PCI DSS 3.0可選要求即將變成強制性要求
企業需要評估PCI DSS 3.0要求,并為2015年6月30日的強制性改變做好準備。本文中專家Mike Chapple討論了如何為最后期限備戰。
兩年前,企業在評估PCI DSS 3.0變化帶來的影響時,可能注意到有一組要求被標記為“在2015年6月30日之前,要求X為最佳做法,而在該日期之后,該要求將變成強制性要求”。如果企業當時的回應是“我們可晚點再處理”,那么現在,企業要注意這個時刻即將到來。
當PCI SSC在2013年11月發布最終PCI DSS 3.0標準時,他們意識到有些要求修改會對企業帶來非常顯著的影響,所以,他們向商家和服務提供商提供了20個月的寬限期來慢慢適應這些變化。本文中我們將看看這些即將變為強制性要求的可選要求及其對企業的影響。
順便提一下,PCI SSC最近發布了PCI DSS 3.1版,此更新版本主要涵蓋對不安全的SSL/TLS協議的使用,并不會改變這些延遲的PCI DSS 3.0要求。雖然說,你應該為PCI DSS 3.1制定計劃,但你首先要解決這些要求。
讀卡設備的物理安全
Requirement 9.9要求商家“保護通過直接物理解除來獲得支付卡數據的設備,防止設備被篡改和替換”。這一要求旨在防止略讀和其他攻擊技術篡改讀卡器本身,該要求適用于有卡交易的商家。
如果企業有銷售點終端設備允許客戶或員工刷卡支付,則企業還有一個月的時間來滿足這一要求。企業需要遵守以下政策,并進行文檔記錄,這包括:維護所有刷卡設備的庫存清單、定期檢查這些設備以及對人員進行培訓,讓他們了解物理安全的重要性以及設備篡改帶來的風險。
滲透測試方法更新
在PCI DSS 3.0中,最大的變化之一是Requirement 11.3中滲透測試方法的嚴謹性。PCI委員會開始規范滲透測試的范圍以及測試人員使用的技術。在6月30號之后進行的所有測試必須遵循新的標準。
企業在重新設計測試方法期間,應該仔細閱讀該標準中的詳細內容,下面是其中的基本要求:首先,企業必須使用業界公認的方法進行測試,PCI委員會推薦NIST SP800-115.其次,測試必須包括對所有持卡人數據環境組件的內部和外部測試,包括范圍縮減技術,例如網絡分段。第三,包括網絡和應用層測試。最后,企業必須讓測試結合風險評估,并且,按照正式的保留時間表來保存測試和修復結果的文檔。
身份驗證和會話管理
在最新版本的OWASP十大Web應用安全威脅中,糟糕的身份驗證和會話管理被評為當今Web應用面臨的第二大威脅。對此,PCI DSS在PCI DSS 3.0的6.5.10要求中新增了緩解這種風險的內容,讓開發人員重新審視自己的工作,并將6月30日定為最后期限。
該標準建議開發人員遵循安全編碼做法。Web應用開發人員必須標記會話令牌為安全,從可能保存在日志中的URL刪除會話ID,以及在身份驗證后輪換會話ID并設置過期時間。這可能需要對Web應用的大幅修改,因此現在是時候該行動了。
針對服務提供商的另外兩個PCI要求
這些是在6月份新要求變成強制要求之前所有商家都需要做的工作。在另一方面,服務提供商還需要解決兩個額外的要求。第一個是要求8.5.1,該要求適用于遠程訪問客戶系統的服務提供商,其中要求服務提供商為每位客戶使用獨特的登錄憑證,而不是對所有賬戶使用共享主密碼。
服務提供商還必須遵守12.9節中的新要求。這個要求更偏向行政方面,要求他們向客戶發送書面通知,說明服務提供商代表客戶對他們存儲、處理或傳輸的持卡人數據的PCI DSS合規性負責。
還有不到一個月的時間,這些新要求將變成強制性要求。現在企業是時候開始行動,遵循PCI DSS 3.0標準了--特別是因為現在PCI DSS 3.1已經成為現實。
