PCI DSS 3.0對(duì)于商家最重要的五方面影響
遵守PCI合規(guī)的大多數(shù)安全專(zhuān)家肯定已經(jīng)知道,PCI安全標(biāo)準(zhǔn)委員會(huì)(SSC)已經(jīng)發(fā)布了支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)3.0版。
正如在過(guò)去所做的那樣,SSC發(fā)布了PCI DSS 2.0版到3.0版的變更匯總。如果你是商家或者評(píng)估者,從現(xiàn)在到1月份,這兩份文件(這個(gè)概要以及新版本本身)都應(yīng)該列在你的閱讀清單中,因?yàn)?月份新要求將會(huì)生效。
當(dāng)在2010年推出PCI DSS 2.0版時(shí),該委員會(huì)預(yù)計(jì),該標(biāo)準(zhǔn)的不斷成熟化會(huì)減少對(duì)變更的需要,換句話說(shuō),隨著標(biāo)準(zhǔn)不斷演變,以及新版本的推出,對(duì)新要求的需求應(yīng)該會(huì)減少。因此,并不奇怪的是,PCI DSS 3.0版的變更主要是說(shuō)明和增補(bǔ)信息,(大部分)并不是新要求。
這就是說(shuō),與從PCI DSS 1.2.1版到2.0版的過(guò)渡不同,3.0版只有一些變更的(新)要求,這些變更反映了商家和攻擊者的技術(shù)使用方式的變化。具體來(lái)說(shuō),從PCI DSS 1.2.1版到PCI DSS 2.0版只有兩個(gè)變更,從2.0版到3.0版則包含20個(gè)。當(dāng)然,我們不能深入講解每個(gè)變更,基于這些變化的范圍(在新要求和增補(bǔ)信息或說(shuō)明之間),我們?cè)噲D總結(jié)了最受商家關(guān)注的五個(gè)方面。具體來(lái)說(shuō),對(duì)于大部分商家(還有評(píng)估人員)來(lái)說(shuō),下面是可能帶來(lái)最大影響的五個(gè)變更。
第一個(gè)方面:穿透測(cè)試
也許對(duì)現(xiàn)有要求的最明顯的變更是穿透測(cè)試要求(11.3),包括驗(yàn)證用于隔離持卡人數(shù)據(jù)環(huán)境(CDE)和其他環(huán)境的方法的要求(11.3.4)。這一變化的適用范圍我們已經(jīng)在其他文章中討論過(guò),這部分更新可能給商家?guī)?lái)的挑戰(zhàn)在于這個(gè)要求:穿透測(cè)試活動(dòng)(內(nèi)部和外部)現(xiàn)在應(yīng)該“以行業(yè)認(rèn)可的穿透測(cè)試法為基礎(chǔ)”,例如專(zhuān)門(mén)提到的NIST SP 800-115(《信息安全測(cè)試與評(píng)估技術(shù)指導(dǎo)》)。
好消息是,要求11.3到2015年6月30日才生效,商家們還有一段時(shí)間來(lái)適應(yīng)這個(gè)變更。壞消息是,很多商家可能難以遵守這個(gè)要求,至少在最初階段。為什么這么具有挑戰(zhàn)性呢?主要是因?yàn)榇┩笢y(cè)試是一個(gè)專(zhuān)門(mén)的學(xué)科,很多商家(特別是較小型商家)沒(méi)有內(nèi)部人員能夠有效執(zhí)行穿透測(cè)試。商家通常會(huì)利用外部服務(wù)提供商來(lái)滿足穿透測(cè)試要求;很多這些服務(wù)提供商(不點(diǎn)名)的產(chǎn)品并沒(méi)有基于任何規(guī)范的方法。當(dāng)然,也有服務(wù)提供商利用了側(cè)重過(guò)程的標(biāo)準(zhǔn),例如SP 800-115,其中詳細(xì)說(shuō)明了在測(cè)試階段需要遵守的具體程序,或者利用以執(zhí)行為重點(diǎn)的技術(shù)標(biāo)準(zhǔn),例如Penetration Testing Execution Standard或者(對(duì)于應(yīng)用)OWASP Testing Guide(提供技術(shù)指導(dǎo));但總的來(lái)說(shuō),這并不是規(guī)范的情況。
正因?yàn)槿绱耍碳冶仨氁?jǐn)慎選擇穿透測(cè)試服務(wù)以確保他們選擇的供應(yīng)商采用的程序遵守行業(yè)認(rèn)可的方法。作為首要工作,所有準(zhǔn)備PCI DSS 3.0合規(guī)計(jì)劃的商家都應(yīng)該采用行業(yè)認(rèn)可的方法(你企業(yè)認(rèn)為合適的方法)作為穿透測(cè)試請(qǐng)求建議。
第二個(gè)方面:系統(tǒng)組件清單
雖然在媒體方面沒(méi)有很多討論,但從實(shí)際角度來(lái)看,另一個(gè)可能帶來(lái)潛在巨大影響的新要求(2.4)是:“保留一份PCI DSS范圍內(nèi)系統(tǒng)組件的清單。”這里的“系統(tǒng)組件”在該標(biāo)準(zhǔn)的第10頁(yè)(PCI DSS要求的范圍)有詳細(xì)介紹,但本質(zhì)上它是指持卡人數(shù)據(jù)環(huán)境內(nèi)的所有硬件(虛擬或物理主機(jī)及網(wǎng)絡(luò)設(shè)備),以及軟件組件(自定義或商業(yè)產(chǎn)品、現(xiàn)成的應(yīng)用,無(wú)論是內(nèi)部還是外部)。
該要求的測(cè)試程序明確要求評(píng)估員“檢查系統(tǒng)清單,確認(rèn)已保留一份軟硬件組件列表,并包含各自的功能/用途描述”;也就是說(shuō),商家不僅需要記錄持卡人數(shù)據(jù)環(huán)境中所有組件,還需要描述這些組件的功能以及用途。11.1.1要求(與此相關(guān))現(xiàn)在要求商家“保留一份授權(quán)的無(wú)線接入點(diǎn)清單,包括業(yè)務(wù)理由記錄”。
我們都知道,保持清單的更新并不容易。歷來(lái),商家對(duì)保持清單(包括持卡人數(shù)據(jù)位置、可以訪問(wèn)加密密鑰和持卡人數(shù)據(jù)的人員,以及防火墻規(guī)則和描述)的要求一直難以滿足。為什么呢?因?yàn)檫@種清單經(jīng)常變化,經(jīng)常需要手動(dòng)工作來(lái)準(zhǔn)確反映環(huán)境實(shí)際組件情況。因此,在沒(méi)有自動(dòng)化的大型或復(fù)雜的環(huán)境,維持硬件和軟件組件的可靠清單幾乎成為不可能完成的任務(wù)(任何曾經(jīng)試圖努力維護(hù)過(guò)這種清單的人都能證明這一點(diǎn)),至少是不容易。
當(dāng)涉及虛擬化(因?yàn)橄到y(tǒng)組件也包括虛擬鏡像)或者當(dāng)環(huán)境分布在多個(gè)地理位置(大多數(shù)分布式零售店都是這樣)時(shí),更是加劇了這種復(fù)雜性。同時(shí),當(dāng)專(zhuān)有的供應(yīng)商提供的系統(tǒng)是由外部人員(例如應(yīng)用供應(yīng)商或系統(tǒng)集成商)維護(hù)時(shí),也會(huì)提高復(fù)雜性。對(duì)于一個(gè)本身就難以滿足的要求,這些因素?zé)o疑是雪上加霜。毫無(wú)疑問(wèn),商家們的IT和合規(guī)團(tuán)隊(duì)將需要花大量時(shí)間來(lái)開(kāi)發(fā)和鉆研方法以創(chuàng)建和管理這種清單。
第三個(gè)方面:供應(yīng)商關(guān)系
12.8.5和12.9要求現(xiàn)在要求明確由各個(gè)服務(wù)提供商和實(shí)體管理的PCI DSS的信息。例如,如果企業(yè)使用托管數(shù)據(jù)中心供應(yīng)商,該數(shù)據(jù)中心的物理訪問(wèn)限制可能由該供應(yīng)商管理,而對(duì)這些位置訪問(wèn)權(quán)的管理方面可能是由客戶企業(yè)管理。在這種情況下,PCI DSS 3.0要求商家明確同意并以書(shū)面形式確認(rèn)這種與供應(yīng)商或服務(wù)供應(yīng)商的職責(zé)分配。
這種要求意味著,現(xiàn)在商家不僅需要維護(hù)供應(yīng)商清單(這是3.0之前的要求),以及當(dāng)其服務(wù)與其CDE交互時(shí)追蹤其合規(guī)狀態(tài)(也是3.0之前的要求),而且要明確對(duì)于PCI DSS要求,每個(gè)適用的供應(yīng)商的相應(yīng)的責(zé)任分配,還必須與供應(yīng)商簽署書(shū)面協(xié)議。
維持和管理這些不同的要求在實(shí)踐中可能具有挑戰(zhàn)性。為什么呢?主要有兩個(gè)原因:首先,它涉及檢查所有CDE相關(guān)的供應(yīng)商(理想情況下,商家有這個(gè)清單,因?yàn)樗麄儜?yīng)該在追蹤供應(yīng)商的PCI合規(guī)狀態(tài));第二,它涉及準(zhǔn)確分析每個(gè)特定供應(yīng)商的使用情況。在實(shí)踐中,商家必須明確知道供應(yīng)商或服務(wù)供應(yīng)商在做什么(以確定其范圍),控制職責(zé)應(yīng)該如何劃分,以及如何創(chuàng)建文檔來(lái)描述這些事情。接下來(lái)是有趣的部分:讓相關(guān)的服務(wù)供應(yīng)商(注意,他們看待問(wèn)題的方式可能與你不同)同意并簽署書(shū)面協(xié)議。曾經(jīng)參與過(guò)供應(yīng)商協(xié)商的人會(huì)告訴你,協(xié)商這些問(wèn)題(特別是在已經(jīng)與服務(wù)供應(yīng)商簽署合同后)將是耗時(shí)的工作,而且可能會(huì)出現(xiàn)爭(zhēng)議(這取決于供應(yīng)商)。
第四個(gè)方面:反惡意軟件
要求5.1.2現(xiàn)在要求商家:“對(duì)于通常不受惡意軟件影響的系統(tǒng),需要執(zhí)行定期評(píng)估以確定并評(píng)估不斷進(jìn)化的惡意軟件威脅”。這意味著,如果你使用的系統(tǒng)通常不會(huì)受到惡意軟件感染(例如大型機(jī)或Unix服務(wù)器),你需要部署一個(gè)程序確保保持這種狀態(tài),如果這些平臺(tái)出現(xiàn)一些惡意軟件,你需要知道這個(gè)情況。要求5.3現(xiàn)在要求必須從管理層獲得明確授權(quán),才能禁用或更改殺毒機(jī)制的運(yùn)作,并且,這種授權(quán)是有時(shí)間限制的。
對(duì)于不同的企業(yè),這些要求可能會(huì)有一定的影響,特別是第二個(gè)要求。在PCI DSS 2.0中,該標(biāo)準(zhǔn)僅要求部署防病毒軟件,并且它是運(yùn)行的,還有更新或最新版本,且必須具有生成日志的能力。這些要求是可以滿足的,無(wú)論誰(shuí)安裝這個(gè)工具,它是如何被安裝(在合理范圍內(nèi),只要它不影響上述要求)或如何被配置。但現(xiàn)在事情不是這樣了。現(xiàn)在,商家必須防止用戶禁用或更改殺毒機(jī)制(這可能需要特定的配置),并需將殺毒系統(tǒng)配置為利用這種能力。這可能同時(shí)需要更高水平的技術(shù)規(guī)劃(因?yàn)檫@可能會(huì)影響防病毒工具和OS配置)以及部署策略來(lái)在整個(gè)CDE驗(yàn)證這種能力。毫無(wú)疑問(wèn),大多數(shù)商家將會(huì)通過(guò)更多文書(shū)工作來(lái)滿足這一要求,但這種變化并不會(huì)像上述要求那么難以應(yīng)對(duì)。
第五個(gè)方面:物理訪問(wèn)和PoS機(jī)
9.3要求現(xiàn)在要求商家控制現(xiàn)場(chǎng)人員對(duì)敏感區(qū)域的物理訪問(wèn),這種訪問(wèn)必須獲得授權(quán),且根據(jù)個(gè)人的工作職能,同時(shí),當(dāng)訪問(wèn)終止時(shí),訪問(wèn)權(quán)應(yīng)隨即被撤銷(xiāo)。9.9要求現(xiàn)在要求商家“保護(hù)通過(guò)直接接觸卡本身便可捕獲支付卡數(shù)據(jù)的設(shè)備,以避免設(shè)備被篡改和替換”。大多數(shù)商家可能已經(jīng)在試圖滿足9.9要求,但如果有商家仍然在零售點(diǎn)使用服務(wù)器機(jī)柜來(lái)存放紙巾,現(xiàn)在可能是時(shí)候停止這種行為了。
不過(guò),滿足9.9要求可能有點(diǎn)麻煩。為什么呢?試想一下,從商家的角度來(lái)看,哪里最有可能適用:零售點(diǎn)、餐館、醫(yī)生辦公室、食品車(chē)、出租車(chē)和其他獨(dú)特的零售環(huán)節(jié)。這些零售商習(xí)慣于“定期檢查”銷(xiāo)售點(diǎn)終端設(shè)備(PoS)嗎?例如檢查序列號(hào)以確保設(shè)備沒(méi)有被更換。不太可能。想象一下,對(duì)跨多個(gè)地理位置分散的零售點(diǎn)進(jìn)行這種檢查需要付出多少努力。同樣地,用于該要求的測(cè)試程序特別明確驗(yàn)證政策/程序包含“保存一份設(shè)備列表”。有多少商家現(xiàn)在有自己的PoS設(shè)備列表?雖然這肯定是一個(gè)很好的做法,但現(xiàn)實(shí)是,很少有商家這樣做。對(duì)于站點(diǎn)管理員或零售場(chǎng)所管理者,這一切很可能是全新的概念,可能需要相當(dāng)多的社會(huì)化、準(zhǔn)備和人員培訓(xùn)來(lái)全面展開(kāi)。
總結(jié)
正如你所知道的,對(duì)于這些新的和更新的要求,有些商家需要做很多工作。請(qǐng)注意,上述這些并不是唯一的變化,當(dāng)然,具體使用環(huán)境和企業(yè)文化將會(huì)影響企業(yè)對(duì)這些要求的滿足。然而,這些是對(duì)商家影響最大的PCI DSS 3.0變化,至少在過(guò)渡期內(nèi)是這樣。在某些情況下,這些影響是很明顯的(例如穿透測(cè)試),可能對(duì)于有些人來(lái)說(shuō),只有在著手執(zhí)行這些要求(例如盤(pán)點(diǎn)系統(tǒng)組件)時(shí),才會(huì)意識(shí)到這些影響。無(wú)論如何,商家必須現(xiàn)在開(kāi)始規(guī)劃以確保他們已經(jīng)準(zhǔn)備好應(yīng)對(duì)這些變化。否則,在2014年或2015年的第一次PCI DSS 3.0評(píng)估可能不會(huì)是一次愉快的經(jīng)歷。
