到目前为止,大多数安全人士可能已经意识到完全遵从支付卡行业数据安全标准(PCI DSS)将会在技术方面和操作层面上遇到极大的挑战。
因为达成和验证法规遵从需要大量的费用和努力,许多贸易商和服务提供商通过限制在机构内部存储、处理或传输持卡人数据的范围来设法限定PCI DSS法规遵从的范畴。像直接把持卡人数据转交给收单银行(从而使得贸易商环境中涉及数据处理的范围最小化)或者利用标记化技术(替代主帐户号或带有保密处理数值的“PAN”)的策略能帮助持卡人数据远离网络环境。这限定了需要控制的范围并减少了那些被要求实施年度审计的公司的审计面。
不管怎么样,那只是理论
但是就像经常引用的理论一样——黄蜂从空气动力学来讲是无法飞行的,有时理论上成立的事,在实践中的并不一定成立。就拿PCI DSS来说,这个差距能让企业处于风险之中, PCI DSS评估的结果发现信用卡数据常常位于不安全的网络中。在网络中的信用卡数据没有文档记载或受到正确防护,这不仅对组织来说不好,对于网络安全团队也无益。在本文中,我们将讨论这种情况发生的原因,并提供一个简化的PCI合规网络检测检查列表来辨识信用卡数据。
墨菲定律:什么会出差错
在实践中,操作上的失误可能会造成持卡人数据被无意泄漏到网络上,这种情况是很多的。这些问题的出现是因为员工没有遵守已定义好的业务流程,因为合规策略没有解决那些“不引人注目”的情况,还有就是在处理支付事务的技术组件中的错误。
到目前为止与人员相关的最常见的情形是:个别员工无意地把持卡人数据带入到网络环境。在***线处理客户支付的人员(例如帮助客户的客服人员)甚至可能不知道PCI DSS是什么,更别提理解通过减少/消除持卡人数据出现在环境中来限定PCI DSS范围的重要性了。当一个这样的员工收到客户的某些请求时,例如,就错误的收费表示争议或希望跨多个信用卡完成交易,原本打算限定范围的员工可能会以违反策略的方式处理请求。某人可能会匆忙记下信用卡号、过期时间或CVV,并随后把这些数值寄给主管,或者把它们添加到调用日志应用的注释字段。
另一种情况是由于偶然地忽视组织内的一个或多个支付“渠道”而导致问题的出现。例如,一个大型在线零售商可能会花费几百万来实施标记化以便限制客户提交的数据(目前为止***的风险),但是自助餐厅或停车场该怎么办呢?那些看起来小的问题可能会避开监督,要么是因为同另一个收单方和处理者的不同寻常的关系,或者是因为在开始的规划中没有加以考虑。
***,技术上的问题同样能造成数据流入到网络环境中。在调查操作上的问题时可能会留下调试和错误日志,常常会记录在线的PAN或者其它持卡人数据。
因此,我们需要意识到在很多情形下实际操作方面的深思熟虑比起我们***的计划能抢先一步来防止信用卡数据穿越网络,那么能做什么呢?
***步是组织内的合规意识培训,并且安全团队需要知道这些问题。在满足合规的过程中对这些问题进行监督有助于每个利益相关者,如网络安全管理员保持对这些事情的警觉性。但是还有一些策略可以用来发现和消除这些状况以便减少合规面。
首要的是,使用自动数据发现工具是有帮助的。即使你发现的比你预期的多很多,花费一些时间来验证理论是值得的,而不是随后惊讶于意料之外的数据。如果你的企业已经部署了数据防泄漏(DLP)产品,你已经领先了一步:简单地开启产品的发现功能来定位持卡人数据。如果你没有这样的工具,考虑使用像ccsrch这样的开源工具来寻找。当你找到一个或多个关注点时,你要纠正问题并进行根源分析以防止再次发生。
同样对于处于网络中的我们来说,维护一个系统及过程的列表或清单也是有帮助的。它们有专门的用途如涉及到存储、处理或传输信用卡数据,从这里你能发现信用卡数据。从记录下完成这些功能的所有系统和过程开始。当你让某些系统“退役”时,从列表中去掉它们以保持内容***。当你检查数据发现过程时,添加你新发现的到清单中。PCI DSS要求你维护这个清单并记载你的数据流的文档,这样可以让你的审计或自评估的过程流水化。但是当你建造它时,对于CDE真实的范围有一个全面的了解会有帮助,而不仅是理论上你认为的范围。
限定在你的网络环境范围内收集和处理的数据只是***步——并且是一个好的理论方法——限定你的合规范围。但是记住这需要采取可靠的后续过程——自始至终对该理论保持警惕性并且在实践中应用。
作者:Ed Moyle
转载请注明:IT运维空间 » 安全防护 » 用PCI合规网络检测清单限定PCI DSS范围
发表评论