2016年9月,支付卡行业安全标准委员会( PCI SSC )迎来10周年纪念。这个由主流信用卡品牌创建的组织,成立目的就是为强化支付卡信息的安全保护。PCI SSC 管理着支付卡行业数据安全标准( PCI DSS ),也就是任何存储、处理或传输支付卡信息的组织都必须遵守的要求。PCI SSC 一直基于最新威胁和企业环境中不断增加的复杂性,持续修订 PCI DSS 。
适逢 PCI SSC 里程碑式的10周年之际,探讨一下这一标准的成功之处和所遭遇的问题,或许会带来一定的启发作用。没有哪个标准能毫发无损地通过行业审查;事实上,标准几乎总是落后于创新。然而,PCI DSS 却是极少见的,超前于潮流的标准之一。
要让一个行业能够评估自身状况,一个可供做出判断的客观基准是必须的。PCI DSS 就设定了那个基准。
PCI DSS 为寻求保护客户支付卡信息的公司提供了有效的起始点。发现支付卡数据存储地、锁定可能造成泄露的漏洞、修复这些漏洞并告知相关银行和信用卡商的过程,是强力信息安全项目的一个基本方面。
PCI SSC 经常更新 PCI DSS 以便企业可以领先最新威胁一步,在他们的业务环境越来越复杂的情况下,也能更好地保护客户的支付卡数据。自2006年 PCI DSS 第一版发布以来,PCI SSC 已对该标准更新了7次。频繁的改变,对紧跟技术和业务环境的发展而言十分必要。但是,它同时也提出了重大挑战,尤其是对勉力跟上的小商户而言。
PCI DSS 要求企业进行季度漏洞扫描,并向审计者报告修复情况。而且这些扫描是不算在年度 PCI DSS 全面评估当中的。无论有没有这些要求,企业都应该持续遵循最佳实践。对那些不这么做的企业来说,至少客户能够确保每年有几次会有最低限度的注意力投放到发现和修复漏洞上。
成功之处:检查薄弱环节
最新一版的 PCI DSS 3.2,添加了对第三方服务提供商的要求。正如过去几年激增的重大数据泄露事件表露出来的,第三方一直是信息安全中的薄弱环节。PCI DSS 3.2 要求服务提供商进行季度审查,确保人员遵从安全策略和操作规程。提供商还被要求至少每半年对分段控制进行渗透测试。
挑战:常被视为走过场
太多公司将 PCI DSS 合规视为一路打勾下去的走过场,而不是实践良好的整体网络安全。企业应从基于风险的视角看待网络安全,让网络风险管理享受到与其他操作性风险同等的持续性优先对待。
挑战:大企业很难保持领先
有分布式遗留环境(比如在上百个商场的自营终端上部署的多代销售终端系统)的大型企业,在保持对不断变化的 PCI DSS 的合规上举步维艰。只要标准进行了更新,企业就得努力确保他们的技术和安全控制也更新到合规的程度,而当企业环境遍布全球时,这项工作推行起来就十分棘手了。如果企业从一开始就实现强力网络安全防护,那他们就能在 PCI DSS 合规工作中领先一步。
挑战:必须用自动化替代人工过程
对很多公司而言,季度和年度合规报告,是一项耗时耗力的手工工作,要将数据抽取到一连串的电子表格中呈现给审计者看。人工将网络风险信息编译进各种各样的电子表格,是一项恐怖的、分散精力的、资源密集型的任务,往往迫使安全团队将视线从安全防护上调离开来。网络风险报告必须自动化,不仅仅是为了 PCI DSS 审计,更重要的,是让安全高管、业务线应用程序所有者,以及董事会,能够理解安全团队在保护公司资产上所做的努力。
挑战:错误和偏差不可避免地进入到了过程中
除了人工编译 PCI DSS 合规报告的精力消耗,错误和偏差也会不可避免地混入到数据中。某些情况下,企业没时间收集数据,于是就使用了以前报告中的过时信息。人工企业采用了自动化收集、分析和报告网络风险信息的做法,那么所有利益相关者就能工作在同步的数据集上了。
挑战:企业内部过程协调的必要性
PCI DSS 合规过程需要在合规、安全、IT和业务线应用程序所有者之间进行协调。然而,这几方往往是各自为战,造成四处灭火和垂死挣扎的窘状。为保持领先,业务线应用程序所有者应该成为程序和数据防卫战中不可或缺的一部分,而不仅仅是流程末端无足轻重的一个签名。
本文转自d1net(转载)
