成功评估:PCI DSS标准和安全数据存储(上)

支付卡数据安全措施中的不足是造成企业未能通过支付卡行业数据安全标准(PCI DSS)评估的主要因素之一。通常一些被禁止的数据,如CVV2帐户安全密码或个人识别码(PIN),仍然被保留了下来(PCI DSS严禁保留这些数据),或者在没有充足的安全保障的情况下对原始帐户号码(PAN)进行了存储。和一些相对简单的网络安全措施相比,在安全数据存储方面,PCI DSS给许多商家都提出了极具挑战性的问题。

不了解支付安全的人往往只会采取普遍适用的措施(如“使用加密技术”),却完全不考虑全球分布式支付环境的极端复杂性。同时,安全评估机构(QSA:Qualified Security Assessor)报道的多起案例表明,持卡人庞大的未加密数据被存储在了商家的Web服务器上,全世界的人都能看到这些数据。

在本文中,通过简化企业数据存储措施和缩小PCI DSS评估范围,我们提供了一些具有建设性的意见来帮助企业简化评估程序。

首先,人们对PCI DSS普遍存在一种误解,认为它是为了保障支付数据安全制定的标准。而实际上,该标准的制定是为了降低支付卡交易过程中的风险。二者之间细微的差别在于,不用实施复杂的数据安全周期,或者购买昂贵工具(会产生大量的管理费用),用户就可以切实地降低交易风险。

因此,解决问题的办法往往是删除数据而并不是加密数据。Visa在目前由自己所倡导的方案中就力荐这个方法:删除数据。在布兰登?威廉斯(Branden Williams)和我合著的《PCI DSS规则遵从书》(The PCI DSS Compliance Book)一书中,数据安全性一章的开头是这样写的:“在开始讨论数据保护方法之前,我们需要提醒读者的是‘只有死了的数据才是最安全的数据’,这句话除了比较幽默以外,也告诫用户删除数据或其它不再操作数据的方法才是使PCI DSS合规变得更容易的最好方法,这样还可以降低交易风险、减少责任、减小罚款和违规损失的可能性。”

数据销毁背后的道理很简单:当今的安全技术非常复杂,常常需要进行维护(如,需要每日审查或安全监控),况且采用的技术可能一点也不可靠(“基于签名”的反病毒检测技术,只能检测到一小部分攻击)。因此,花大力气保护数据却没什么效果的方法与确保数据无法进入工作环境的方法相比,着实是一个下策。显然,这并不适用于保护公司的知识产权(IP)和其他保密信息,但却适用于支付数据。毕竟,我们都同意一点,就是银行更适于存储大量的数据,因为我们自己的公司并没有存储数百万美元。同样,在未来,公司不存储卡数据也会成为一个明显的趋势。

但是,删除数据仅仅是开始。使PCI DSS评估变得更加顺利的另一个关键策略是缩小评估范围。由于PCI评估的复杂性直接决定了评估的范围(PCI决定了持卡人数据环境的大小,从而决定了在评估中必须包括的审计的系统数量),因此缩小评估范围将对评估过程产生直接影响。这是为什么呢?让QSA调查一下持卡人环境中的1万个系统(如果一个企业的网络是平面的,并且持卡人数据又没有与余下部分的网络分割开来)和只调查10个系统,产生的差别是很大的,能对评估成功的可能性造成巨大影响。