企业需要评估PCI DSS 3.0要求,并为2015年6月30日的强制性改变做好准备。本文中专家Mike Chapple讨论了如何为最后期限备战。
两年前,企业在评估PCI DSS 3.0变化带来的影响时,可能注意到有一组要求被标记为“在2015年6月30日之前,要求X为最佳做法,而在该日期之后,该要求将变成强制性要求”。如果企业当时的回应是“我们可晚点再处理”,那么现在,企业要注意这个时刻即将到来。
当PCI SSC在2013年11月发布最终PCI DSS 3.0标准时,他们意识到有些要求修改会对企业带来非常显著的影响,所以,他们向商家和服务提供商提供了20个月的宽限期来慢慢适应这些变化。本文中我们将看看这些即将变为强制性要求的可选要求及其对企业的影响。
顺便提一下,PCI SSC最近发布了PCI DSS 3.1版,此更新版本主要涵盖对不安全的SSL/TLS协议的使用,并不会改变这些延迟的PCI DSS 3.0要求。虽然说,你应该为PCI DSS 3.1制定计划,但你首先要解决这些要求。
读卡设备的物理安全
Requirement 9.9要求商家“保护通过直接物理解除来获得支付卡数据的设备,防止设备被篡改和替换”。这一要求旨在防止略读和其他攻击技术篡改读卡器本身,该要求适用于有卡交易的商家。
如果企业有销售点终端设备允许客户或员工刷卡支付,则企业还有一个月的时间来满足这一要求。企业需要遵守以下政策,并进行文档记录,这包括:维护所有刷卡设备的库存清单、定期检查这些设备以及对人员进行培训,让他们了解物理安全的重要性以及设备篡改带来的风险。
渗透测试方法更新
在PCI DSS 3.0中,最大的变化之一是Requirement 11.3中渗透测试方法的严谨性。PCI委员会开始规范渗透测试的范围以及测试人员使用的技术。在6月30号之后进行的所有测试必须遵循新的标准。
企业在重新设计测试方法期间,应该仔细阅读该标准中的详细内容,下面是其中的基本要求:首先,企业必须使用业界公认的方法进行测试,PCI委员会推荐NIST SP800-115.其次,测试必须包括对所有持卡人数据环境组件的内部和外部测试,包括范围缩减技术,例如网络分段。第三,包括网络和应用层测试。最后,企业必须让测试结合风险评估,并且,按照正式的保留时间表来保存测试和修复结果的文档。
身份验证和会话管理
在最新版本的OWASP十大Web应用安全威胁中,糟糕的身份验证和会话管理被评为当今Web应用面临的第二大威胁。对此,PCI DSS在PCI DSS 3.0的6.5.10要求中新增了缓解这种风险的内容,让开发人员重新审视自己的工作,并将6月30日定为最后期限。
该标准建议开发人员遵循安全编码做法。Web应用开发人员必须标记会话令牌为安全,从可能保存在日志中的URL删除会话ID,以及在身份验证后轮换会话ID并设置过期时间。这可能需要对Web应用的大幅修改,因此现在是时候该行动了。
针对服务提供商的另外两个PCI要求
这些是在6月份新要求变成强制要求之前所有商家都需要做的工作。在另一方面,服务提供商还需要解决两个额外的要求。第一个是要求8.5.1,该要求适用于远程访问客户系统的服务提供商,其中要求服务提供商为每位客户使用独特的登录凭证,而不是对所有账户使用共享主密码。
服务提供商还必须遵守12.9节中的新要求。这个要求更偏向行政方面,要求他们向客户发送书面通知,说明服务提供商代表客户对他们存储、处理或传输的持卡人数据的PCI DSS合规性负责。
还有不到一个月的时间,这些新要求将变成强制性要求。现在企业是时候开始行动,遵循PCI DSS 3.0标准了--特别是因为现在PCI DSS 3.1已经成为现实。
作者:Mike Chapple 翻译:邹铮
来源:51CTO