2014年3月22日烏云(Woo Yun)漏洞平臺發布攜程旅行網的相關安全漏洞，漏洞標題為“攜程安全支付日志可遍歷下載導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)”。基于業界針對該漏洞提出了很多與PCI標準相關的討論，atsec作為PCI安全標準委員會所授權的合規安全評估機構QSA公司在此進行官方解釋，澄清由于該事件引起的對于標準容易引起歧義的解讀。

1、CVV2是否允許存儲?

CVV2是獲取交易授權的一個重要數據，在PCI DSS標準中，CVV2/CVC2、PIN碼以及磁條信息等數據稱為敏感認證數據(SAD：Sensitive Authentication Data)。PCI DSS要求3.2原文參見如下：

3.2 Do not store sensitive authentication data after authorization (even if encrypted). If sensitive authentication data is received, render all data unrecoverable upon completion of the authorization process.

標準正確的解讀為：敏感認證數據(SAD：Sensitive Authentication Data)在授權完成之后禁止存儲(發卡機構和發卡處理機構除外)，即使進行了加密也是絕對禁止的。該要求是PCI DSS標準6大類12個要求300余項安全要求之一，也是標準的重要的基線要求。

業界也在討論在授權交易之前是否能進行存儲，理論上來講這應該取決于各支付品牌的安全體系要求。通常QSA評估機構和人員會在項目執行過程中通過業務流程的梳理與被評估機構進行深入研討和確認，總體來講授權之前的暫時性的敏感認證存儲必須要高于原有的PCI要求，QSA至少要檢查強加密算法的實現、密鑰管理的相關流程和技術措施等。

故而，安全漏洞可能會導致的風險理論上應不會涉及到敏感認證數據的泄露，因為這些按照標準和產業要求是禁止存儲的。

關于此點，早在多年以前產業內就有過諸多的探討和解決方案。來自于PCI標準委員會的信息參見如下：

As for sensitive authentication data, such as the contents of the magnetic stripe and the security code, the Council added this:

With respect to SAD, PCI DSS Requirement 3.2 prohibits storage of SAD AFTER authorization, even if encrypted. Whether SAD is permitted to be stored prior to authorization is determined by the individual payment brands, including any related usage and protection requirements. Any permitted storage of SAD prior to authorization would be subject to strict conditions and controls above those defined in the PCI DSS. Additionally, several payment brands have very specific rules that prohibit any storage of SAD and do not make any exceptions. To determine payment brand requirements, please contact the individual payment brands directly.

從PCI DSS標準的角度，容易被忽略的位置(比如日志文件、臨時文件、debug文件等)，特別是調試性的debug信息經常會被忽略，這也是atsec執行QSA審核的重點和容易發現問題的環節。

此外，PCI的要求在所謂“預授權”過程中是一致的，并沒有要求的變化和區別。參見2012年PCI標準委員會發布的正式說明：

PCI DSS applies wherever cardholder data (CHD) and/or sensitive authentication data (SAD) is stored, processed or transmitted, irrespective of whether it is pre-authorization or post-authorization. There are no specific rules in PCI DSS regarding how long CHD or SAD can be stored prior to authorization, but such data must be protected according to PCI DSS while being stored, processed or transmitted.

2、關于持卡人數據傳輸的加密要求

有文章談及：“而PCI顧問James Huguelet則指出：PCI標準最大的安全問題在于，該標準雖然要求對靜態數據加密，但是并不要求企業對數據傳輸加密，也就是在整個交易流程鏈中，數據都未被要求加密。”這個專家的評論無疑是錯誤的。

PCI DSS數據保護分為數據存儲的保護和傳輸的加密，PCI DSS第4章的要求均是面向公共開放網絡(包括但不限于互聯網、無線、GSM、GPRS)的持卡人數據傳輸加密的要求，其中強加密是必須的。

關于傳輸加密，標準部分原文參見如下：

4.1 Use strong cryptography and security protocols (for example, SSL/TLS, IPSEC, SSH, etc.) to safeguard sensitive cardholder data during transmission over open, public networks.

通常atsec除了審核證據和訪談，也會通過外部授權的掃描供應商(ASV：Approved Scanning Vendor)通過掃描的方式進行進一步的驗證(參見PCI DSS要求11.2)。

3、關于目錄遍歷漏洞

事件中提及的目錄遍歷漏洞，是OWASP top 10中的漏洞之一。在上個版本標準PCI DSS v2.0的要求6.5.8中已明確要求杜絕該漏洞的存在。此外，PCI DSS標準要求在支付應用上線前的代碼審核階段(涉及要求6.3.2)、安全性測試階段(涉及要求6.4.5.3)以及上線后的定期安全性檢查階段(涉及要求6.6)的軟件生命周期過程中，通過有效的代碼評審、支付應用上線前的安全性測試以及支付應用上線后的定期代碼審核或通過實施阻止針對Web應用的監測和防護機制等措施確保支付應用中不存在OWASP top 10漏洞。標準原文參見如下：

6.5.8 Improper Access Control (such as insecure direct object references, failure to restrict URL access, and directory traversal)

4、在美國上市是否就默認達到了PCI DSS標準的合規要求?

這是不準確的。PCI DSS早在多年前已經成為新商戶、服務提供商，以及收單機構和發卡機構處理支付相關業務的強制要求，目前并沒有明顯的證據顯示PCI DSS的合規要求是來自于上市管理機構的強制要求。

執行PCI DSS合規通常來自于卡品牌、收單機構(如銀行)和支付合作客戶的要求。目前也有越來越多的機構出于自身數據安全的考慮，致力于PCI合規建設和安全合規評估。

atsec官方PCI QSA合規評估列表參見：http://www.atsec.cn/cn/pci-compliance.html

5、關于數據泄露和PFI

在安全行業很多的機構和廠商都會接受安全專家或者自行發現安全漏洞，和黑客利用漏洞攻擊的本質區別在于漏洞的發布是為了更好的修復漏洞并解決信息安全問題。故而漏洞可能是客觀存在的，漏洞發布和問題修復之間的時間窗口就顯得尤為重要，使得漏洞被黑客利用導致數據泄露事件的可能性以及相關風險降到最低。

而漏洞的發布本身也不意味著發生了數據泄露的事件。在國際PCI產業，通常發生了疑似數據泄露之后，會邀請PCI安全標準委員會所授權的PCI取證調研機構(PFI：PCI Forensic Investigator)執行事后取證調研，進一步確定事件發生的原因，提出建議改善信息安全。

PCI數據安全標準的生命周期為三年，每三年內全球的產業專家均在致力于新標準的研討和制定，符合最新的安全發展要求;此外，各個領域的問題設置有專門的特別工作組(SIG：Special Interest Group)開發并維護特殊的相關安全技術指導，如加密、EMV、移動支付、云計算、滲透測試、安全意識教育等。PCI標準要求從制度流程、人員要求到網絡安全、系統加固、應用開發過程、安全編碼、數據安全存儲和傳輸、物理安全、安全測試和漏洞管理等方方面面進行了詮釋。致力于PCI合規且長期持續的合規是支付相關機構的業務健康穩定發展的基礎，也是保護廣大持卡人數據安全的最佳實踐。

參考資料;

[1] WooYun.org：http://www.wooyun.org/bugs/wooyun-2010-054302

[2] PCI SSC官方網站：https://www.pcisecuritystandards.org/

[3] atsec官方網站：http://www.atsec.cn/

[4] 攜程支付安全聲明：

http://pages.ctrip.com/commerce/promote/201403/other/xf/index.html