发布日期:2024-12-22 浏览次数:
PCI DSS 代表支付卡行业数据安全标准。保护与支付相关的数据当然很重要,但对更广泛的敏感个人信息(如医疗记录、犯罪背景和就业信息)的类似担忧也提升了数据保护问题,引发了许多隐私法和数据泄露披露义务。
当然,合规是强制性的。不采取适当的措施至少会损害贵公司的声誉,并使企业处于竞争劣势。更糟糕的是,如果您遭遇数据泄露,您将受到罚款,并且会收到大量关于疏忽的指控。这些罚款可能由信用卡品牌本身和/或您的收单机构(代表您处理交易并可能负责向支付卡品牌保证您符合 PCI DSS 标准的组织)征收。您还会面临交易费用增加和潜在的诉讼。
避免所有这些麻烦后,您就会明白为什么遵守 PCI DSS 符合贵组织的最佳利益。还有另一个好处:您可以使用许多与实现 PCI DSS 合规性相同的技术和流程来保护整个企业的各种数据。
账户数据很容易进入各种业务系统,从交易处理到客户关系管理,再到增值系统,如忠诚度和客户支持。挑战在于,所有这些环境都需要得到保护才能符合 PCI DSS。因此,该标准的广度和深度远远超过其他隐私和数据安全要求。事实上,安全专家倾向于认为,它也很好地代表并符合行业最佳实践。尽管该标准的某些方面对您的组织来说可能是新的,但它很可能解决了真正存在风险的领域。
该标准旨在让全球所有公司(从单人团队到大型跨国公司)一致应用。但在实践中,评估还必须考虑法律、法规和业务要求。
PCI DSS 包含 12 项已发布的要求,这些要求又包含多个子要求。12 项 PCI DSS 合规性要求分为六组,如下表所示:
PCI DSS 合规性要求
团体要求
建立和维护安全网络要求 1: 安装和维护防火墙配置以保护持卡人数据。
要求 2: 不要使用供应商提供的系统密码和其他安全参数的默认设置。
保护持卡人数据要求 3: 保护存储的持卡人数据。
要求 4: 在开放的公共网络上加密传输持卡人数据。
维护漏洞管理程序要求 5: 保护所有系统免受恶意软件的侵害,并定期更新防病毒软件或程序。
要求 6: 开发和维护安全的系统和应用程序。
实施强有力的访问控制措施要求 7: 根据业务需要限制对持卡人数据的访问。
要求 8: 识别并验证对系统组件的访问。
要求 9: 限制对持卡人数据的物理访问。
定期监控和测试网络要求 10: 跟踪和监控对网络资源和持卡人数据的所有访问。
要求 11: 定期测试安全系统和流程。
维护信息安全政策要求 12: 维护一项针对所有人员的信息安全政策。
要符合 PCI DSS 标准,您需要投入大量时间和金钱来构建安全基础设施和支持流程,以满足 PCI DSS 安全要求。PCI DSS 主要关注持卡人数据的保护。那么贵公司处理的与支付无关的其他数据呢?其中一些数据可能会受益于类似级别的保护。
通过超越满足 PCI DSS 要求的现有做法,您可以利用这些安全原则来构建支持组织关键资产的其他解决方案。您可以执行以下任一操作:
加密组织内部的所有网络流量,以确保只有需要查看数据的人才能查看数据。
使用加密和/或标记化来保护整个企业的所有静态数据,并确保只有获得授权解密该数据的人员才能访问它。
通过加密数据记录中的选定字段,在捕获点(数据进入组织的点)保护所有敏感数据。
在将数据发送到您使用的任何云服务提供商之前,通过加密数据并在本地管理密钥,确保完全控制安全性。
实施分层安全方法,以便您的基础设施不会有单个易受攻击的点,这使得攻击者(组织内部或外部)更难以未经授权访问您的数据。
如果您对组织内的所有数据和数据访问采取安全意识的方法,那么满足特定的 PCI DSS 要求就会简单得多。
PCI DSS 的核心是需要保护您存储的任何持卡人数据。该标准提供了适当的持卡人数据保护方法的示例,例如加密、标记化、截断、屏蔽和哈希处理。通过使用一种或多种这些保护方法,您可以有效地使被盗数据无法使用。
保护存储的数据并不是“一刀切”的概念。您应该将 PCI DSS 要求 3 视为您应该实施的最低安全级别,以尽可能地让潜在攻击者难以得逞。
了解数据存储规则
您需要知道存储数据的所有位置(这是最大程度减少数据占用空间的一大动力)。要求 3 还提供了有关哪些数据可以存储和不能存储的指导。此要求中最好的建议之一是“如果您不需要它,就不要存储它。”
使存储的数据不可读
PCI DSS 标准要求您将主帐号 (PAN) 存储在任何位置,包括便携式存储介质、备份设备,甚至审计日志(经常被忽视),使其不可读。PCI 安全标准委员会刻意使用“不可读”一词,使委员会能够避免强制使用任何特定技术,从而为这些要求提供未来保障。尽管如此,要求 3.4 仍提供了几种选择:
基于强加密的单向哈希算法,其中必须对整个 PAN 进行哈希处理
截断,存储 PAN 的一部分(不超过前六位和后四位数字)
标记化,存储 PAN 的替代品或代理,而不是 PAN 本身
由密钥管理流程和安全程序支持的强加密技术
安全管理密钥
无论你打算使用什么方法使存储的数据不可读,你都需要保护相关的加密密钥。如果强加密与弱密钥管理流程相结合,那么它就毫无用处。该标准提供了有关管理密钥的详细指导 — 该指导与银行和其他金融机构保护其加密密钥的方式非常相似。其他要求要求你完整记录你在各种密钥的整个生命周期中实施和管理它们的方式。
能否成功管理密钥取决于拥有优秀的加密密钥保管人:您信任的人,他们不会串通攻击您的系统。这些人必须正式承认他们了解并接受其密钥保管责任。
此外,您必须确保保护存储的持卡人数据的安全政策和操作程序已记录在案、使用并被组织内所有相关方知晓。
不要低估强密钥管理的重要性,也不要试图走捷径。您的合格安全评估员会发现您的错误,攻击者也可能发现这些错误。
显示前屏蔽 PAN
标准针对 PAN 的显示提出了一些非常具体的建议:仅向那些因业务原因必须查看 PAN 的人员显示全部数字(通常为 16 位)。在所有其他情况下,必须实施屏蔽,以确保显示的数字不超过 PAN 的前六位数字和后四位数字。
敏感数据在开放网络(包括互联网、公共或其他不受信任的无线网络以及蜂窝网络)上传输时非常容易受到攻击。PCI 安全标准委员会对传输中的数据采取非常严格的规定,要求使用受信任的密钥/证书、安全传输协议和强加密。该委员会还指派您持续审查您的安全协议,以确保它们符合安全通信的行业最佳实践。
阻止窃听者
许多潜在攻击者都是试图利用已知安全漏洞的窃听者。PCI DSS 包括与建立与其他系统的连接的具体要求和指导:
仅当您拥有受信任的密钥/证书时才继续。您需要验证这些密钥和/或证书,并确保它们尚未过期。
将您的系统配置为仅使用安全协议,并且不要接受使用较弱协议或加密密钥长度不足的系统的连接请求。
对传输持卡人数据或连接到持卡人数据环境的无线网络上的身份验证和传输实施强大的 PCI DSS 加密。
确保最终用户消息传递的安全
PCI DSS 的大部分内容都侧重于保护 PAN。要求 4 规定了一些有关在开放网络上传输 PAN 的具体规则。因此,在传输持卡人数据时,您的组织通常使用的技术(例如最终用户消息传递技术)可能需要调整、替换或停用。要求 4 的主要限制如下:
绝不能在没有任何保护的情况下通过电子邮件、即时通讯和聊天应用程序等商业技术发送 PAN。
在使用任何这些最终用户技术之前,您必须确保 PAN 已通过强加密技术变得不可读。
如果第三方请求 PAN,则该第三方必须提供工具或方法来保护 PAN,或者必须在传输之前使该号码不可读。
当您在网络通信过程中加密持卡人数据时,您必须定义适当的安全策略和操作程序。此外,您必须确保相关文档保持最新,并向组织中的所有相关人员提供和遵循。
PCI DSS 的相当一部分内容涉及访问控制机制,这些机制必须足够强大和全面,才能为持卡人数据提供所需的保护。
PSS DSS 的要求 7 明确指出您必须限制数据访问。您必须确保只有授权人员才能访问关键数据,并且您已建立适当的系统和流程来根据业务需求和工作职责限制访问。该要求还要求您在不再需要访问时立即删除访问权限。
尽量将需要访问数据的人数保持在绝对最低限度,并根据定义的角色和职责识别和记录访问需求。
管理您的访问策略
该标准要求您仔细考虑组织中的哪些人有权访问系统组件以及这种访问对持卡人数据环境安全的影响。如果您有多个办公地点或数据中心,或者您使用基于云的服务提供商来托管部分数据,那么这项任务会变得更加复杂。
您需要在相当精细的级别上管理您的访问控制策略,仔细定义组织中的各种用户角色(用户、管理员等)并指定他们可以访问系统和数据的哪些部分。
实际上,您需要实施足够的控制来创建实用、有效的访问控制策略,因此需要花费足够的规划时间来设计最佳机制来满足您的需求。
分配“最小特权”访问权限
该标准具有规定性,它强制您向所有用户帐户授予“最低特权”访问权限,并且访问请求已记录并得到批准。其逻辑是,您只授予每个人足够的访问权限,以访问系统的各个部分或他或她执行工作职能所需的数据。例如,管理员可以定义访问策略,让其他用户查看持卡人数据,但她自己不能直接读取数据。
根据您的环境,您可能需要处理多种系统类型和不同级别的网络、主机和应用程序级使用和管理访问权限。例如,当您需要为多种类型的用户授予不同的数据库访问权限时,这项任务可能会很复杂。
最好默认禁用数据访问,然后启用所需的任何访问权限。此方法可以更轻松地防止可能导致(在最坏情况下)数据泄露的访问权限授予错误。
撤销数据访问权
当用户在内部角色发生变化时,记录该变化,并根据需要修改该用户的权限。同样,当用户离开公司时,您需要记录该变化,然后根据组织的政策和程序禁用或删除其用户帐户。
建立一致的流程有助于确保强大的权限管理。此外,Thales 建议您定期对用户帐户运行查询以验证帐户活动。例如,您可以每季度运行一次计划脚本。
强大的安全性对于保护您的系统和数据免受未经授权的访问至关重要。PCI DSS 的要求 8 包含许多元素,您需要在针对员工和第三方的访问控制和密码策略中解决这些元素。
确保个人问责
确保需要访问系统的每个用户(内部或外部)都拥有唯一的标识符非常重要,这样以后就不会出现关于谁执行了特定任务的争议。(例如,有关处理不可否认性的详细信息,请参阅 PCI DSS 要求 8.1。)严格执行每个用户的唯一标识符本质上可以防止使用基于组或共享的身份(请参阅 PCI DSS 要求 8.1.5 和 8.5)。
您还需要确保在添加新用户、修改现有凭据或删除或禁用不再需要访问权限的用户帐户时,完全追究责任。这种责任包括立即撤销已终止用户(例如刚离开公司的员工)的访问权限(请参阅 PCI DSS 要求 7.1.4 和 8.1.2)。
使访问管理更加灵活
拥有合规的用户访问策略固然很好,但该策略只能让您部分地遵守 PCI DSS。您需要使用访问管理系统来支持您的用户访问策略,该系统详细说明了各种任务,例如:
限制第三方(例如需要远程访问来维护或支持您的系统的供应商)的数据访问。仅在这些方需要时授予访问权限,并监控他们对您的系统的使用情况。切勿提供不受限制的全天候访问权限。
锁定在指定时间内多次登录失败的用户(以使自动密码攻击更加困难)。
在指定的不活动时间之后,任何用户都无法使用系统,并且需要重新登录才能继续(以最大限度地降低冒充风险)。
对试图以非控制台方式管理或远程访问持卡人数据环境系统组件的人员强制实施多因素身份验证方法(通常是令牌或智能卡)。这种增强的安全方法提高了攻击者的门槛。
加强身份验证
对于所有类型的访问,该标准都要求有强大的身份验证系统。该标准还提供了有关实施和管理此身份验证系统的详细信息。例如,对于密码,PCI DSS 要求 8.2 指示您执行以下操作:
使用强加密技术使所有身份验证凭据(例如密码或密码短语)在所有系统组件上传输和存储期间不可读,从而降低最容易受到内部攻击的数据价值。
为密码设置严格的条件。作为一项基本要求,所有密码必须至少每 90 天更改一次。您必须强制任何给定密码至少包含七个字母数字字符。必须禁止重复使用以前的密码。
为每个新用户提供一个初始密码,并要求她在第一次访问系统时更改该密码。
禁止群组共享密码。
建立身份验证策略后,将其提供给所有用户,以帮助他们理解并遵守要求。
如果您没有关于数据被访问、更新或删除的方式和时间的精确详细信息,您将很难识别对系统的攻击。此外,如果出现问题,您将没有足够的信息来调查,尤其是在数据泄露之后。
幸运的是,PCI DSS 要求 10 要求保存、监控和保留全面的审计日志。
维护审计线索
标准要求某些活动(尤其是读取、写入或修改数据(参见 PCI DSS 要求 10.2))必须记录在所有系统组件的自动审计跟踪中。这些组件包括面向外部的技术和安全系统,例如防火墙、入侵检测和入侵预防系统以及身份验证服务器。
此外,该标准还描述了如何记录具体细节,以便您了解所有数据访问的人员、内容、地点、时间和方式。例如,任何 root 或管理员用户访问都应记录,尤其是当特权用户在尝试访问数据之前提升其权限时。
PCI DSS 要求 10.4 还要求所有持卡人数据环境系统组件都配置为接收准确的时间同步数据。如果您还没有此功能,则可能需要升级您的系统。
需要记录的一个重要信息是任何失败的访问尝试 — 这是暴力攻击或持续猜测密码的良好指标,尤其是在访问日志有大量条目的情况下。您还必须记录添加和删除,例如增加访问权限、降低身份验证限制、暂时禁用日志和软件替换(这可能是恶意软件的迹象)。
防止未经授权的修改日志
创建审计日志后,您必须确保日志得到妥善保护,以防被更改。您必须使用集中式 PCI DSS 日志解决方案(请参阅 PCI DSS 要求 10.5.3),该解决方案具有访问受限和足够的容量,可保留持卡人数据环境中所有系统组件至少 90 天的日志数据,并在需要时恢复一年的剩余数据。
定期进行安全审查
除了确保生成、集中存储和防止未经授权的访问或修改所需的详细信息外,您还必须至少每天监控日志和安全事件,并在白天或晚上的任何时间查看警报(请参阅 PCI DSS 要求 10.6 和 12.10.3)。此要求可帮助您识别异常和可疑活动。
Thales建议您考虑实施一个集中式日志记录解决方案,该解决方案考虑未来的容量并包含报告工具。
以下是一些最流行的使存储信息(尤其是主帐号(PAN))无法读取的方法。
屏蔽(Masking)
屏蔽是指在向某人展示数据时保持数据的机密性。任何在餐厅或商店使用支付卡并检查打印收据的人都熟悉这个过程;PAN 的某些数字显示为 X,而不是实际数字(见下图)。根据 PCI DSS 要求 3.3,PAN 显示应限制为执行工作职能所需的最少位数,并且不应超过前六位和后四位数字。
为了显示目的而屏蔽 PAN。
来源:Thales
截断(Truncation)
截断可确保仅存储完整 PAN 的子集,从而使存储的数据无法读取。与屏蔽一样,最多只能存储前六位和后四位数字。
截断 PAN
来源:Thales
单向哈希
哈希函数是一种定义明确、可证明安全的加密过程,可将任意数据块(在本例中为 PAN)转换为不同的唯一数据字符串。换句话说,每个 PAN 都会产生不同的结果。单向哈希过程是不可逆的(这就是它被称为单向的原因);它通常用于确保数据未被修改,因为原始数据块中的任何更改都会导致不同的哈希值。
下图说明了哈希函数在 PCI DSS 中的使用情况。该技术提供了机密性(不可能从 PAN 的哈希版本重新创建 PAN),但与截断一样,它使得无法使用存储的数据进行后续交易。
PAN 的单向哈希
来源:Thales
除非您实施额外的控制以确保两个版本不能关联以重建 PAN,否则您无法在持卡人数据环境中保留同一张支付卡的截断版本和散列版本。
Tokenization(令牌化/标记化)
标记化是用替代数据(可能看起来像合法 PAN,但对攻击者来说毫无价值的令牌)替换原始 PAN 的过程。在大多数实现中,该过程是可逆的;可以根据请求将令牌转换回原始 PAN。当存储的 PAN 需要可供后续交易访问时,就会使用标记化。
您可以通过多种方式创建令牌。以下是两种常见方法:
直接从原始 PAN 值计算的令牌:此方法在据称是确定性的过程中为每个给定的 PAN 产生相同的令牌。
随机生成的令牌:除非对以前的 PAN 进行详尽查找以便可以重复使用以前发出的令牌,否则此方法每次都会产生不同的令牌。
在某些情况下,标记化过程的确定性程度可能很重要。一切都取决于如何使用标记。在某些情况下,在标记化过程中,不仅需要保留 PAN 的格式,还需要保留 PAN 的某些数字(见下图)。
PAN 标记化(保留最后四位数字)
来源:Thales
加密
在某些方面,加密的目标与标记化的目标相似,即用对攻击者没有内在价值的数据替换 PAN 数据。加密使用标准化加密算法和密钥从原始数据中派生出加密的 PAN。这些算法广为人知,因此该过程的安全性取决于加密密钥的强度和处理,这就是 HSM(硬件安全模块) 被广泛使用的原因。
加密过程通常会改变数据的格式。通常,加密数据时数据大小会增加。出于同样的原因,标记化试图保留原始 PAN 数据的格式(以尽量减少与数据接触的现有系统的更改),组织通常采用格式保留加密(FPE;见下图)。
PAN 的加密(使用 FPE 并保留最后四位数字)。
来源:Thales
揽阁信息拥有20年的信息安全行业经验,可为您提供定制化的安全解决方案,欢迎联系我们获取更多专业支持。
揽阁信息 · 值得您信赖的信息安全顾问!
服务热线
