務實地檢視支付卡產業資料安全標準第 3 版( PCI DSS v3.0) 的變革

credibility_pci-logo

PCI DSS v3.0(Payment Card Industry Data Security Standard, 支付卡產業資料安全標準第 3 版)是一個被改良用來解決持卡人資料保護的壓載,第三版變動增加的地方是不同以往專注在提供一個對PCI DSS在測試程序的意圖與應用更強大的理解、解析,及讓更多報表保持在 PCI QSAs(Qualified Security Assessor)下的一致性。他們在PCI資料安全標準推動與評估中提供商店與服務提供廠商機動性,顯然它是嚴謹,且更需要修正,對 PCI DSS v3.0務實來看,也許能幫助我們更清楚它們的應用。

PCI DSS 在第三版的改變,專注在五個主要的領域:

  • 滲透測試 (Penetration testing)
  • 盤點系統組件 (Inventory of system components)
  • 服務提供者 (Service providers)
  • 不斷演變的惡意軟體威脅 (Evolving malware threats)
  • 實體存取和銷售點 (Physical access and point of sale)

 

滲透測試(Penetration Testing)

目前,對於滲透測試的研究沒有普遍可接受的產業標準,雖然PCI DSS v3.0所要求的,以滲透測試的品質、方法及報告是由合格安全評估機構(QSA)主觀的審查及各別評估,儘管如此,PCI DSS v3.0 要求滲透測試方法論的發展及實施:

  • 11.3-闡明年度內部網路和外部網路滲透測試和應用程式層滲透測試的需求。
  • 11.3-新的要求對發展及實行對滲透測試的一個方法,自 2015 年 7 月 1 日開始執行。在此之前滲透測試必須遵循 PCI DSS v2.0的規範,這意味著持卡人資料環境(Cardholder Data Environment, CDE)的滲透測試必須包含在持卡人資料環境間的任何系統和任何與其連接的系統上的電子格式信用卡資料流的分析。
  • 11.3.4-新的要求,如果分段用來讓CDE與其他網路隔離,滲透測試是去驗證分段的方法是可運行及有效的。這是一個有趣項目因為在傳統情況下,滲透測試的測試人員,只有少許對於滲透測試環境的知識。若要測試分段,他們現在需要知道的更多。

 

盤點系統組件

PCI DSS 總是要求個體組織維護一份關於他們的設備、軟體、應用程式、資料庫、網址、輸入裝置及主帳戶(PAN)的資料儲存位置。然而,3.0版現在要求額外的訊息。

  • 11.1.1 – 維護授權的無線接入點的清單,包括記錄業務理由。
  • 12.3.3 – 驗證使用政策,它定義一份所有設備裝置及被授權使用這些設備人員的名單。

 

服務供應商

除了維護一份清單及服務提供者在處理個體持卡人資料願意遵守 PCI DSS規範的協定,3.0 版要求個體提供遵循的證明及過程 (至少每年) 監測遵守情況,如服務提供者遵循的認證 (AOC) 。這包括關於由每個服務提供者所管理的PCI DSS 規範及亦需由個體來管理的維護資訊 (12.8.5),自2015 年 7 月 1 日起生效,服務提供者將需要 (12.9),必須以書面形式向客戶告知,他們為持卡人資料的安全負責,包括被服務提供者擁有的,或者以其他形式儲存、處理或以顧客行為的方式傳輸的,或他們有能力影響顧客的持卡人資料環境安全的範圍。

不斷演變的惡意軟體威脅

第3版現指個體必需評估惡意軟體對系統中不常被惡意軟體感染的威脅程度。這包含大型主機系統(z/OS),中型電腦(包括 iSeries, Tandem,等等),及相類似的系統,他們也許目前不是被惡意軟體感染的目標。大型及中型的運算環境很早且一直是一個很重要的 PCI DSS 持卡人環境。很不幸地,合格安全評估機構真正深入了解 z\OS、虛擬儲存保護措施、RACF\ACF2\TopSecret的並不多,對在這些環境中對持卡人資料環境(CDE)及持卡人資料(CHD)的威脅遠較惡意軟體昂貴,但不失為一個好的開端。

實體訪問控制及銷售點

在辦公室位置、資料中心、儲存地點及零售商店位置範圍內的實體存取控制皆為在 PCI DSS 評估的標準。第 3 版現在需要個體保護(9.9)透過直接接觸來自篡改和替換卡片本身便能擷取支付卡資料的設備,這個新要求對於零售商店、現場商家、加油站等將會是一個新的挑戰。企業辦公處將會更容易處理,但在那些沒有刷卡門禁系統的企業,每當有僱員離職就需要更換門鎖將會是個昂貴的建議。

維持一個依照品牌、型號、位置及序號排列最新的設備清單(9.9.1)聽起來很合理,然而,自2015年7月1日開始起生效,這個新的要求保護銷售點設備(9.9.2)必須定期檢查設備表面以偵測有無篡改(例如,額外加裝竊取信用卡密碼讀卡器)或替換(例如,通過檢查序列號或其它設備特性來驗證它沒有被調換了欺詐性裝置)。不可否認這是一項好主意,但我們需要了解現在零售人員,通常為時薪員工,需要對加強對他們如何檢測設備篡改的培訓。

結論

過去的一年給我們上了很重要的一課,惡意軟體的感染、國家資助的攻擊、進階持續性滲透攻擊(APT)、包括不那麼受矚目的內部舞弊,將會以快速增長的頻率持續發生,多數可以透過審慎部署的控制措施來避免。不可否認,PCI DSS無法預防這些事件,但透過適當的落實如果每個版本都改進將是一個有效的緩和方式。

關於 David Chuang

David Chuang
CFE舞弊稽核師、資料分析與電腦稽核專家 現 任: 台北商業技術學院會計資訊系兼任講師 - 電腦審計 兆益數位股份有限公司 總經理 中華民國電腦稽核協會理事專業發展委員會主任委員 台灣舞弊防治與鑑識協會理事暨會員發展與服務委員會主任委員