021-54410609
为什么PCI DSS很重要?
PCI DSS代表支付卡行业数据安全标准。保护与付款相关的数据当然很重要,但是对范围更广的敏感个人信息(例如病历,犯罪背景和就业信息)的类似担忧也加剧了数据保护的问题,引发了众多隐私法和数据泄露行为-披露义务。
当然,必须遵守规定。不采取适当措施至少会损害您组织的声誉,并使企业处于竞争劣势。更糟糕的是,如果您遇到了数据泄露事件,那么您将受到罚款,并且疏忽大意的指控会越来越多。这些罚款可能由卡品牌本身和/或您的收单机构(代表您处理交易并负责保证您的PCI DSS符合支付卡品牌的组织)收取。您还将面临交易费用增加和潜在的诉讼。
避免所有这些麻烦,可以很容易地看出为什么遵守PCI DSS符合您组织的最大利益。还有另一个好处:您可以使用许多用于实现PCI DSS合规性的相同技术和过程来保护整个企业中的各种数据。
如果我的组织要遵守PCI DSS,为什么还要维护通用数据安全标准?
从交易处理到客户关系管理和增值系统(例如忠诚度和客户支持),帐户数据可以轻松地进入各种业务系统。挑战在于,必须保护所有这些环境以实现与PCI DSS的一致性。结果,该标准的广度和深度远远超过了其他隐私和数据安全性规定。实际上,安全专家倾向于同意它也很好地代表了行业最佳实践并与之保持一致。尽管该标准的某些方面对您的组织来说可能是新的,但它可能解决了真正的风险领域。
该标准被设计成从单人组织到大型跨国公司的全球所有公司的一致应用。但是实际上,评估还必须考虑法律、法规和业务要求。
PCI DSS的核心要求是什么?
PCI DSS包含12个已发布的要求,这些要求又包含多个子要求。下表列出了12个PCI DSS合规性要求,分为六个组:
| 组 | 要求 |
|---|---|
| 建立和维护安全的网络 | 要求1:安装并维护防火墙配置以保护持卡人数据。 |
| 要求2:不要将供应商提供的默认值用于系统密码和其他安全参数。 | |
| 保护持卡人数据 | 要求3:保护存储的持卡人数据。 |
| 要求4:加密持卡人数据在开放的公共网络中的传输。 | |
| 维护漏洞管理程序 | 要求5:保护所有系统免受恶意软件的侵害,并定期更新防病毒软件或程序。 |
| 要求6:开发和维护安全的系统和应用程序。 | |
| 实施强有力的访问控制措施 | 要求7:根据业务需要限制对持卡人数据的访问。 |
| 要求8:识别并验证对系统组件的访问。 | |
| 要求9:限制对持卡人数据的物理访问。 | |
| 定期监视和测试网络 | 要求10:跟踪和监视对网络资源和持卡人数据的所有访问。 |
| 要求11:定期测试安全系统和流程。 | |
| 维护信息安全政策 | 要求12:维护一项针对所有人员的信息安全性的政策。 |
我可以使用PCI DSS原理来保护其他数据吗?
为了符合PCI DSS,您将花费大量的时间和金钱来建立安全的基础架构和支持流程以满足PCI DSS的安全要求。PCI DSS主要涉及持卡人数据的保护。贵公司处理的与付款无关的所有其他数据呢?其中一些可能会受益于类似的保护级别。
通过考虑为满足PCI DSS要求所做的一切,您可以利用这些安全原则来构建支持组织关键资产的其他解决方案。您可以执行以下任一操作:
加密组织内部的所有网络流量,以确保只有那些需要查看数据的人员才能这样做。
通过使用加密和/或令牌化,并确保只有那些有权解密该数据的人员才能访问它,从而保护整个企业中所有静止的数据。
通过对数据记录中选定的字段进行加密,可以在捕获时(进入组织时)保护所有敏感数据。
在将数据发送到您使用的任何云服务提供商之前,通过对数据进行加密和本地管理密钥来完全控制安全性。
实施分层的安全性方法,以使您的基础结构不具有单个易受攻击的点,这使攻击者(组织内部或外部)更难获得未经授权的数据访问权限。
如果您对组织内的所有数据和数据访问采用注重安全性的方法,则满足特定的PCI DSS要求要简单得多。
如何保护已存储的支付持卡人数据(PCI DSS 要求3)?
PCI DSS的核心是需要保护您存储的所有持卡人数据。该标准提供了合适的持卡人数据保护方法的示例,例如加密、令牌化、截断、掩盖和散列。通过使用这些保护方法中的一种或多种,您可以有效地使被盗数据不可用。
保护存储的数据不是“一刀切”的概念。您应该将PCI DSS 要求3视为最低安全级别,应该实施该最低级别的安全性,以使潜在攻击者的攻击变得尽可能艰难。
了解数据存储规则
您需要知道所有存储数据的位置(这是最大程度地减少数据占用空间的诱因)。要求3还提供了有关可以存储和不能存储哪些数据的指南。此要求中最好的建议之一是“如果不需要,则不要存储。”
使存储的数据不可读
PCI DSS标准要求您在存储的任何位置(包括便携式存储介质,备份设备甚至审计日志(通常被忽略))都使主帐号(PAN)难以读取。PCI安全标准委员会故意使用不可读的单词,使该委员会可以避免强制使用任何特定技术,从而反过来证明了这些要求。尽管如此,要求3.4提供了几种选择:
基于强加密的单向散列,其中必须对整个PAN进行散列
截断,存储PAN的一部分(不超过前6位和后4位)
令牌化,它存储PAN的替代品或代理,而不是PAN本身
由密钥管理流程和安全程序支持的强大加密技术
安全地管理密钥
无论打算使用哪种方法使存储的数据不可读,都需要保护关联的加密密钥。如果将强加密与弱密钥管理过程结合在一起,则无用。该标准提供了有关密钥管理的详细指南,该指南与银行和其他金融机构保护其密钥的方式非常相似。附加要求要求您完整记录在整个生命周期中实现和管理各种密钥的方式。
您在密钥管理方面的成功取决于拥有良好的密钥管理者:您信任的人,他们不会合谋攻击您的系统。这些人必须正式承认他们了解并接受关键保管人的责任。
此外,您还必须确保组织内所有受影响的各方都记录,使用和了解用于保护存储的持卡人数据的安全策略和操作过程。
不要低估强大密钥管理的重要性,也不要尝试采用捷径。您的合格安全评估人员将找到您的错误,攻击者也可能会找到它们。SafeNet Luna HSM可以满足您对密钥安全的所有需求!
在显示前屏蔽PAN
该标准针对PAN的显示提供了一些非常具体的建议:仅向出于业务原因必须查看该数字的人员显示全部数字(通常为16位)。在所有其他情况下,必须实现屏蔽以确保显示的PAN的头六位数和后四位数不超过。
如何加密传输中的帐户数据(PCI DSS 要求4)?
当敏感数据通过开放式网络(包括Internet,公共或其他不受信任的无线网络以及蜂窝网络)传输时,它们非常脆弱。PCI安全标准委员会对传输中的数据采取非常严格的要求,要求使用受信任的密钥/证书,安全的传输协议和强加密。该委员会还为您分配审查安全协议的正在进行的任务,以确保它们符合安全通信行业的最佳实践。
阻止窃听者
许多潜在的攻击者都是窃听者,他们试图利用已知的安全漏洞。PCI DSS包括有关与其他系统建立连接的特定要求和指南:
仅当您拥有适当的信任密钥/证书时才继续进行。您应该验证这些密钥和/或证书,并确保它们尚未过期。
将系统配置为仅使用安全协议,并且不接受来自使用较弱协议或加密密钥长度不足的系统的连接请求。
为传输持卡人数据或连接到持卡人数据环境的无线网络进行身份验证和传输,实施强大的PCI DSS加密。
保护最终用户信息传递
PCI DSS的大部分致力于保护PAN。要求4提出了一些有关在开放网络上传输PAN的特定规则。因此,在传输持卡人数据时,您的组织通常使用的技术(例如最终用户信息传递技术)可能需要调整,替换或停止使用。要求4的主要约束如下:
PAN绝不能通过电子邮件,即时消息和聊天应用等商业技术不受保护地发送。
在使用这些最终用户技术中的任何一种之前,必须确保通过强大的加密技术使PAN变得不可读。
如果第三方请求PAN,则该第三方必须提供保护PAN的工具或方法,或者您必须在传输之前使该号码不可读。(可使用Tokenization)
在网络通信过程中加密持卡人数据时,必须定义适当的安全策略和操作过程。此外,您必须确保相关文档保持最新状态,并可供组织中的所有相关人员使用,并由其注意。
如何限制对持卡人数据的访问(PCI DSS 要求7)?
PCI DSS的相当一部分涉及访问控制机制,访问控制机制必须足够健壮和全面,以提供持卡人数据所需的保护。
PSS DSS的要求7明确指出必须限制数据访问。您必须确保关键数据只能由授权人员访问,并且您具有适当的系统和流程来根据业务需求和工作职责来限制访问。该要求还要求您在不再需要访问权限时立即删除访问权限。
尝试将需要访问数据的人数保持在绝对最低限度,并根据定义的角色和职责确定并记录访问需求。
管理您的访问策略
该标准要求您仔细考虑组织中的谁有权访问系统组件,以及这种访问对持卡人数据环境的安全性的影响。如果您有多个办公地点或数据中心,或者使用基于云的服务提供商托管某些数据,则此任务将变得更加复杂。
您需要在相当精细的级别上管理访问控制策略,仔细定义组织中的各种用户角色(用户、管理员等),并指定他们可以访问系统的哪些部分和数据。
实际上,您需要实施足够的控制以创建实用,有效的访问控制策略,因此要花费足够的计划时间来设计最佳的机制来满足您的需求。
分配“最低特权”访问权限
该标准是规定性的,因为它强制您向所有用户帐户授予“最低特权”访问权限,并记录和批准访问请求。逻辑是,您只授予每个人对他或她执行其工作职能所需的系统或数据各个位的足够访问权限。例如,管理员可以为其他用户定义访问策略,以查看持卡人数据,但她本人将无法直接读取数据。
根据您的环境,您可能需要解决多种系统类型以及网络,主机和应用程序级使用和管理的不同访问级别。例如,当您需要为多种类型的用户赋予对数据库的不同访问权限时,此任务可能会很复杂。
最好在默认情况下禁用对数据的访问,然后启用所需的任何访问。通过这种方法,可以更轻松地防止可能在最坏情况下导致数据泄露的授予访问权限的错误。
撤销数据访问
当用户在内部具有角色更改时,请记录该更改,并适当地修改该用户的特权。同样,当用户离开公司时,您需要记录更改,然后根据组织的策略和过程禁用或删除其用户帐户。
建立一致的流程可以帮助确保强大的特权管理。此外,揽阁信息建议您定期对用户帐户运行查询以验证帐户活动。例如,您可能每季度运行一次计划脚本。
如何验证对系统组件的访问权限(PCI DSS要求8)?
强大的安全性对于保护系统和数据免遭未经授权的访问至关重要。PCI DSS的要求8包含许多您需要在针对员工和第三方的访问控制和密码策略中解决的要素。
确保个人责任
重要的是要确保每个需要访问系统的用户(内部或外部)都具有唯一的标识符,以便以后对谁执行特定任务没有争议。(例如,有关处理不可否认性的详细信息,请参阅PCI DSS要求8.1。)严格执行每个用户的唯一标识符固有地会阻止使用基于组或共享的身份(请参阅PCI DSS要求8.1.5和8.5)。
每当添加新用户,修改现有凭据或删除或禁用不再需要访问的用户帐户时,您还需要确保完全负责。这种责任制包括立即撤消已终止用户(例如刚离开公司的员工)的访问权限(请参阅PCI DSS要求7.1.4和8.1.2)。
使访问管理变得灵活
拥有合规的用户访问策略固然很好,但是该策略仅使您成为遵守PCI DSS的一部分。您需要使用详细说明各种任务的访问管理系统来支持用户访问策略,例如:
限制第三方(例如需要远程访问服务或支持您的系统的供应商)的数据访问。仅在当事方需要时才授予访问权限,并监视他们对系统的使用。切勿提供不受限制的24/7访问。
锁定在指定时间段内多次尝试登录失败的用户(以使自动密码攻击更加困难)。
在指定的不活动时间后,使任何用户无法使用该系统,并且需要重复登录才能继续(以最大程度地降低假冒风险)。
对于尝试非控制台管理或远程访问持卡人数据环境系统组件的人员,实施多因素身份验证方法(通常是令牌或智能卡)。这种增强的安全性方法提高了攻击者的门槛。
加强认证
对于所有类型的访问,该标准都需要一个强大的身份验证系统。该标准还提供有关实施和管理此身份验证系统的详细信息。例如,对于密码,PCI DSS要求8.2指导您执行以下操作:
在所有系统组件上传输和存储期间,使用强大的加密技术使所有身份验证凭据(例如密码或密码短语)变得不可读,从而在最容易受到内部攻击的地方贬值数据。
为密码设置严格的条件。作为基本要求,所有密码至少必须每90天更改一次。对于任何给定的密码,您必须至少使用七个字母数字字符。必须禁止重复使用以前的密码。
为每个新用户提供一个初始密码,并要求她在首次访问系统时更改该密码。
禁止组共享密码。
建立身份验证策略后,请将其提供给所有用户,以帮助他们理解和遵循要求。
如何监视对持卡人数据的访问(PCI DSS要求10)?
如果您没有关于如何以及何时访问,更新或删除数据的确切详细信息,则将很难确定对系统的攻击。另外,您将没有足够的信息来调查是否出了问题,尤其是在数据泄露之后。
幸运的是,PCI DSS要求10要求保留,监视和保留全面的审核日志。
维护审计追踪
该标准要求将某些活动(尤其是读取,写入或修改数据(请参阅PCI DSS要求10.2))记录在所有系统组件的自动审核跟踪中。这些组件包括面向外部的技术和安全系统,例如防火墙,入侵检测和入侵防御系统以及身份验证服务器。
此外,该标准还描述了如何记录特定的详细信息,以便您了解所有数据访问的对象,对象,位置,时间和方式。例如,应该记录任何root用户或管理员用户访问权限,尤其是在特权用户尝试访问数据之前升级其特权时。
PCI DSS要求10.4还要求将所有持卡人数据环境系统组件配置为接收准确的时间同步数据。如果您尚不具备此功能,则可能需要升级系统。
要记录的重要信息之一是任何失败的访问尝试-很好的指示暴力攻击或持续猜测密码的情况,尤其是在访问日志中包含许多条目的情况下。您还必须记录添加和删除操作,例如增加访问权限,降低身份验证约束,临时禁用日志以及软件替换(这可能是恶意软件的标志)。
防止未经授权的日志修改
创建审核日志后,必须确保以不可更改的方式保护日志。您必须使用集中式PCI DSS日志记录解决方案(请参阅PCI DSS要求10.5.3),并具有受限制的访问权限和足够的容量,以保留持卡人数据环境中所有系统组件的至少90天的日志数据,其余如果需要,可以全年恢复。
进行定期安全审查
除了确保生成,集中存储并防止未经授权的访问或修改所需的详细信息之外,您还必须至少每天监控一次日志和安全事件,并要求在白天或晚上的任何时间查看警报(请参阅PCI) DSS要求10.6和12.10.3)。此要求可帮助您识别异常和可疑活动。
揽阁信息建议您考虑实施集中式日志记录解决方案,以解决将来的容量并包括报告工具。
如何使存储的PAN信息不可读?
以下是一些使存储的信息(尤其是主帐号(PAN))不可读的最受欢迎的方法。
数据屏蔽涉及在将数据提供给个人时维护数据的机密性。任何在餐厅或商店中使用支付卡然后检查打印的收据的人都熟悉该过程。PAN的某些数字显示为X而不是实际数字(请参见下图)。根据PCI DSS要求3.3,PAN显示应限制为执行作业功能所需的最小位数,并且不得超过前六位和后四位。
屏蔽PAN以用于显示目的
资料来源:Thales eSecurity
截断
截断通过确保仅存储完整PAN的一部分来使存储的数据不可读。与屏蔽一样,最多只能存储前六位和后四位。
截断PAN
资料来源:Thales eSecurity
单向散列
哈希函数是定义明确,可证明安全的加密过程,它将任意数据块(在这种情况下为PAN)转换为不同的唯一数据串。换句话说,每个PAN都会产生不同的结果。单向哈希过程是不可逆的(这就是为什么被称为单向)的原因;它通常用于确保未修改数据,因为原始数据块中的任何更改都将导致不同的哈希值。
下图说明了在PCI DSS上下文中哈希函数的使用。该技术提供了机密性(不可能从该PAN的哈希版本重新创建PAN),但是与截断一样,它使使用存储的数据进行后续交易成为不可能。
PAN的单向哈希
资料来源:Thales eSecurity
您不能在持卡人数据环境中保留同一张支付卡的截断和散列版本,除非您实施其他控制以确保这两个版本不能相互关联以重建PAN。
令牌化(Tokenization)
令牌化是一个用代理数据替换原始PAN的过程-一个看起来像合法PAN但对攻击者没有价值的令牌。在大多数实现中,该过程是可逆的。令牌可以根据要求转换回原始PAN。当后续交易需要访问存储的PAN时,将使用令牌化。
您可以通过多种方式创建令牌。以下是两种常见方法:
直接从原始PAN值计算得出的令牌:在确定的过程中,此方法会为每个给定的PAN产生相同的令牌。
随机生成的令牌:每次彻底查找以前的PAN时,此方法每次都会产生不同的令牌,以便可以重新使用先前发出的令牌。
在某些情况下,令牌化过程的确定性程度可能很重要。一切都取决于令牌的使用方式。在某些情况下,不仅希望在标记化过程中保留PAN的格式,而且还要保留PAN的某些数字(请参见下图)。
PAN的令牌化(保留最后四位数字)
资料来源:Thales eSecurity
加密
在某些方面,加密的目标与令牌化的目标相似,因为PAN数据被对攻击者没有内在价值的数据代替。加密使用标准化的加密算法和密钥从原始数据中导出加密的PAN。算法是众所周知的,因此过程的安全性取决于密码密钥的强度和处理方式,这就是为什么硬件安全模块被广泛使用的原因。
加密过程通常会更改数据格式。通常,当数据加密时,数据大小会增加。出于同样的原因,令牌化尝试保留原始PAN数据的格式(以最大程度地减少与数据联系的现有系统中的更改),组织经常采用格式保留加密(FPE;请参见下图)。
PAN加密(使用FPE并保留后四位数字)。
资料来源:Thales eSecurity
揽阁信息可提供的部分安全产品和解决方案信息
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
-
数据库访问控制:揽阁LGPAC系统
-
通用HSM:Luna HSM、ProtectServer HSM
-
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!
联系我们
免费试用留言
客服电话