PCI 2.0:不太好的消息
关于PCI DSS 2.0的好消息我们的告诫是,该标准的新版本在保持跟进许多新技术方面做的并不好。就新兴的新技术给出指导是具有挑战的,因为就新技术的本身而言它们还没有像成熟的技术那样广泛使用,并且行业还没有就最佳实践达成共识。由于采用新的技术,存在合规要求分裂品牌的风险。
请记住,PCI DSS从来不是一个合规程序;它是一个标准基线,用于评估五大信用卡品牌(Visa、MasterCard、American Express、Discover和JCB)的合规性。他们同意使用该标准作为基础来用于各自实际的合规程序。时至今日,这五大主要信用卡品牌仍然保持对合规性的最终决定权,并且当他们觉得适宜时能凌驾于PCI DSS和PA DSS之上实施自己的合规要求。但PCI DSS的初衷是建立贸易商和零售商可以遵守的唯一标准,因为多个标准很难管理和实施。PCI DSS的本意是整合所有程序,缓解实施中消耗的时间。
但是五大品牌达成一个核心标准的问题是,对于标准的变化需要经过许多参与者的评审和同意。因为委员会是运作在社区模型之上(鼓励PCI DSS社区所有成员的参与并了解他们的反馈),参与者从五大品牌扩展到社区的所有成员。因为评审和修改PCI DSS的任务十分消耗时间,委员会宣布了三年的修订周期,从今年开始。在IT安全中三年是一个漫长的时间,并且由于技术不断出现,贸易商和零售商需要相应的指导。
为解决新兴的技术问题,委员会建立了特别利益组(SIG)来调查新的技术和发布指导文档。当文档完成后,可以在委员会的web站点上作为“信息增刊”来访问。第一期增刊在2008年2月发布并应对要求6.6:代码评审和应用防火墙,紧接着是2008年3月的要求11.3:渗透测试和2009年6月的PCI DSS无线指导。其它特别利益组当前正在致力于预授权、虚拟化和范围的增刊和指导。列表不断增长的增刊来自于品牌自身;一个例子就是2010年7月Visa发布了两个最佳实践文档(当前还处于RFC阶段),同PCI DSS中的PAN 截断和PAN标记化直接相关。
多个文档带来的问题是它们正在倒退到 PCI DSS产生之前的情况:也就是一系列没有关联的要求文档而不是唯一的源头。
所以概述起来,必须满足PCI DSS合规的实体可以舒口气了。PCI DSS2.0版本没有提出重大的变化;如果组织当前已经满足PCI DSS了,那么对于2.0来说也没有问题。大部分的变化只涉及到重要方面的措辞解释和额外的指导,例如如何有效地限制评估的范围。
然而有限的变化带来的代价是:新兴的技术如虚拟化、截断和标记化没有包含在PCI DSS 2.0中。安全标准委员会正采用特别利益组和增刊的方式来应对新兴的技术,这意味这组织必须寻找和参考多个文档来得到全面的指导。Visa发布的用于标记化和截断的最佳实践为脱离SSC和PCI DSS开了先河,使得事情更加复杂化。
为了坚持PCI DSS作为唯一标准的初衷,众多品牌和安全标准委员会必须整合文档并删除多余的信息。同时,评审PCI DSS 2.0版本并关注增刊和来自Visa的最佳实践以确保在CDE中使用的所有的技术(成熟的和新兴的)都是满足合规要求的。