PCI DSS
三方支付行業數據安全標準
全稱Payment Card Industry (PCI) Data Security Standard,第三方支付行業(支付卡行業PCI DSS)數據安全標準,是由PCI安全標準委員會的創始成員(visa、mastercard、American Express、Discover Financial Services、JCB等)制定,立在使國際上採用一致的數據安全措施,簡稱PCI DSS。
PCI DSS對於所有涉及信用卡信息機構的安全方面作出標準的要求,其中包括安全管理、策略、過程、網路體系結構、軟體設計的要求的列表等,全面保障交易安全。PCI DSS適用於所有涉及支付卡處理的實體,包括商戶、處理機構、購買者、發行商和服務提供商及儲存、處理或傳輸持卡人資料的所有其他實體。PCI DSS包括一組保護持卡人信息的基本要求,並可能增加額外的管控措施,以進一步降低風險
PCI DSS
2015年6月30日PCI DSS 3.0的可選要求將會變成強制性的。
支付卡行業數據安全標準(PCI DSS)的主要重點是對持卡人數據的保護。PCI DSS為在任何平台存儲、處理或傳輸的持卡人數據提供所需的控制。然而,很多商家目前沒有針對PCI DSS合規性對很多大型機進行正確地評估。
現在,很多QSA、商家和服務提供商對大型機的PCI DSS評估採取混亂的做法。他們要麼認為大型機不在範圍內—由於其始終安全,或者如果他們無法因為它被視為榮耀文件伺服器而將其排除在評估範圍外,他們會決定所有應用環境現在都在範圍內。
建立並維護安全的網路
1、安裝於維護防火牆設定以保護持卡人資料。
2、對於系統密碼及其他安全參數,不能使用供應商提供的預設值(默認密碼)。
保護持卡人信息
3、保護存儲的持卡人資料。
4、加密通過開放的公用網路傳輸的持卡人資料。
維護漏洞管理程序
5、使用並定期更新殺毒軟體或程序。
6、開發並維護安全系統和應用程序。
實施嚴格的存儲控制措施
7、限制為只有業務需要的人才能存取持卡人資料。
8、為具有電腦存取權的每個人指定唯一的ID。
9、限制對持卡人資料的實際存儲。
定期監控並測試網路
10、追蹤並監控對網路資源及持卡人資料的所有存取。
11、定期測試安全系統和程序。
維護信息安全政策
12、維護滿足所有人員信息安全需求的政策。
已通過PCIDSS認證但不局限於以下組織:
託付科技(廈門)有限公司(Paytos支付)
網銀在線(北京)科技有限公司(Chinabank支付)
迅付信息科技有限公司(IPS支付)
北京通融通信息技術有限公司(易寶支付)
支付寶(中國)網路技術有限公司(Alipay)
快錢支付清算信息有限公司(99Bill支付)
上海匯阜信息技術有限公司(E匯通支付)
易智付科技(北京)有限公司(首信易支付)
深圳速匯通網路科技有限公司(速匯通支付)
上海盛付通電子商務有限公司(盛付通)
武漢市易收通電子科技有限公司(易收通)
深圳金付網路科技有限公司(金付支付“king365pay”)
匯付數據服務有限公司(匯付天下)
重慶艾克沃電子商務有限公司(Ecward)
中銀金融商務崑山分公司(中銀商務)
深圳鼎付信息技術有限公司(GleePay)
銀聯商務有限公司(ChinaUMS)
上海浩付網路技術有限公司(91hpay)
深圳市錢海網路技術有限公司(錢海/Oceanpayment)
現在(北京)支付股份有限公司(現在支付/ipaynow)
· 該PCI DSS文檔討論了應用環境身份驗證測試方面的要求—這是滲透測試中經常被忽視但非常重要的組成部分。
· 該PCI DSS文檔還介紹了什麼被認為是對系統的“重大改變”--以便在對持卡人數據環境中任何系統進行代碼或相關更新后可以進行後續滲透測試。
· 該PCI DSS文檔提到了做這項工作的安全專業人員獲得的證書以及過往的經驗的重要性—與其他領域一樣,更多經驗往往更好,當然還需要漏洞掃描儀、網路分析儀和漏洞利用工具包等工具,他們還應該知道如何有效地使用它們。
· 另外,滲透測試特定規則經常被忽視,這可能在滲透測試過程中或測試后製造問題,例如漏洞利用需要多麼深入以及如何處理在測試中發現的敏感數據等。筆者非常高興該文檔解決了可能阻止測試(WAF和IPSes等)的安全控制,很多人以為他們有這些控制就不會發現漏洞或出現漏洞利用,一切都很好。對於白名單或禁用這些積極保護措施,該滲透測試指南明確指出它可“幫助確保服務本身得到正確配置,並在主動保護系統出現故障或以某種方式被擊敗或被攻擊者繞過時控制漏洞利用的風險。”
· 該PCI DSS文檔中還提供了圍繞社會工程學的建議,包括網路釣魚測試,以檢測持卡人數據環境是否能從這個角度被利用。
· 企業還應該保留測試詳細信息的證據(包括具體的調查結果),確保可根據要求提供。
隨著越來越多的個人信息被存放到PCI DSS網路當中,未經授權的PCI DSS用戶嘗試訪問這些數據的情況也在不斷增加。伴隨個人PCI DSS信息丟失而產生的可疑行為或者欺詐消費會導致用戶的信用卡被強制註銷,這是一件令人十分沮喪的事情。不僅如此,對於遭遇到個人PCI DSS信息泄露的用戶來說,通常會產生一種被個人隱私被侵犯的感覺。
由此引發的一個問題是:PCI DSS情況到底有多嚴重?司法統計局曾經公布了一些和個人信息泄露相關的PCI DSS數據,當前面臨的情況令人擔憂。現在能夠獲取到的PCI DSS最新數據是2012年,7%的16歲及以上的美國人在這一年當中遇到過至少一次PCI DSS個人信息被竊事件。這種PCI DSS情況所導致的後果非常嚴重,大約造成了247億美元的損失。相比之下,由國家犯罪受害者PCI DSS調查報告統計得出的數據顯示其他方面的財產犯罪所導致的損失為140億美元。這一系列數據表明存儲PCI DSS私人信息的系統在安全方面確實存在漏洞,並且一直沒有得到解決。
在認識到保護PCI DSS個人信息和財務數據(特別是信用和債務賬戶)安全的重要性之後,支付卡行業(PCI,Payment Card Industry)安全標準委員會制定了數據安全標準(DSS,Data Security Standard),最新版本為3.1。PCI DSS安全標準委員會是一個負責推動PCI DSS標準不斷發展的開放式論壇,其最初建立者包括American Express、Discover Financial Services、JCB International、MasterCard 和Visa等機構。儘管之前你可能從未聽說過PCI DSS,但是其中所包含的宗旨和準則幾乎會影響所有使用卡片進行消費的PCI DSS用戶。這個委員會向商家、廠商和安全諮詢公司提出相關要求,以防止發生PCI DSS個人信息泄露和信用卡詐騙等行為。
對於已經達到PCI DSS標準的支付公司來說,PCI DSS最大的好處就是能夠為其最有價值資產——消費者提供良好的PCI DSS安全保障。良好的PCI DSS聲譽能夠幫助公司贏得源源不斷的商業機會,而較差的PCI DSS聲譽一經形成,卻很難得到改變。
PCI DSS被設計用來幫助支付機構實現敏感數據安全性最佳實踐,尤其PCI DSS針對於這個行業當中特有的數據類型。但是,如果我們僅僅因為所在的PCI DSS組織或企業並不需要處理PCI DSS支付數據或者相關事務就直接忽略這個標準,那麼無疑是一種失職。事實上,PCI DSS當中所包含的各種準則針對虛擬化技術進行了調整,對於任何想要保護PCI DSS敏感數據的企業來說都可以起到很大幫助作用。
使用PCI DSS和其他針對特定行業的標準進行合規審查,可以在很大程度上保證私有信息處於最佳PCI DSS安全實踐的保障之下。安全的PCI DSS信息環境對於企業、客戶和員工來說都是至關重要的。
幸運的是,我們可以在和PCI DSS業務相關的環境當中將PCI DSS作為虛擬化技術的使用準則之一。比如,在PCI DSS第2.2.1章節當中指出一個虛擬系統組件或者設備只能實現一項主要功能。
PCI DSS準則當中詳細解釋了包含多項主要功能的系統可能面臨哪些風險,任何PCI DSS功能的最低安全等級都有可能導致其他功能受到攻擊。我們可以將PCI DSS這種情況類比於一條項鏈的結實程度取決於最為薄弱的那一環,這樣可以幫助我們理解PCI DSS的實際作用。比如,在一台PCI DSS虛擬機當中同時運行web伺服器和關鍵資料庫服務,那麼無疑是在自找麻煩。而最好的方式是遵循PCI DSS的規定,將這些PCI DSS功能分別放置在不同的伺服器當中,之後在特定的PCI DSS伺服器上針對不同功能自定義安全等級。此外,PCI DSS伺服器之間的網路連接必須禁止一台伺服器將低安全級別功能遷移到另外一台PCI DSS伺服器當中。如你所見,部署單台PCI DSS伺服器、單個功能需求意味著需要對伺服器、其他相關設備和網路連接進行整體規劃。
PCI DSS這些準則在發布之前已經經過深思熟慮,可以應用在任何需要加強PCI DSS系統安全性的行業當中。PCI DSS虛擬化技術提高了硬體資源使用效率,不必再為所有功能分配單獨的硬體PCI DSS伺服器,降低了PCI DSS準則的實現難度。在對伺服器資源進行規劃的過程當中遵循PCI DSS準則可以加強系統安全性,在實現PCI DSS系統主要功能之後,還能夠提升安全控制靈活性。
PCI DSS安全是一個不斷變化的概念,需要進行持續關注PCI DSS。PCI DSS為我們提供了一個很好的思路,一個行業當中的安全標準PCI DSS可以適用於特定行業、客戶以及其他領域的IT部門。遵循PCI DSS標準在伺服器上實現主要功能分離是一個所有企業都應該採用的好主意。