因此,在评估前,可通过QSA进行现场评估或SAQ自我评估,我力荐以下方法:
通过计算传输、存储或处理持卡人数据的所有系统来估计PCI的评估范围。在此提醒您,除了交易服务器和网关,通过了未加密卡数据流量的网络设备也包含在评估范围之内。
可以试着预测一下,在未经许可的情况下,持卡人数据会存储在您公司的哪些地方。一般易被人们忽略的数据存储地是开发商环境或属于其他业务部门(如营销部门)的服务器。如果每一个开发商工作站由于使用真正的卡数据进行系统测试(顺便说一下,这种做法在PCI DSS中是被明令禁止的。)而成了“范围”的一部分,那么范围在逐渐发生变化的确非常危险。
下一步,根据评估范围和手头有的资料,按敏感的数据量对系统进行排名。
仔细研究排名后的列表,并试着弄明白你的企业流程如何改变才能避免数据存储,或者在少存储数据的情况下如何经营企业。这是最关键的一步,任何可以被删除(或者一开始就没有存储过)的数据都有助于缩小评估范围,从而使评估过程更加容易。
然后,检查一下不能删除的数据,已决定是否能以一个较短的周期进行存储。这样可以降低历史数据遭到损害的风险。
考虑使用现代方法保护数据(如标记化),把数据用一串无关紧要的符号来代替,这样可以避免储存数据。
最后,逐步检查支付的过程,从而确定哪些部分可以外包给安全支付供应商,这种关系有助于降低风险、缩小PCI的评估范围。实际上,信息安全将永远不会成为大多数商家的核心竞争力。因此,与服务供应商建立关系,比审计跨站点脚本攻击或为安全信息和事件管理(SIEM)产品编写的相关规则更加简单。
只有经过上述步骤,你才可以考虑使用各种额外的技术保障措施,如强访问控制和加密技术等,来保护剩下的数据。很可能需要将强访问控制和数据加密技术结合起来保护您的环境。可选的加密技术有:磁盘加密、文件加密(为了保护存储的flat-file数据)和数据库加密(为了保护持卡人数据库)。后者可以进一步分为多种方法来加密数据库中的记录。
在信息技术领域有一句常见格言:“加密很容易,密钥管理却很难”。这就是PCI DSS在密匙管理方面制定了那么多条规则的原因。具体来说,要求3.5(“保护好用于加密持卡人数据的加密密钥以防止信息泄露和滥用”)和要求3.6(“全面记录和执行所有用于加密持卡人数据的密钥管理流程”)。这些要求又都具有多个子要求,如3.5.2(“以尽可能少的地点和形式安全存储密钥”)和3.6.6(“分割内容和设立加密密钥的双重控制”)。
一定要避免常见的加密失误,如我在有关技术文件中提及的《加密的五大误区》,如把加密密钥与加密数据存储在同一个数据库中,或者在程序代码中嵌入硬编码固定密码。
结论
一想到简化PCI评估流程、降低支付卡的交易风险,首先要着眼于通过数据删除来缩小范围,然后再采取保护措施。
具体来说就是,将更复杂的安全保障(如,数据加密)放到最后去处理。虽然有些人担心外包会有什么风险,但对一些商家而言,将数据外包给安全支付供应商,确保了商家和客户的数据得到更好的保护。至少这可以对最近的“清除数据”方法(如标记化)进行审查。