支付卡数据安全措施中的不足是造成企业未能通过支付卡行业数据安全标准(PCI DSS)评估的主要因素之一。通常一些被禁止的数据,如CVV2帐户安全密码或个人识别码(PIN),仍然被保留了下来(PCI DSS严禁保留这些数据),或者在没有充足的安全保障的情况下对原始帐户号码(PAN)进行了存储。和一些相对简单的网络安全措施相比,在安全数据存储方面,PCI DSS给许多商家都提出了极具挑战性的问题。
不了解支付安全的人往往只会采取普遍适用的措施(如“使用加密技术”),却完全不考虑全球分布式支付环境的极端复杂性。同时,安全评估机构(QSA:Qualified Security Assessor)报道的多起案例表明,持卡人庞大的未加密数据被存储在了商家的Web服务器上,全世界的人都能看到这些数据。
在本文中,通过简化企业数据存储措施和缩小PCI DSS评估范围,我们提供了一些具有建设性的意见来帮助企业简化评估程序。
首先,人们对PCI DSS普遍存在一种误解,认为它是为了保障支付数据安全制定的标准。而实际上,该标准的制定是为了降低支付卡交易过程中的风险。二者之间细微的差别在于,不用实施复杂的数据安全周期,或者购买昂贵工具(会产生大量的管理费用),用户就可以切实地降低交易风险。
因此,解决问题的办法往往是删除数据而并不是加密数据。Visa在目前由自己所倡导的方案中就力荐这个方法:删除数据。在布兰登•威廉斯(Branden Williams)和我合著的《PCI DSS规则遵从书》(The PCI DSS Compliance Book)一书中,数据安全性一章的开头是这样写的:“在开始讨论数据保护方法之前,我们需要提醒读者的是‘只有死了的数据才是最安全的数据’,这句话除了比较幽默以外,也告诫用户删除数据或其它不再操作数据的方法才是使PCI DSS合规变得更容易的最好方法,这样还可以降低交易风险、减少责任、减小罚款和违规损失的可能性。”
数据销毁背后的道理很简单:当今的安全技术非常复杂,常常需要进行维护(如,需要每日审查或安全监控),况且采用的技术可能一点也不可靠(“基于签名”的反病毒检测技术,只能检测到一小部分攻击)。因此,花大力气保护数据却没什么效果的方法与确保数据无法进入工作环境的方法相比,着实是一个下策。显然,这并不适用于保护公司的知识产权(IP)和其他保密信息,但却适用于支付数据。毕竟,我们都同意一点,就是银行更适于存储大量的数据,因为我们自己的公司并没有存储数百万美元。同样,在未来,公司不存储卡数据也会成为一个明显的趋势。
但是,删除数据仅仅是开始。使PCI DSS评估变得更加顺利的另一个关键策略是缩小评估范围。由于PCI评估的复杂性直接决定了评估的范围(PCI决定了持卡人数据环境的大小,从而决定了在评估中必须包括的审计的系统数量),因此缩小评估范围将对评估过程产生直接影响。这是为什么呢?让QSA调查一下持卡人环境中的1万个系统(如果一个企业的网络是平面的,并且持卡人数据又没有与余下部分的网络分割开来)和只调查10个系统,产生的差别是很大的,能对评估成功的可能性造成巨大影响。
因此,在评估前,可通过QSA进行现场评估或SAQ自我评估,我力荐以下方法:
◆通过计算传输、存储或处理持卡人数据的所有系统来估计PCI的评估范围。在此提醒您,除了交易服务器和网关,通过了未加密卡数据流量的网络设备也包含在评估范围之内。
◆可以试着预测一下,在未经许可的情况下,持卡人数据会存储在您公司的哪些地方。一般易被人们忽略的数据存储地是开发商环境或属于其他业务部门(如营销部门)的服务器。如果每一个开发商工作站由于使用真正的卡数据进行系统测试(顺便说一下,这种做法在PCI DSS中是被明令禁止的。)而成了“范围”的一部分,那么范围在逐渐发生变化的确非常危险。
◆下一步,根据评估范围和手头有的资料,按敏感的数据量对系统进行排名。
◆仔细研究排名后的列表,并试着弄明白你的企业流程如何改变才能避免数据存储,或者在少存储数据的情况下如何经营企业。这是最关键的一步,任何可以被删除(或者一开始就没有存储过)的数据都有助于缩小评估范围,从而使评估过程更加容易。
◆然后,检查一下不能删除的数据,已决定是否能以一个较短的周期进行存储。这样可以降低历史数据遭到损害的风险。
◆考虑使用现代方法保护数据(如标记化),把数据用一串无关紧要的符号来代替,这样可以避免储存数据。
◆最后,逐步检查支付的过程,从而确定哪些部分可以外包给安全支付供应商,这种关系有助于降低风险、缩小PCI的评估范围。实际上,信息安全将永远不会成为大多数商家的核心竞争力。因此,与服务供应商建立关系,比审计跨站点脚本攻击或为安全信息和事件管理(SIEM)产品编写的相关规则更加简单。
只有经过上述步骤,你才可以考虑使用各种额外的技术保障措施,如强访问控制和加密技术等,来保护剩下的数据。很可能需要将强访问控制和数据加密技术结合起来保护您的环境。可选的加密技术有:磁盘加密、文件加密(为了保护存储的flat-file数据)和数据库加密(为了保护持卡人数据库)。后者可以进一步分为多种方法来加密数据库中的记录。
在信息技术领域有一句常见格言:“加密很容易,密钥管理却很难”。这就是PCI DSS在密匙管理方面制定了那么多条规则的原因。具体来说,要求3.5(“保护好用于加密持卡人数据的加密密钥以防止信息泄露和滥用”)和要求3.6(“全面记录和执行所有用于加密持卡人数据的密钥管理流程”)。这些要求又都具有多个子要求,如3.5.2(“以尽可能少的地点和形式安全存储密钥”)和3.6.6(“分割内容和设立加密密钥的双重控制”)。
一定要避免常见的加密失误,如我在有关技术文件中提及的《加密的五大误区》,如把加密密钥与加密数据存储在同一个数据库中,或者在程序代码中嵌入硬编码固定密码。
结论
一想到简化PCI评估流程、降低支付卡的交易风险,首先要着眼于通过数据删除来缩小范围,然后再采取保护措施。
具体来说就是,将更复杂的安全保障(如,数据加密)放到最后去处理。虽然有些人担心外包会有什么风险,但对一些商家而言,将数据外包给安全支付供应商,确保了商家和客户的数据得到更好的保护。至少这可以对最近的“清除数据”方法(如标记化)进行审查。
【编辑推荐】
