支付卡行业数据安全标准 PCI DSS 3.2 将在2018年2月1日开始实行,该标准将作为一种年度性考核机制对待。安全支付解决方案供应商PCI Pal警告称,最初公布于2016年的 PCI DSS 3.2标准已经为行业留出近两年时间为新的合规性要求进行筹备,但目前相当一部分企业仍未达到PCI DSS 3.2标准要求。
什么是 PCI DSS?
支付卡行业数据安全标准(PCI DSS,全称Payment Card Industry Data Security Standard)是目前全球最严格且级别最高的金融数据安全标准,DSS针对保护账户数据的技术和操作要求提供了全球统一的基准,由 VISA 和 MasterCard 联合多家国际卡组织共同建立,以增强持卡人的数据安全。获得此认证的公司大多为银行或第三方支付公司,中国也一些公司咨询过PCI DSS认证。
企业很难持续获得PCI DSS认证
尽管现有数据安全标准已经实施多年,但大多数企业仍挣扎于努力保持合规性的及格线上。根据2017年发布的一份行业报告可以看到,在数据违规事件方面,仍有近半数企业(47%)无法满足现有PCI DSS要求。美国Verizon公司发布的PCI DSS合规性报告显示,在通过合规性检查的企业当中,有近三分之一不能连续两年获得合规性认证。
PCI DSS 3.2将解决合规性难题
PCI DSS 3.2标准,旨在缓解并更好地应对网络攻击活动,从而预防支付数据泄露事件的发生。PCI Pal公司CTO乔夫·弗席斯指出,“整个行业已经制定出一种新的合规性遵循文化,且即将作为一种年度性考核机制对待,而非朝着持续遵守的方向努力。对于这类只希望获得年度通行证的企业而言,PCI DSS 3.2的出台代表着一种强制性的提醒,因为其要求提供持续合规证据而不仅仅只是简单的通过/未通过结论。”
PCI DSS 3.2提出的主要要求包括:
对要求8.3条作出扩展,要求在管理员对持卡者数据环境进行访问时使用多因素验证机制。
要求服务供应商及其它相关方采取额外安全验证步骤,包括“指定实体补充验证(简称DESV)”标准。
弗席斯进一步补充称:“符合 PCI 合规性要求应是一个持续推进的过程。目前的年度评估只能检查目标企业是否拥有正确的流程,而 PCI DSS 3.2 将转变具体作法,要求对方始终保持设备清单与配置标准更新,并在必要时应用安全控制方案。企业不应再继续依赖于暂停及恢复等过时的解决办法。最近的一系列重大安全事件已经引起行业警惕,但相信此次 PCI DSS 新标准的全面实施将确保其在整个行业中继续保持核心地位。“
PCI DSS认证的难点
PCI DSS 认证的主要难度来自于渗透测试和漏洞扫描两个方面。支付卡行业的数据安全标准(PCI DSS)第11.3条要求企业每年(至少进行一次)对内网和外网实施渗透测试评估。在持卡人数据环境作出任何重大变更之后必须重复测试。在渗透测试中每一个主机和所有的相关服务, 都会被仔细的逐个探测,以识别潜在的漏洞。
所有的潜在的漏洞, 都必须人工手动进行审查、研究、并进行漏洞利用;而非人工手动方式可能会损害目标系统上的数据,或对目标造成拒绝服务攻击。
在测试中发现任何可利用的漏洞,企业必须修复问题之后重复测试。渗透测试周期要到漏洞被修复才完成,而且还需要提供系统已修复漏洞的证明书。这其中运用到三种测试手段:基于黑盒内部渗透测试、针对授权用户的内部渗透测试、优先授权内部测试。一般来说,这项认证只有极少数企业才能顺利通过。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
