零售商和在线商店是黑客最喜欢的目标。并且有充分的理由。因为成功地破坏支付卡系统可以为他们带来巨大的经济利益。然而,尽管存在风险,商家仍在努力满足支付卡安全的需求——根据2020 年 Verizon 支付安全报告,目前只有27.9%的组织能够保持完全符合支付卡行业数据安全标准 (PCI DSS)。与此同时,卡和非接触式支付的数量继续增加,因为消费者的偏好稳步转变为有利于塑料、手机钱包和网上购物。
不仅如此,零售业也正处于数字革命的阵痛之中,因为他们将应用程序从静态本地硬件迁移到复杂、可扩展且有弹性的基于云的基础设施。这些新的动态计算环境需要将重点从传统的网络安全方法转向个人工作负载保护、API 安全和配置管理。这篇文章讨论了 PCI-DSS 的合规性要求及其对现代混合云和多云环境中托管的支付卡系统的影响。让我们开始吧。
什么是 PCI DSS?
PCI-DSS 是一种信息处理标准,它提供了一个框架来保护支付卡交易和持卡人详细信息免受欺诈者的侵害。它指定了一组您必须采取的基准措施,以帮助最大程度地降低持卡人数据泄露的风险。该标准适用于接受或处理卡支付的任何企业或组织。因此,它主要影响零售企业和任何提供用于处理交易的软件或硬件的公司。
它与同样影响零售和电子商务行业的数据隐私法(例如通用数据保护条例 (GDPR))有很大不同。例如,PCI-DSS 是一个面向安全的标准。相比之下,安全只是数据保护法规的一部分,它还涵盖隐私的各个方面,例如网站上的隐私声明、同意将客户详细信息添加到邮件列表以及消费者的访问权请求。
PCI-DSS 也是由支付卡行业安全标准委员会 (PCI SSC) 开发的,这是一个由商业支付网络处理器组成的管理组织。但是,数据隐私法由州、国家或国际级别的政府机构管理。
合规与处罚
PCI-DSS 规定了不同的合规途径,每条途径对应四个不同的合规级别之一。您每年处理的交易数量决定了您自己的特定合规级别。支付卡公司可自行决定对不遵守 PCI-DSS 的行为处以罚款。此外,违反 PCI-DSS 也可能构成违反适用的隐私立法,例如 GDPR 或加州消费者隐私法 (CCPA)。以及潜在的州法律,例如明尼苏达州的塑料卡安全法。因此,如果发生违规行为,您可能会受到多种不同的经济处罚和制裁。
PCI DSS 合规性的 12 项要求是什么?
PCI-DSS 合规性规定了十二项技术和操作要求,如下所示。
1. 安装和维护防火墙配置以保护持卡人数据
防火墙是您的第一道防线,它根据一组预先配置的规则防止潜在的恶意流量进入您的网络。但是,传统的基于边界的防火墙已不足以保护您的云资产,因为您的用户和内部网络之间没有明确的界限。要克服这个问题,您需要一个云防火墙。它的工作方式与传统防火墙非常相似,但专门针对云的分布式特性进行了调整,其中应用程序被分解为分散在网络环境中的离散组件。
2. 不要使用供应商提供的默认系统密码和其他安全参数
路由器、POS 系统和相关组件的供应商为其设备提供默认用户名、密码和配置,以尽可能快速和轻松地进行安装和设置。这使得网络犯罪分子很容易成为目标。
这些出厂设置很容易被欺诈者利用,他们利用它们来访问内部网络并窃取持卡人数据。因此,仅使用您自己独特的登录凭据和配置来帮助防止黑客入侵。还要注意使用其他默认配置,例如访问权限。CloudSecOps 团队需要确保他们的应用程序和云工作负载不过分宽松,并且只提供对敏感资源的必要访问级别以减少攻击面。
3. 保护存储的持卡人数据
保护持卡人信息的最佳方式就是避免将其完全存储。但是,如果您出于商业或法律目的需要它,那么您应该采取措施使其不可读。实现此目的的最常见和最实用的方法是加密您的数据。为符合 PCI-DSS,任何此类加密都必须使用行业标准AES-256 算法。但请记住,您的数据是否安全取决于您用来加密它的密钥。因此,您还需要使用有效的密钥管理系统来保护您的加密密钥。此外,清楚了解您首先存储的持卡人数据也很重要——通常是通过使用数据发现工具和数据资产清单。
4. 持卡人数据在开放、公共网络中的加密传输
确保正确配置每个云和本地环境以使用传输层安全性 (TLS)加密持卡人数据,其中数据在支付卡生态系统的不同部分之间通过 Internet 移动。考虑为公有云和混合云投资全面的云网络安全解决方案。另请记住,通过移动设备支付的风险尤其大。因此,请确保每个无线网络都使用强密码和最新可用的Wi-Fi 安全协议。
5. 使用并定期更新防病毒软件或程序
您的防病毒 (AV) 软件应该能够保护托管您的支付卡系统的所有环境——跨您的混合云或多云基础设施。但了解 AV 软件的局限性也很重要。新的和更复杂的威胁类型已经演变为针对基于云的部署。因此,您现在需要更广泛的安全方法来保护持卡人的详细信息,例如云安全状态管理 (CSPM)和云工作负载保护。
6. 开发和维护安全系统和应用程序
要求 6 的目的是确保您将安全性构建到应用程序开发和生命周期过程中。这包括通过培训、指南和核对表以及对任何内部或自定义应用程序代码的定期审查来支持安全编码实践。它还涵盖补丁管理,其中 PCI-DSS 规定您必须在发布后的一个月内为第三方软件安装关键补丁以保持合规性。
7. 根据业务需要限制对持卡人数据的访问
您应该将可以访问持卡人详细信息的人数限制在最低限度,只允许有合法业务需要的人这样做。最实用的方法是实施基于角色的访问控制 (RBAC)系统,该系统应根据最小权限原则授予对敏感资源(如持卡人数据)的访问权限。
8. 为每个可以访问计算机的人分配一个唯一的 ID
您系统的每个授权用户都应该有一个唯一的 ID 和密码。这可确保您随时了解访问持卡人数据的任何人的身份。另请记住,PCI-DSS 现在仅允许那些具有管理权限的用户使用双因素身份验证 (2FA)进行远程访问。
9. 限制对持卡人数据的物理访问
当您在公共云中托管应用程序时,您将服务器的物理安全责任卸载给了云服务提供商。但是,您仍然有责任确保端点设备的物理安全。因此,您应该采取措施,通过视频监控、安全政策和程序、员工培训、基于时间的锁定控制以及确保屏幕远离公众视线等措施,帮助防止未经授权访问支付设备和工作站。
10. 跟踪和监控对网络资源和持卡人数据的所有访问
记录和监控对支付卡系统的访问将帮助您发现可疑活动的早期迹象,并在出现问题时为您提供警报和见解。这一领域的需求已经从单纯的可见性发展到可观察性,不仅要保持对所有卡处理组件的可见性,还要快速识别和修复任何问题。为实现这一目标,您可能需要寻找新一代监控工具,以提供跨混合云和多云基础架构的集中可见性。
11. 定期测试安全系统和流程
为了补充其他安全措施,例如 AV 扫描和补丁管理,您应该定期检查您的支付卡系统是否足够强大以抵御潜在威胁。这将涉及自动化工具,例如漏洞扫描和手动方法,例如渗透测试。其他测试程序应包括定期检查读卡器是否存在窃取软件和流程,以识别未经授权的无线接入点。必要时,您应采取相应的补救措施。
12. 维护解决员工和承包商信息安全的政策
记录完备且沟通良好的信息安全政策将有助于提高员工对持卡人数据风险及其保护责任的认识。相关政策和程序也应纳入员工手册、第三方供应商协议、风险评估和事件响应计划。
超越 PCI-DSS 合规性
PCI-DSS 合规性对于任何接受卡支付的组织来说都是必要的。但是,虽然它表明您已满足处理持卡人数据的基本要求,但并不一定能保证得到全面保护。
此外,数字化转型和云迁移已经改变了安全目标。因此,您需要超越打勾练习和传统的安全方法。这就需要新的解决方案来适应混合云和多云部署的复杂性和动态性。
例如,您应该考虑使用云工作负载保护平台 (CWPP),它可以保护单个应用程序以及支持它们的流程和资源。您应该使用云安全态势管理 (CSPM)解决方案对此进行补充,该解决方案可以通过根据最佳实践和合规性要求持续监控和基准测试配置来识别安全风险。
您还应该通过提供云网络安全功能的解决方案保护持卡人免受当今新的和日益复杂的威胁。最重要的是,您应该寻找能够提供持续保护的工具,而不是简单地实现每年一次的合规性——从单一管理平台统一查看支付卡系统的所有组件。