备受关注的数据泄露这些天似乎成为常态。零售商像目标和内曼•马库斯已经在最近的受害者。
董事总经理Rodolphe Simonetti PCI的咨询服务Verizon公司企业解决方案说,有一个共同的主题连接各种公司暴露持卡人数据(冠心病)的数据违反过去五年:没有一个人是完全符合的支付卡行业数据安全标准(PCI DSS)的违反。
“合规需要积极维护。这是一个全年的活动。它应该嵌入在正常业务流程。”
Rodolphe Simonetti, Verizon企业解决方案
“没有违反公司仍符合PCI时他们的突破,“Simonetti说。“许多人的一次,但不再兼容的突破口。大多数公司无法保持合规和不再兼容几周或一个月后他们的评估。”
虽然PCI是不能保证你不会经验数据泄露,Simonetti说组织应该把PCI遵从像安全带:它不会阻止你崩溃,但它很可能帮你如果你。
PCI DSS是一组创建和维护国际安全标准的PCI安全标准委员会(SSC)为了确保商家和服务提供者适当保护冠心病,无论是借记卡、信用卡、储存卡或公司采购卡。
PCI DSS 3.0是当前有效版本的标准。它取代了PCI DSS 2.0, 1月1日,2014年和2015年将强制性的1月1日开始。标准的2.0版本包括六项目标分解成289控制和副控制,从需求和加密存储的数据进行脆弱性评估和配置访问控制。PCI DSS 3.0有400多个控制和副控制。
实现PCI遵从性和维护它通常被视为一个艰巨的、昂贵和耗时的任务。
Verizon公司企业解决方案PCI最近发布了咨询服务详细的PCI遵从性报告建立在定量数据收集的Verizon的合格的安全评估(QSAs),而对PCI DSS 2.0执行基线评估合规在2011年和2013年之间。许多行业和国家张成的评估。
“根据我们的研究,只有大约10组织完全符合PCI DSS 2.0基线评估的时候,“Ciske van Oosten写道,运营总监Verizon PCI安全实践和这份报告的主要作者。“尽管越来越成熟的标准和组织的理解,实现合规仍然容易,所以它应该。保护持卡人数据是重要的,它非常真实的威胁。”
Verizon的PCI安全实践建议五个关键方法帮助组织达到和维持PCI合规甚至ROI来自合规工作:
- 不要低估了努力呆在PCI兼容。
- 让PCI遵从可持续。
- 想到PCI合规放在更广阔的背景中考虑。
- 利用合规为契机。
- 关注范围。
1。不要低估了努力呆在PCI兼容
保持符合PCI DSS是具有挑战性的。冠心病的传输、处理和存储可能流在数以百计的系统,通过私人和公共网络,感动客户和潜在的成百上千的工作人员。有289个控件必须正确实现DSS 2.0的一部分——甚至更在DSS 3.0——甚至一些个人的副控制很难实现。
“大多数组织接受付款卡仍然未能维护PCI安全合规,“说Simonetti说。“只有11%的公司符合PCI在他们第一次检查。很多公司无法保持合规完全。”
无论是大型企业与一个复杂的持卡人数据环境(CDE)或小型或中型组织相对简单的cd, Simonetti说绝大多数的组织发起一个PCI程序第一次未能完全理解它将影响范围而言,所需的资源和时间。
首先,协调是至关重要的。Simonetti说,是相当普遍的一个中型组织至少有20到30个PCI项目在初始修复阶段的总体计划。大型组织经常有更多。避免代价高昂的错误和ROI最大化,每个项目必须集中管理和整体协调,确保合规的成功。
您需要开发所需的配置和政策,实现所需的技术和基础设施,最重要的是,识别过程和文化变革的程度参与这样的补救。
也必须理解手头任务的大小。许多公司开始了PCI遵从才发现几周甚至几个月之后,他们低估了所需的工作量。
Simonetti建议进行业务影响分析了解影响PCI遵从性计划将对你的生意和所需的努力实现遵从性。还有一个额外的好处,这些信息可以在获得宝贵的董事会层面的合规项目的赞助和确保预算。
2。使PCI遵从可持续
Simonetti说许多公司PCI治疗可以达到合规作为一个目标,然后检查——一次性年度争夺属于安全团队。这样对待他们的PCI合规项目的公司往往在合规的几天或几周内他们的最新评估,Simonetti说。毕竟,它所需要的是一个不受控制的wi - fi接入点,不受保护的管理帐户或未加密的驱动器。
“合规需要积极维护Simonetti说。“这是一个全年的活动。它应该嵌入在正常业务流程。”
换句话说,保持PCI遵从必须成为你的“照常营业”。And that means recognizing that it's not just about technology, Simonetti says, it's about your business processes and staff education. A key element of embedding PCI compliance into your everyday is to build compliance into your corporate change-management program: Make PCI compliance reviews an item in your weekly change control meetings and allocate time to track all changes to every compliance environment.
你也应该强调保持合规不仅仅是为你的安全团队任务。它涉及到应用程序开发人员、系统管理员高管和面向客户的员工在商店和呼叫中心。
3所示。想到PCI合规放在更广阔的背景中考虑
认为PCI遵从性是很重要的一块,应该是集成到一个更广泛的安全计划,并不是一个安全的蓝图。认为PCI DSS的最低标准,你应该做什么,而不是作为一个清单。
Simonetti指出,你应该寻求理解每个需求实现的意图。
“特别是,每个控制的上下文中应该理解它如何有助于防止数据泄露通过消除的三个要素之一形式违反任何数据——数据访问和出口(“数据泄露三角”),“范Oosten写道。“例如,通过限制存储,减少的数据量很可能被打破。通过识别和关闭系统漏洞,可以阻止许多攻击者可以利用获得的途径。通过实现DLP解决方案,可以使出口(漏出)的数据更加困难。”
“你能做的最好的事简化你的PCI合规工作负载把PCI合规策略在组织内更大的治理,风险与合规(GRC)策略,”van Oosten补充道。“这是必要的,以确保你的PCI合规努力支持更广泛的控制环境,和所有活动的合规程序正确地指定和管理符合你的独特的操作环境和风险。”
4所示。利用合规为契机
虽然PCI遵从性可以感觉繁重,Simonetti说这是更有效的将目光停留在它作为经营成本,而把它看成是一种投资。你必须映射所有冠心病流经你的系统和流程理解你需要保护。当你需要了解合规的目的,这也是非常有价值的提供洞察你的业务。
Verizon指出你可以使用这些信息来识别机会完成以下:
- 整合系统,让你减少范围同时切割软件许可,维护和设施成本。
- 理顺你的供应商列表,明确的角色和职责。
- 变换或简化过时的流程,减少人员。
- 提高系统性能和正常运行时间,更好地应用补丁和配置的最佳实践。
- 巩固现有的商业合同和你获得银行和支付处理器来实现更好的交易费用。
事实上,这是非常值得的,计算ROI的一步你会得到从你的PCI合规项目除了计算TCO, Simonetti说。这样做将帮助您理解的总体影响你的合规计划,你可以利用到实际业务的支持你的努力。
5。关注的范围
一个有效的PCI程序是建立在一个清晰定义的系统,流程和商店的人,过程或访问冠心病,Verizon称。如果你关注范围,你可以减少手头的任务的规模,使其更容易管理。
“我们仍然看到太多的公司不是一个非常简单的步骤申请范围,减少“Simonetti说。“如果你不需要它,不存储它。存储的数据,尤其是当它不是必需的,只是在冒险,不值得。”
通过减少环境的范围进行验证,您可以实现如下:
- 降低风险。通过保持冠心病的传播在整个组织降到最低,您可以限制数据泄漏或被盗的风险。如果你将最小化任何数据泄露发生的规模。Verizon建议创建指定的各种网络之间的“车厢”组织内帮助分类和安全地包含业务数据。
- 减少工作量。保持你需要保护的数据量显著至少还能帮助你减少你的合规工作负载。任何系统验证为“范围”不需要评估。
- 控制运营成本。当你更改你的基础设施来减少范围,你会发现机会巩固系统和重组环境,提供节省硬件、软件许可证和管理。
托尔Olavsrud包括IT安全、大数据、开源,微软工具和服务器CIO.com。在Twitter上关注雷神@ThorOlavsrud。在Twitter上关注从CIO.com @CIOonline,脸谱网,Google +和LinkedIn。
这个故事,“5种方法来改善你的PCI合规计划”最初发表的首席信息官 。