PCI安全标准委员会发布PCI数据安全标准3.0版(PCI DSS)和相应的支付应用数据安全标准(PA-DSS),增加了对支付卡行业组织(包括商户、支付处理器、金融机构和服务提供商)的新安全要求和指导。
新版本将于1月1日生效,但各组织必须在2014年12月31日之前完成从PCI DSS 2.0的过渡。此外,在2015年6月30日之前,一些新的安全要求将具有最佳实践状态。
PCI DSS的主要目标是帮助组织保护持卡人数据的安全,其有效性在安全界存在争议。部分原因是,尽管通过了PCI DSS合规性评估,但仍有许多商户和支付处理器遭遇了严重的持卡人数据泄露。
PCI安全标准委员会认识到了这一问题,并在新版标准中纳入了一套最佳做法,旨在使PCI DSS的实施成为正常业务活动的一部分,并确保参与支付卡处理的组织在年度评估之间保持合规。
这些方法包括防火墙,入侵检测系统,反病毒产品和访问控制的连续监测,以确保它们按预期操作;确保被检测和及时修复故障的安全控制;回顾到像新添加的系统或现有的系统和网络配置的变形例的环境计划变化如何影响PCI DSS的范围和更新所述安全控制根据需要;回顾像收购或合并影响PCI DSS范围是如何组织的变化;审查至少一年如果所用的硬件和软件技术仍然受到厂商的支持一次;并实现职责分离人员负责安全和负责操作,使得没有任何一个人有过没有独立检查的全过程控制。
“应定期进行审查和沟通,以确认PCI DSS要求继续到位,人员正在遵循安全流程,”标准说这些定期审查应涵盖所有设施和地点,包括零售店、数据中心等,并包括审查系统组件(或系统组件样本),以验证PCI DSS要求是否继续到位——例如,已应用配置标准、补丁程序和AV是最新的,审核日志是被审查,等等。”2020欧洲杯预赛
虽然这些建议是受欢迎的,但并没有扩展或取代现有的PCI DSS要求,因此实际上并不要求组织遵循这些要求以实现PCI DSS合规性。
安全公司Tripwire的PCI解决方案主管Steve Hall说,作为日常业务活动的一部分,持续监控和审查PCI DSS安全控制应该是当今的一项要求,因为这是实现良好安全性的唯一途径。霍尔认为,这些最佳实践在PCI DSS3.0中的出现为标准未来版本的需求奠定了基础。
虽然PCI DSS 3.0增加了一些新的要求,但其中一些可能有助于防止目前使用的常见攻击方法要到2015年7月才能生效,同时将被视为“最佳做法”。
例如,要求6.5.10说,企业应审视自己的软件开发程序,以确保作出这样的破认证和会话管理流程在其内部和外部的Web应用程序通过标记会话cookie为解决“安全”,在不暴露会话ID网址,并通过认证成功后,引入超时和会话ID的转动。
这些已经是网站常见的安全措施,而且已经有一段时间了,所以不清楚为什么支付卡组织需要一年半以上的宽限期来实施这些措施。
另一项新要求(8.5.1)表示,为了向销售点系统或服务器提供技术支持,对客户系统具有远程访问权限的服务提供商必须为每个客户使用唯一的身份验证凭据。这一要求也将于2015年7月生效,尽管已经有许多案例表明PoS系统因其管理员使用易于猜测的远程访问密码而受到攻击者的危害。
在PCI DSS 3.0发行版附带的信息图表中,PCI安全标准委员会警告说,许多企业将其IT操作外包,这可能会带来安全风险。”委员会说:“63%的调查发现,黑客很容易利用安全漏洞,其中有第三方负责系统支持、开发或维护。”。
新版本的标准增加了对外包PCI DSS责任的指导,并包括一项要求——12.9,即服务提供商必须“以书面形式向客户确认,他们对服务提供商拥有或以其他方式存储、处理或传输的持卡人数据的安全负责客户,或在一定程度上影响客户持卡人数据环境的安全。”此要求也有一个宽限期,至2015年7月。
同样的情况也适用于第9.9.x条要求,即公司必须保护与支付卡(如销售点系统)进行物理交互的设备不受篡改和替换:公司应“定期检查设备表面以检测篡改情况(例如,在设备上添加刷卡器),或替换(例如,通过检查序列号或其他设备特性来验证它没有与欺诈性设备交换)。”
在过去的几年里,有很多攻击者为了窃取信用卡数据而篡改或完全替换商店和超市的POS设备。
另一项要到2015年7月才能生效的要求与渗透测试策略有关,渗透测试策略对于任何想要识别其基础设施中潜在弱点的组织来说通常都很重要。
这一要求被称为11.3,要求各公司应实施一种基于行业公认方法的渗透测试方法,覆盖持卡人数据环境的整个外围和关键系统,包括从网络内外覆盖网络层和应用层的测试脆弱性,并考虑到过去12个月出现的威胁和脆弱性。
霍尔说,据他了解,一些商家需要时间来实施这些流程。不过,尽管有宽限期,企业仍应保持警惕,现在就开始执行这些要求。”他们不应该给攻击者时间让他们变得更加老练。”
霍尔说,PCI DSS几乎没有触及表面,它的目的是提供最低限度的安全控制。他说,PCI合规性应被用作获取更大安全预算的杠杆,但不应成为公司唯一的安全策略。
他说:“显然会有一些公司只会做PCI DSS要求的事情,我说,让他们感到羞愧。”。
安全管理公司FireMon的EMEA总经理Bernard Zelmans通过电子邮件说:“不管你怎么看,新的PCI DSS 3.0似乎正在从安全复选框的姿态转向更全面的风险管理方法。”希望这将需要一种更加以安全为中心的PCI遵从性方法,而不是早期版本PCI最不常见的方法。”
安全公司Trustwave的EMEA&APAC交付主管Michael Aminzade认为,总的来说,安理会对PCI决策支持系统做了一些出色的改进,但在某些领域仍然缺乏这一标准。
“PCI DSS3.0不包括任何有关移动安全的变化,”他通过电子邮件说商家们正在为如何保护移动支付解决方案以及如何将移动设备集成到他们的组织中而苦苦挣扎。一年多前,该委员会发布了一份移动安全最佳实践指南,但发布更多有关移动数据安全的指南将更为有益。”