網(wǎng)站資訊
解決方案
關于我們
- 企業(yè)介紹
- 聯(lián)系我們
關于我們
零售商和在線商店是黑客最喜歡的目標。并且有充分的理由。因為成功地破壞支付卡系統(tǒng)可以為他們帶來巨大的經(jīng)濟利益。然而,盡管存在風險,商家仍在努力滿足支付卡安全的需求——根據(jù)2020 年 Verizon 支付安全報告,目前只有27.9%的組織能夠保持完全符合支付卡行業(yè)數(shù)據(jù)安全標準 (PCI DSS)。與此同時,卡和非接觸式支付的數(shù)量繼續(xù)增加,因為消費者的偏好穩(wěn)步轉變?yōu)橛欣谒芰稀⑹謾C錢包和網(wǎng)上購物。
不僅如此,零售業(yè)也正處于數(shù)字革命的陣痛之中,因為他們將應用程序從靜態(tài)本地硬件遷移到復雜、可擴展且有彈性的基于云的基礎設施。這些新的動態(tài)計算環(huán)境需要將重點從傳統(tǒng)的網(wǎng)絡安全方法轉向個人工作負載保護、API 安全和配置管理。這篇文章討論了 PCI-DSS 的合規(guī)性要求及其對現(xiàn)代混合云和多云環(huán)境中托管的支付卡系統(tǒng)的影響。讓我們開始吧。
PCI-DSS 是一種信息處理標準,它提供了一個框架來保護支付卡交易和持卡人詳細信息免受欺詐者的侵害。它指定了一組您必須采取的基準措施,以幫助最大程度地降低持卡人數(shù)據(jù)泄露的風險。該標準適用于接受或處理卡支付的任何企業(yè)或組織。因此,它主要影響零售企業(yè)和任何提供用于處理交易的軟件或硬件的公司。
它與同樣影響零售和電子商務行業(yè)的數(shù)據(jù)隱私法(例如通用數(shù)據(jù)保護條例 (GDPR))有很大不同。例如,PCI-DSS 是一個面向安全的標準。相比之下,安全只是數(shù)據(jù)保護法規(guī)的一部分,它還涵蓋隱私的各個方面,例如網(wǎng)站上的隱私聲明、同意將客戶詳細信息添加到郵件列表以及消費者的訪問權請求。
PCI-DSS 也是由支付卡行業(yè)安全標準委員會 (PCI SSC) 開發(fā)的,這是一個由商業(yè)支付網(wǎng)絡處理器組成的管理組織。但是,數(shù)據(jù)隱私法由州、國家或國際級別的政府機構管理。
PCI-DSS 規(guī)定了不同的合規(guī)途徑,每條途徑對應四個不同的合規(guī)級別之一。您每年處理的交易數(shù)量決定了您自己的特定合規(guī)級別。支付卡公司可自行決定對不遵守 PCI-DSS 的行為處以罰款。此外,違反 PCI-DSS 也可能構成違反適用的隱私立法,例如 GDPR 或加州消費者隱私法 (CCPA)。以及潛在的州法律,例如明尼蘇達州的塑料卡安全法。因此,如果發(fā)生違規(guī)行為,您可能會受到多種不同的經(jīng)濟處罰和制裁。
PCI-DSS 合規(guī)性規(guī)定了十二項技術和操作要求,如下所示。
1. 安裝和維護防火墻配置以保護持卡人數(shù)據(jù)
防火墻是您的第一道防線,它根據(jù)一組預先配置的規(guī)則防止?jié)撛诘膼阂饬髁窟M入您的網(wǎng)絡。但是,傳統(tǒng)的基于邊界的防火墻已不足以保護您的云資產(chǎn),因為您的用戶和內部網(wǎng)絡之間沒有明確的界限。要克服這個問題,您需要一個云防火墻。它的工作方式與傳統(tǒng)防火墻非常相似,但專門針對云的分布式特性進行了調整,其中應用程序被分解為分散在網(wǎng)絡環(huán)境中的離散組件。
2. 不要使用供應商提供的默認系統(tǒng)密碼和其他安全參數(shù)
路由器、POS 系統(tǒng)和相關組件的供應商為其設備提供默認用戶名、密碼和配置,以盡可能快速和輕松地進行安裝和設置。這使得網(wǎng)絡犯罪分子很容易成為目標。
這些出廠設置很容易被欺詐者利用,他們利用它們來訪問內部網(wǎng)絡并竊取持卡人數(shù)據(jù)。因此,僅使用您自己獨特的登錄憑據(jù)和配置來幫助防止黑客入侵。還要注意使用其他默認配置,例如訪問權限。CloudSecOps 團隊需要確保他們的應用程序和云工作負載不過分寬松,并且只提供對敏感資源的必要訪問級別以減少攻擊面。
3. 保護存儲的持卡人數(shù)據(jù)
保護持卡人信息的最佳方式就是避免將其完全存儲。但是,如果您出于商業(yè)或法律目的需要它,那么您應該采取措施使其不可讀。實現(xiàn)此目的的最常見和最實用的方法是加密您的數(shù)據(jù)。為符合 PCI-DSS,任何此類加密都必須使用行業(yè)標準AES-256 算法。但請記住,您的數(shù)據(jù)是否安全取決于您用來加密它的密鑰。因此,您還需要使用有效的密鑰管理系統(tǒng)來保護您的加密密鑰。此外,清楚了解您首先存儲的持卡人數(shù)據(jù)也很重要——通常是通過使用數(shù)據(jù)發(fā)現(xiàn)工具和數(shù)據(jù)資產(chǎn)清單。
4. 持卡人數(shù)據(jù)在開放、公共網(wǎng)絡中的加密傳輸
確保正確配置每個云和本地環(huán)境以使用傳輸層安全性 (TLS)加密持卡人數(shù)據(jù),其中數(shù)據(jù)在支付卡生態(tài)系統(tǒng)的不同部分之間通過 Internet 移動。考慮為公有云和混合云投資全面的云網(wǎng)絡安全解決方案。另請記住,通過移動設備支付的風險尤其大。因此,請確保每個無線網(wǎng)絡都使用強密碼和最新可用的Wi-Fi 安全協(xié)議。
5. 使用并定期更新防病毒軟件或程序
您的防病毒 (AV) 軟件應該能夠保護托管您的支付卡系統(tǒng)的所有環(huán)境——跨您的混合云或多云基礎設施。但了解 AV 軟件的局限性也很重要。新的和更復雜的威脅類型已經(jīng)演變?yōu)獒槍谠频牟渴稹R虼耍F(xiàn)在需要更廣泛的安全方法來保護持卡人的詳細信息,例如云安全狀態(tài)管理 (CSPM)和云工作負載保護。
6. 開發(fā)和維護安全系統(tǒng)和應用程序
要求 6 的目的是確保您將安全性構建到應用程序開發(fā)和生命周期過程中。這包括通過培訓、指南和核對表以及對任何內部或自定義應用程序代碼的定期審查來支持安全編碼實踐。它還涵蓋補丁管理,其中 PCI-DSS 規(guī)定您必須在發(fā)布后的一個月內為第三方軟件安裝關鍵補丁以保持合規(guī)性。
7. 根據(jù)業(yè)務需要限制對持卡人數(shù)據(jù)的訪問
您應該將可以訪問持卡人詳細信息的人數(shù)限制在最低限度,只允許有合法業(yè)務需要的人這樣做。最實用的方法是實施基于角色的訪問控制 (RBAC)系統(tǒng),該系統(tǒng)應根據(jù)最小權限原則授予對敏感資源(如持卡人數(shù)據(jù))的訪問權限。
8. 為每個可以訪問計算機的人分配一個唯一的 ID
您系統(tǒng)的每個授權用戶都應該有一個唯一的 ID 和密碼。這可確保您隨時了解訪問持卡人數(shù)據(jù)的任何人的身份。另請記住,PCI-DSS 現(xiàn)在僅允許那些具有管理權限的用戶使用雙因素身份驗證 (2FA)進行遠程訪問。
9. 限制對持卡人數(shù)據(jù)的物理訪問
當您在公共云中托管應用程序時,您將服務器的物理安全責任卸載給了云服務提供商。但是,您仍然有責任確保端點設備的物理安全。因此,您應該采取措施,通過視頻監(jiān)控、安全政策和程序、員工培訓、基于時間的鎖定控制以及確保屏幕遠離公眾視線等措施,幫助防止未經(jīng)授權訪問支付設備和工作站。
10. 跟蹤和監(jiān)控對網(wǎng)絡資源和持卡人數(shù)據(jù)的所有訪問
記錄和監(jiān)控對支付卡系統(tǒng)的訪問將幫助您發(fā)現(xiàn)可疑活動的早期跡象,并在出現(xiàn)問題時為您提供警報和見解。這一領域的需求已經(jīng)從單純的可見性發(fā)展到可觀察性,不僅要保持對所有卡處理組件的可見性,還要快速識別和修復任何問題。為實現(xiàn)這一目標,您可能需要尋找新一代監(jiān)控工具,以提供跨混合云和多云基礎架構的集中可見性。
11. 定期測試安全系統(tǒng)和流程
為了補充其他安全措施,例如 AV 掃描和補丁管理,您應該定期檢查您的支付卡系統(tǒng)是否足夠強大以抵御潛在威脅。這將涉及自動化工具,例如漏洞掃描和手動方法,例如滲透測試。其他測試程序應包括定期檢查讀卡器是否存在竊取軟件和流程,以識別未經(jīng)授權的無線接入點。必要時,您應采取相應的補救措施。
12. 維護解決員工和承包商信息安全的政策
記錄完備且溝通良好的信息安全政策將有助于提高員工對持卡人數(shù)據(jù)風險及其保護責任的認識。相關政策和程序也應納入員工手冊、第三方供應商協(xié)議、風險評估和事件響應計劃。
超越 PCI-DSS 合規(guī)性
PCI-DSS 合規(guī)性對于任何接受卡支付的組織來說都是必要的。但是,雖然它表明您已滿足處理持卡人數(shù)據(jù)的基本要求,但并不一定能保證得到全面保護。
此外,數(shù)字化轉型和云遷移已經(jīng)改變了安全目標。因此,您需要超越打勾練習和傳統(tǒng)的安全方法。這就需要新的解決方案來適應混合云和多云部署的復雜性和動態(tài)性。
例如,您應該考慮使用云工作負載保護平臺 (CWPP),它可以保護單個應用程序以及支持它們的流程和資源。您應該使用云安全態(tài)勢管理 (CSPM)解決方案對此進行補充,該解決方案可以通過根據(jù)最佳實踐和合規(guī)性要求持續(xù)監(jiān)控和基準測試配置來識別安全風險。
您還應該通過提供云網(wǎng)絡安全功能的解決方案保護持卡人免受當今新的和日益復雜的威脅。最重要的是,您應該尋找能夠提供持續(xù)保護的工具,而不是簡單地實現(xiàn)每年一次的合規(guī)性——從單一管理平臺統(tǒng)一查看支付卡系統(tǒng)的所有組件。
