零售商和在線商店是黑客最喜歡的目標(biāo)。并且有充分的理由。因?yàn)槌晒Φ仄茐闹Ц犊ㄏ到y(tǒng)可以為他們帶來巨大的經(jīng)濟(jì)利益。然而,盡管存在風(fēng)險(xiǎn),商家仍在努力滿足支付卡安全的需求——根據(jù)2020 年 Verizon 支付安全報(bào)告,目前只有27.9%的組織能夠保持完全符合支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)。與此同時(shí),卡和非接觸式支付的數(shù)量繼續(xù)增加,因?yàn)橄M(fèi)者的偏好穩(wěn)步轉(zhuǎn)變?yōu)橛欣谒芰稀⑹謾C(jī)錢包和網(wǎng)上購物。
不僅如此,零售業(yè)也正處于數(shù)字革命的陣痛之中,因?yàn)樗麄儗?yīng)用程序從靜態(tài)本地硬件遷移到復(fù)雜、可擴(kuò)展且有彈性的基于云的基礎(chǔ)設(shè)施。這些新的動(dòng)態(tài)計(jì)算環(huán)境需要將重點(diǎn)從傳統(tǒng)的網(wǎng)絡(luò)安全方法轉(zhuǎn)向個(gè)人工作負(fù)載保護(hù)、API 安全和配置管理。這篇文章討論了 PCI-DSS 的合規(guī)性要求及其對現(xiàn)代混合云和多云環(huán)境中托管的支付卡系統(tǒng)的影響。讓我們開始吧。
什么是 PCI DSS?
PCI-DSS 是一種信息處理標(biāo)準(zhǔn),它提供了一個(gè)框架來保護(hù)支付卡交易和持卡人詳細(xì)信息免受欺詐者的侵害。它指定了一組您必須采取的基準(zhǔn)措施,以幫助最大程度地降低持卡人數(shù)據(jù)泄露的風(fēng)險(xiǎn)。該標(biāo)準(zhǔn)適用于接受或處理卡支付的任何企業(yè)或組織。因此,它主要影響零售企業(yè)和任何提供用于處理交易的軟件或硬件的公司。
它與同樣影響零售和電子商務(wù)行業(yè)的數(shù)據(jù)隱私法(例如通用數(shù)據(jù)保護(hù)條例 (GDPR))有很大不同。例如,PCI-DSS 是一個(gè)面向安全的標(biāo)準(zhǔn)。相比之下,安全只是數(shù)據(jù)保護(hù)法規(guī)的一部分,它還涵蓋隱私的各個(gè)方面,例如網(wǎng)站上的隱私聲明、同意將客戶詳細(xì)信息添加到郵件列表以及消費(fèi)者的訪問權(quán)請求。
PCI-DSS 也是由支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì) (PCI SSC) 開發(fā)的,這是一個(gè)由商業(yè)支付網(wǎng)絡(luò)處理器組成的管理組織。但是,數(shù)據(jù)隱私法由州、國家或國際級別的政府機(jī)構(gòu)管理。
合規(guī)與處罰
PCI-DSS 規(guī)定了不同的合規(guī)途徑,每條途徑對應(yīng)四個(gè)不同的合規(guī)級別之一。您每年處理的交易數(shù)量決定了您自己的特定合規(guī)級別。支付卡公司可自行決定對不遵守 PCI-DSS 的行為處以罰款。此外,違反 PCI-DSS 也可能構(gòu)成違反適用的隱私立法,例如 GDPR 或加州消費(fèi)者隱私法 (CCPA)。以及潛在的州法律,例如明尼蘇達(dá)州的塑料卡安全法。因此,如果發(fā)生違規(guī)行為,您可能會(huì)受到多種不同的經(jīng)濟(jì)處罰和制裁。
PCI DSS 合規(guī)性的 12 項(xiàng)要求是什么?
PCI-DSS 合規(guī)性規(guī)定了十二項(xiàng)技術(shù)和操作要求,如下所示。
1. 安裝和維護(hù)防火墻配置以保護(hù)持卡人數(shù)據(jù)
防火墻是您的第一道防線,它根據(jù)一組預(yù)先配置的規(guī)則防止?jié)撛诘膼阂饬髁窟M(jìn)入您的網(wǎng)絡(luò)。但是,傳統(tǒng)的基于邊界的防火墻已不足以保護(hù)您的云資產(chǎn),因?yàn)槟挠脩艉蛢?nèi)部網(wǎng)絡(luò)之間沒有明確的界限。要克服這個(gè)問題,您需要一個(gè)云防火墻。它的工作方式與傳統(tǒng)防火墻非常相似,但專門針對云的分布式特性進(jìn)行了調(diào)整,其中應(yīng)用程序被分解為分散在網(wǎng)絡(luò)環(huán)境中的離散組件。
2. 不要使用供應(yīng)商提供的默認(rèn)系統(tǒng)密碼和其他安全參數(shù)
路由器、POS 系統(tǒng)和相關(guān)組件的供應(yīng)商為其設(shè)備提供默認(rèn)用戶名、密碼和配置,以盡可能快速和輕松地進(jìn)行安裝和設(shè)置。這使得網(wǎng)絡(luò)犯罪分子很容易成為目標(biāo)。
這些出廠設(shè)置很容易被欺詐者利用,他們利用它們來訪問內(nèi)部網(wǎng)絡(luò)并竊取持卡人數(shù)據(jù)。因此,僅使用您自己獨(dú)特的登錄憑據(jù)和配置來幫助防止黑客入侵。還要注意使用其他默認(rèn)配置,例如訪問權(quán)限。CloudSecOps 團(tuán)隊(duì)需要確保他們的應(yīng)用程序和云工作負(fù)載不過分寬松,并且只提供對敏感資源的必要訪問級別以減少攻擊面。
3. 保護(hù)存儲(chǔ)的持卡人數(shù)據(jù)
保護(hù)持卡人信息的最佳方式就是避免將其完全存儲(chǔ)。但是,如果您出于商業(yè)或法律目的需要它,那么您應(yīng)該采取措施使其不可讀。實(shí)現(xiàn)此目的的最常見和最實(shí)用的方法是加密您的數(shù)據(jù)。為符合 PCI-DSS,任何此類加密都必須使用行業(yè)標(biāo)準(zhǔn)AES-256 算法。但請記住,您的數(shù)據(jù)是否安全取決于您用來加密它的密鑰。因此,您還需要使用有效的密鑰管理系統(tǒng)來保護(hù)您的加密密鑰。此外,清楚了解您首先存儲(chǔ)的持卡人數(shù)據(jù)也很重要——通常是通過使用數(shù)據(jù)發(fā)現(xiàn)工具和數(shù)據(jù)資產(chǎn)清單。
4. 持卡人數(shù)據(jù)在開放、公共網(wǎng)絡(luò)中的加密傳輸
確保正確配置每個(gè)云和本地環(huán)境以使用傳輸層安全性 (TLS)加密持卡人數(shù)據(jù),其中數(shù)據(jù)在支付卡生態(tài)系統(tǒng)的不同部分之間通過 Internet 移動(dòng)。考慮為公有云和混合云投資全面的云網(wǎng)絡(luò)安全解決方案。另請記住,通過移動(dòng)設(shè)備支付的風(fēng)險(xiǎn)尤其大。因此,請確保每個(gè)無線網(wǎng)絡(luò)都使用強(qiáng)密碼和最新可用的Wi-Fi 安全協(xié)議。
5. 使用并定期更新防病毒軟件或程序
您的防病毒 (AV) 軟件應(yīng)該能夠保護(hù)托管您的支付卡系統(tǒng)的所有環(huán)境——跨您的混合云或多云基礎(chǔ)設(shè)施。但了解 AV 軟件的局限性也很重要。新的和更復(fù)雜的威脅類型已經(jīng)演變?yōu)獒槍谠频牟渴稹R虼耍F(xiàn)在需要更廣泛的安全方法來保護(hù)持卡人的詳細(xì)信息,例如云安全狀態(tài)管理 (CSPM)和云工作負(fù)載保護(hù)。
6. 開發(fā)和維護(hù)安全系統(tǒng)和應(yīng)用程序
要求 6 的目的是確保您將安全性構(gòu)建到應(yīng)用程序開發(fā)和生命周期過程中。這包括通過培訓(xùn)、指南和核對表以及對任何內(nèi)部或自定義應(yīng)用程序代碼的定期審查來支持安全編碼實(shí)踐。它還涵蓋補(bǔ)丁管理,其中 PCI-DSS 規(guī)定您必須在發(fā)布后的一個(gè)月內(nèi)為第三方軟件安裝關(guān)鍵補(bǔ)丁以保持合規(guī)性。
7. 根據(jù)業(yè)務(wù)需要限制對持卡人數(shù)據(jù)的訪問
您應(yīng)該將可以訪問持卡人詳細(xì)信息的人數(shù)限制在最低限度,只允許有合法業(yè)務(wù)需要的人這樣做。最實(shí)用的方法是實(shí)施基于角色的訪問控制 (RBAC)系統(tǒng),該系統(tǒng)應(yīng)根據(jù)最小權(quán)限原則授予對敏感資源(如持卡人數(shù)據(jù))的訪問權(quán)限。
8. 為每個(gè)可以訪問計(jì)算機(jī)的人分配一個(gè)唯一的 ID
您系統(tǒng)的每個(gè)授權(quán)用戶都應(yīng)該有一個(gè)唯一的 ID 和密碼。這可確保您隨時(shí)了解訪問持卡人數(shù)據(jù)的任何人的身份。另請記住,PCI-DSS 現(xiàn)在僅允許那些具有管理權(quán)限的用戶使用雙因素身份驗(yàn)證 (2FA)進(jìn)行遠(yuǎn)程訪問。
9. 限制對持卡人數(shù)據(jù)的物理訪問
當(dāng)您在公共云中托管應(yīng)用程序時(shí),您將服務(wù)器的物理安全責(zé)任卸載給了云服務(wù)提供商。但是,您仍然有責(zé)任確保端點(diǎn)設(shè)備的物理安全。因此,您應(yīng)該采取措施,通過視頻監(jiān)控、安全政策和程序、員工培訓(xùn)、基于時(shí)間的鎖定控制以及確保屏幕遠(yuǎn)離公眾視線等措施,幫助防止未經(jīng)授權(quán)訪問支付設(shè)備和工作站。
10. 跟蹤和監(jiān)控對網(wǎng)絡(luò)資源和持卡人數(shù)據(jù)的所有訪問
記錄和監(jiān)控對支付卡系統(tǒng)的訪問將幫助您發(fā)現(xiàn)可疑活動(dòng)的早期跡象,并在出現(xiàn)問題時(shí)為您提供警報(bào)和見解。這一領(lǐng)域的需求已經(jīng)從單純的可見性發(fā)展到可觀察性,不僅要保持對所有卡處理組件的可見性,還要快速識(shí)別和修復(fù)任何問題。為實(shí)現(xiàn)這一目標(biāo),您可能需要尋找新一代監(jiān)控工具,以提供跨混合云和多云基礎(chǔ)架構(gòu)的集中可見性。
11. 定期測試安全系統(tǒng)和流程
為了補(bǔ)充其他安全措施,例如 AV 掃描和補(bǔ)丁管理,您應(yīng)該定期檢查您的支付卡系統(tǒng)是否足夠強(qiáng)大以抵御潛在威脅。這將涉及自動(dòng)化工具,例如漏洞掃描和手動(dòng)方法,例如滲透測試。其他測試程序應(yīng)包括定期檢查讀卡器是否存在竊取軟件和流程,以識(shí)別未經(jīng)授權(quán)的無線接入點(diǎn)。必要時(shí),您應(yīng)采取相應(yīng)的補(bǔ)救措施。
12. 維護(hù)解決員工和承包商信息安全的政策
記錄完備且溝通良好的信息安全政策將有助于提高員工對持卡人數(shù)據(jù)風(fēng)險(xiǎn)及其保護(hù)責(zé)任的認(rèn)識(shí)。相關(guān)政策和程序也應(yīng)納入員工手冊、第三方供應(yīng)商協(xié)議、風(fēng)險(xiǎn)評估和事件響應(yīng)計(jì)劃。
超越 PCI-DSS 合規(guī)性
PCI-DSS 合規(guī)性對于任何接受卡支付的組織來說都是必要的。但是,雖然它表明您已滿足處理持卡人數(shù)據(jù)的基本要求,但并不一定能保證得到全面保護(hù)。
此外,數(shù)字化轉(zhuǎn)型和云遷移已經(jīng)改變了安全目標(biāo)。因此,您需要超越打勾練習(xí)和傳統(tǒng)的安全方法。這就需要新的解決方案來適應(yīng)混合云和多云部署的復(fù)雜性和動(dòng)態(tài)性。
例如,您應(yīng)該考慮使用云工作負(fù)載保護(hù)平臺(tái) (CWPP),它可以保護(hù)單個(gè)應(yīng)用程序以及支持它們的流程和資源。您應(yīng)該使用云安全態(tài)勢管理 (CSPM)解決方案對此進(jìn)行補(bǔ)充,該解決方案可以通過根據(jù)最佳實(shí)踐和合規(guī)性要求持續(xù)監(jiān)控和基準(zhǔn)測試配置來識(shí)別安全風(fēng)險(xiǎn)。
您還應(yīng)該通過提供云網(wǎng)絡(luò)安全功能的解決方案保護(hù)持卡人免受當(dāng)今新的和日益復(fù)雜的威脅。最重要的是,您應(yīng)該尋找能夠提供持續(xù)保護(hù)的工具,而不是簡單地實(shí)現(xiàn)每年一次的合規(guī)性——從單一管理平臺(tái)統(tǒng)一查看支付卡系統(tǒng)的所有組件。
網(wǎng)站資訊
解決方案
關(guān)于我們
