進也能夠帶來極大的安全性提升。Verizon公司的調查報告發現，96%的網絡攻擊受害者并沒有嚴格遵循PCI管理規則，而且97%的數據泄露只要通過簡單或中等強度的保護手段即可避免。

下面我為大家總結了十種方式，希望它們能幫助大家了解自己企業所需要的控制方案，以保護持卡人的利益免受分割、PCI規則得到確切執行。

1.了解自己的基礎架構

網絡商家最需要了解的內容就是自己的在線交易系統與日常業務網絡的集成方式。大家可以嘗試親自訪問基礎架構，了解哪些系統用于處理交易流程及持卡人數據。

網絡掃描及日志分析工具能夠幫助我們識別觸及支付卡數據的系統類別，安全管理服務供應商Trustwave公司認證安全評估師Greg Rosenberg指出。這些涉及敏感信息的系統必須嚴格遵循PCI DSS安全標準。

“其實很多系統在不知不覺中成為了攻擊活動的跳板，通過檢測與定位我們發現了大量普通消費者所不了解的安全漏洞，”Rosenberg表示。

他認為讓一位經過認證的安全評估師參與測試非常必要。“我要尋找的并不是能幫自己快速通過審計工作的家伙，專家的職責在于幫商家了解潛在風險，”Rosenberg告訴我們。“別把PCI標準看成是麻煩的形式主義流程，認真完成會顯著降低大家可能遭遇的安全風險。”#p#

2. 查找數據

企業保留支付卡數據一般出于三大原因：更好地掌握客戶服務需求、方便客戶重復使用信用卡以及處理退款事務，波尼蒙研究所在其2011年PCI DSS合規性趨勢研究報告中總結道。“目前絕大多數公司仍然在以信用卡號碼作為客戶的主要識別手段，”互聯網服務企業Akamai公司安全部門發言人Martin McKeay指出。

無論出于何種目的，一旦選擇保留客戶數據，企業就應該對業務系統中的每一個運行實例展開監控，包括Web服務器、客戶服務應用以及銷售人員的筆記本電腦。了解數據駐留在何處、誰在對其進行訪問以及訪問者是否擁有明確的訪問理由。

舉例來說，營銷團隊就可能希望保留這些信息，“因為他們能夠在時機合適時向客戶發送優惠券或其它促銷建議，”PCI SSC的Russo解釋道。“但如果大家確信自己并不需要這些數據，請盡快丟掉這塊燙手的山芋。”

疑難雜癥

2011年企業在處理PCI安全要求中的三大首要難題：

保護客戶數據（42%）

制定管理政策、確保信息安全（39%）

定期檢測系統及業務流程安全性（37%）

3.數據處理系統越少越好

任何一款需要訪問交易數據或支付卡數據的系統都要由PCI DSS來把關，而由此帶來的評估及檢測成本非常高昂。因此將網絡劃分成不同區塊，并將員工指派給與個人工作相關的網絡區域就顯得非常重要，這能夠有效控制訪問支付卡數據的員工及系統數量。一旦與敏感信息扯上關系，PCI安全需求也將接踵而至，因此削減涉入系統的數量能夠提高安全性、降低合規性成本。“回避交易流程能夠幫我們大幅降低基礎設施構建難度，這類方案效果明顯、深受商家歡迎，”應用程序安全企業Veracode公司副總裁Chris Eng表示。

要想實施此類方案，關鍵在于記錄交易流程的同時不能觸及信用卡號碼。“記錄是絕對必要的，記錄信息越詳盡交易雙方的權益就越有保障，”Web應用安全供應商WhiteHat安全公司靜態代碼分析部門副總裁Jerry Hoff指出。“但請確保敏感數據本身沒有被記錄進來。”#p#

4. 把數據交給他人打理

網絡商家也可以選擇對基礎架構進行外包處理，讓第三方服務商來接手這些麻煩的支付流程細節并承擔安全責任，這也是一種不錯的方式。“舉例來說，如果大家在網上做滑雪板銷售生意，那么確保信用卡數據安全根本就不應該成為咱們的關注重點，拿出精力好好做生意才是正事，”Hoff評論稱。

根據波尼蒙研究所的調查，選擇放棄支付卡數據的企業往往在安全性方面更為積極，也較少遭受數據泄露的分割。在一份針對670位美國本土及跨國公司IT管理者的調查當中，放棄保留持卡人信息的企業有85%在近兩年內沒有遭受到數據泄露事件。而在保留該數據的企業中只有40%表示近兩年自己未受泄露困擾。

雖然很多企業仍然在這么做，但需要注意的是，有一類數據大家千萬不要保留：這就是支付卡驗證碼，簡稱CVV。“由于不必再次輸出驗證碼，所以很多商家認為保留這類信息能夠促進消費者的購物欲望，”Trustwave公司的Rosenberg說，“然而問題在于作為商家，我們根本沒有資格在交易結束之后繼續保留這類數據。”

從數據的負擔中解脫出來，讓PCI認證成為別人的工作。這樣比起遵守12條安全規范，我們就能把關注重點縮小到其中的兩條上：阻斷數據的訪問渠道（第九條）與制定管理政策、確保信息安全（第十二條）。

大家還必須對數據存儲方案的合規性保持關注，并填寫一份自我評估問卷。但總體而言，這種宏觀上的工作還是要輕松得多，Hearland公司的South認為。

僅僅進行網絡劃分與放棄支付卡數據并不足以讓你的企業滿足PCI安全要求，安全服務企業Accuvant公司PCI解決方案架構師Evan Tegethoff聲稱。沒有哪位商家能夠完全跳出PCI安全要求之外，而只能想辦法盡量減少它所帶來的影響。如果把公司數據交給第三方供應商打理，我們仍然有責任考核其實際表現及信息保護成效。

這一點在技術方面也同樣適用。采購一套PCI數據合規保護產品并不能讓企業高枕無憂。“商家常常會認為‘買套PCI合規產品不就結了’，”PCI SCC的Russo無奈地表示。其實根本沒這么簡單，數據安全技術只有經過針對企業需求的調整與嚴格監管才能實現數據保護功能。#p#

5. 嚴格檢驗你的合作伙伴

對于那些將業務外包給供應商，卻保留一部分交易檢查權限的商家而言，他們在PCI合規性方面的責任范圍并沒有因此減小，PCI SSC CTO Troy Leach提醒道。“目前的挑戰在于，這種訪問權限常常會涉及到持卡人數據，如此一來商家自己的非安全性環境就被整個牽扯進來了。”

除了管好自己，我們還需要收集信息、了解合作伙伴在PCI合規性方面的執行水平。管理服務供應商手中掌握著大量支付卡數據，這也使他們成為眾多攻擊者的首要目標。去年在第三方管理下的系統有76%遭受過數據泄露侵擾，而當違約情況發生時，大部分責任還是得由商家自己來承擔。

了解第三方合作伙伴的PCI合規性狀態，包括自我評估問卷。以下幾個關鍵領域需要著重監督：

>>托管服務必須符合PCI規定，特別是供應商需要具備嚴格的漏洞修復機制，包括定期安裝補丁并升級服務器軟件等。

>>任何商家用戶在交易中使用的支付應用必須遵循獨立的安全標準，即PCI支付應用數據安全標準。除基本安全措施外，交易日志、不保留全部交易數據、提供安全驗證機制以及加密公共網絡中的通信內容也必須納入到日常流程當中。

>> Web應用掃描服務供應商必須經過PCI合規性審核，并位列pcisecuritystandards.org網站的放心合作對象名單之中。

惡意人士竊取的數據來自哪里？

63%來自數據傳輸過程；

28%來自商家的信息存儲機制；

5%來自數據重定向行為；

4%來自其它途徑。

以上數據引自Trustwave公司在《2012全球安全報告》中所列舉的300個數據泄露案例。#p#

6.使用安全有保障的軟件產品

信用卡數據大多數情況下要由軟件而非人工來處理，因此使用安全有保障的軟件產品就顯得極為關鍵。

幾年之前，軟件開發公司只需要符合PCI的相關審核標準，并確保應用程序中不包含開放Web應用安全項目中所列出的十大嚴重漏洞即可。而在去年這些管理標準被大大提高，PCI SSC將安全要求修訂為“應用程序中不得包含SANS所列出的二十五種高危軟件錯誤。”

難怪企業總是被麻煩所困擾，Veracode公司的Eng無奈地指出。大多數在線商務公司目前還對SANS名單上的頭兩大常見安全威脅——SQL注入式攻擊與跨站點腳本——毫無防備，更不用說其它23項相對冷門的攻擊方式了。

7.保護好Web服務器

在線零售商運營工作中最重要的環節在于Web服務器及網絡商店的維護與保養。電子商務從業者必須按季度提交安全漏洞調查表，而在涉及PCI的軟件方面還需要在30天內進行更新并安裝致命漏洞的修復補丁。但在專業人士看來，一個月的反應周期實在是太長。

商家可以通過以下三種方式保護自己的在線商店并保障PCI規范：掃描代碼漏洞、修復開發過程中的遺留問題；動態掃描網站，檢測安全漏洞并及時修復；利用Web應用程序防火墻阻斷攻擊途徑。但僅僅使用防火墻還遠遠不夠，我們還需要對其進行正確配置。“大多數商家對防火墻的設定實在太過松散，”Eng指出。“不少公司干脆選擇完全放開的監控模式，這跟不裝防火墻根本沒什么區別。”

企業還需要從攻擊者的角度思考問題。就以跨站點腳本攻擊為例，大家不妨扮演攻擊者，嘗試通過向有漏洞的網站注入惡意代碼來使其顯示目標站點的信息。跨站點腳本攻擊也許不會直接影響到商家自己的網站，但攻擊者完全能夠利用這種技術將客戶誘導到外觀相同的其它站點，進而竊取支付卡數據。

“如果我是黑客，我會采取重新定向的方式欺騙消費者，那么商家有什么辦法來阻止我的陰謀？”Trustwave公司的Rosenberg提出這樣的假設。電子商務供應商必須在開發或安全掃描過程中發現這些漏洞，并盡快加以修復。另外，還需要利用防火墻來阻斷此類攻擊活動，他提醒道。

8.嚴格掌控用戶權限

PCI規范中有三條與授權相關。限制無關人士以物理方式訪問持卡人數據可能是其中最容易實現的一條。因為只有傳統的實體型企業才需要不斷培訓并監督員工遠離自己所經手的信用卡，電子商務公司的職員們根本看不到消費者的支付卡實體。但在線零售商還面臨著另一大問題，就是如何限制支付卡數據的訪問行為，因為很多員工都有合法的途徑接觸到處理數據的業務系統。

員工與業務合作伙伴可能會在不經意間以設定低強度密碼等形式削弱公司的數據訪問管理策略。Trustwave公司在其2012年全球安全報告中指出，高達80%的違規活動源自系統管理員所使用的低強度甚至默認密碼。在許多情況下，第三方供應商會在多位客戶間使用相同或者相近的密碼內容，這樣免不了要一家出事、全體遭殃。#p#

9.認真加密、保管好密鑰

對于選擇保留持卡人數據的企業，這類敏感信息必須在存儲及傳輸過程中獲得嚴格加密。數據安全企業Voltage公司副總裁Mark Bower認為，這樣做的意義在于將攻擊者眼中炙手可熱的持卡人數據轉化成毫無價值的零散片斷。

目前大多數商家都喜歡采取這樣的加密技術：對交易數據加密之后，工具將自動生成一套解密密鑰，進而在使用時將亂碼重組成有價值信息。通過使用終端到終端的加密方案，大家能夠削減需要遵循的PCI規范，同時降低由數據泄露帶來的惡性后果。由于解密密鑰的存在，攻擊者即使截獲了信息，也無法將其轉化為可讀內容，Bower指出。

但加密并不能解決所有的安全問題。許多大規模數據泄露事件的發生正是由于攻擊者取得了解密密鑰。

10. 有了PCI并不等于萬無一失

PCI并不代表著全部信息安全要求。它只是一種“最低限度的強制性方案，”Hoff提醒道。“它比較像立在游泳池邊的‘請勿奔跑’指示牌。即使嚴格遵守，它也無法保證我們獲得絕對安全。”

企業還應該為超出PCI　DSS指導范圍之外的潛在威脅做好心理準備。舉例來說，攻擊者可能會利用HTML注入方式在商家的網站中設定一個原本并不存在的谷歌網頁排名。“在這種情況下，我們要問的是：我為什么會遭到攻擊？”Trustwave公司的Rosenberg表示。

最重要的是，在線商家必須了解自己的義務、明確自己在保護客戶數據方面應該做出的努力，Hearland公司的South指出。“他們要明白，既然投入這個產業，他們就有責任為客戶的交易保駕護航。這與PCI規范并沒有關系，PCI只是實現這一目的的輔助工具。”

PCI SCC中的研究小組正在針對電子商務安全撰寫指導材料，相信到時候我們會得到更多有價值的幫助信息。他們十二月剛剛刊發了第一份報告，未來幫助零售商保障客戶數據的道路還很漫長，同志仍需繼續努力。