支付卡数据安全措施中的不足是造成企业未能通过支付卡行业数据安全标准(PCI DSS)评估的主要因素之一。通常一些被禁止的数据,如CVV2帐户安全密码或个人识别码(PIN),仍然被保留了下来(PCI DSS严禁保留这些数据),或者在没有充足的安全保障的情况下对原始帐户号码(PAN)进行了存储。和一些相对简单的网络安全措施相比,在安全数据存储方面,PCI DSS给许多商家都提出了极具挑战性的问题。 不了解支付安全的人往往只会采取普遍适用的措施(如“使用加密技术”),却完全不考虑全球分布式支付环境的极端复杂性。
同时,安全评估机构(QSA:Qualified Security Assessor)报……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
支付卡数据安全措施中的不足是造成企业未能通过支付卡行业数据安全标准(PCI DSS)评估的主要因素之一。通常一些被禁止的数据,如CVV2帐户安全密码或个人识别码(PIN),仍然被保留了下来(PCI DSS严禁保留这些数据),或者在没有充足的安全保障的情况下对原始帐户号码(PAN)进行了存储。和一些相对简单的网络安全措施相比,在安全数据存储方面,PCI DSS给许多商家都提出了极具挑战性的问题。
不了解支付安全的人往往只会采取普遍适用的措施(如“使用加密技术”),却完全不考虑全球分布式支付环境的极端复杂性。同时,安全评估机构(QSA:Qualified Security Assessor)报道的多起案例表明,持卡人庞大的未加密数据被存储在了商家的Web服务器上,全世界的人都能看到这些数据。
在本文中,通过简化企业数据存储措施和缩小PCI DSS评估范围,我们提供了一些具有建设性的意见来帮助企业简化评估程序。
首先,人们对PCI DSS普遍存在一种误解,认为它是为了保障支付数据安全制定的标准。而实际上,该标准的制定是为了降低支付卡交易过程中的风险。二者之间细微的差别在于,不用实施复杂的数据安全周期,或者购买昂贵工具(会产生大量的管理费用),用户就可以切实地降低交易风险。
因此,解决问题的办法往往是删除数据而并不是加密数据。Visa在目前由自己所倡导的方案中就力荐这个方法:删除数据。在布兰登•威廉斯(Branden Williams)和我合著的《PCI DSS规则遵从书》(The PCI DSS Compliance Book)一书中,数据安全性一章的开头是这样写的:“在开始讨论数据保护方法之前,我们需要提醒读者的是‘只有死了的数据才是最安全的数据’,这句话除了比较幽默以外,也告诫用户删除数据或其它不再操作数据的方法才是使PCI DSS合规变得更容易的最好方法,这样还可以降低交易风险、减少责任、减小罚款和违规损失的可能性。”
数据销毁背后的道理很简单:当今的安全技术非常复杂,常常需要进行维护(如,需要每日审查或安全监控),况且采用的技术可能一点也不可靠(“基于签名”的反病毒检测技术,只能检测到一小部分攻击)。因此,花大力气保护数据却没什么效果的方法与确保数据无法进入工作环境的方法相比,着实是一个下策。显然,这并不适用于保护公司的知识产权(IP)和其他保密信息,但却适用于支付数据。毕竟,我们都同意一点,就是银行更适于存储大量的数据,因为我们自己的公司并没有存储数百万美元。同样,在未来,公司不存储卡数据也会成为一个明显的趋势。
但是,删除数据仅仅是开始。使PCI DSS评估变得更加顺利的另一个关键策略是缩小评估范围。由于PCI评估的复杂性直接决定了评估的范围(PCI决定了持卡人数据环境的大小,从而决定了在评估中必须包括的审计的系统数量),因此缩小评估范围将对评估过程产生直接影响。这是为什么呢?让QSA调查一下持卡人环境中的1万个系统(如果一个企业的网络是平面的,并且持卡人数据又没有与余下部分的网络分割开来)和只调查10个系统,产生的差别是很大的,能对评估成功的可能性造成巨大影响。
翻译
相关推荐
-
关于POS终端安全 PCI做了哪些要求?
PCI DSS包括对POS终端安全的要求。在本文中,专家Mike Chapple将解释如何理解PCI对于POS终端的要求,并就此的最佳安全实践给出建议。
-
PCI DSS 3.1发布:商家需提供详尽的新SSL安全管理计划
新版本的支付卡行业数据安全标准(PCI DSS)已经发布,其中不仅要求商家做好准备摆脱有问题的数据加密协议,还要求提供有关他们打算如何实现这种转变的详细计划。
-
如何采取衡量的方法来进行自动化渗透测试?
快要被渗透测试压垮?很多人都是这样。面对PCI DSS、业务合作伙伴和客户需求或者类似责任,对渗透测试的需求的浪潮永无止境……
-
PCI DSS:为什么漏洞评估和渗透测试那么难?
2014年Verizon PCI合规报告对世界各地的PCI DSS合规状态进行了评估。令人惊讶的是,该报告发现“要求11”的合规率最低,尽管很多安全专业人士认为这是该报告中最直接的规定之一,该要求规定企业应对安全系统和流程定期进行测试。