遵循PCI合规的大年夜大都安然专家必定已知道,PCI安然尺度委员会(SSC)已发布了付出卡行业数据安然尺度(PCI DSS)3.0版。
正如在过往所做的那样,SSC发布了PCI DSS 2.0版到3.0版的变动汇总。假定你是商家或评估者,从此刻到1月份,这两份文件(这个概要和新版本本身)都应当列在你的浏览清单中,因为1月份新要求将会生效。
当在2010年推出PCI DSS 2.0版时,该委员会估计,该尺度的不竭成熟化会削减对变动的需要,换句话说,跟着尺度不竭演变,和新版本的推出,对新要求的需求应当会削减。是以,其实不希罕的是,PCI DSS 3.0版的变动主如果申明和弥补信息,(大年夜部门)其实不是新要求。
这就是说,与从PCI DSS 1.2.1版到2.0版的过渡不合,3.0版只有一些变动的(新)要求,这些变动反应了商家和报复打击者的手艺利用编制的改变。具体来讲,从PCI DSS 1.2.1版到PCI DSS 2.0版只有两个变动,从2.0版到3.0版则包含20个。当然,我们不克不及深进讲授每个变动,基于这些改变的范围(在新要乞降弥补信息或申明之间),我们试图总结了最受商家存眷的五个方面。具体来讲,对大年夜部门商家(还有评估人员)来讲,下面是可能带来最大年夜影响的五个变动。
第一个方面:穿透测试
或许对现有要求的最较着的变动是穿透测试要求(11.3),包含验证用于隔离持卡人数据环境(CDE)和其他环境的编制的要求(11.3.4)。这一改变的合用范围我们已在其他文章中会商过,这部门更新可能给商家带来的挑战在于这个要求:穿透测试勾当(内部和外部)此刻应当“以行业承认的穿透测试法为根本”,例如专门提到的NIST SP 800-115(《信息安然测试与评估手艺指导》)。
好动静是,要求11.3到2015年6月30日才生效,商家们还有一段时候来适应这个变动。坏动静是,良多商家可能难以遵循这个要求,起码在最初阶段。为甚么这么具有挑战性呢?主如果因为穿透测试是一个专门的学科,良多商家(出格是较小型商家)没有内部人员可以或许有效履行穿透测试。商家凡是会操纵外部办事供给商来知足穿透测试要求;良多这些办事供给商(不点名)的产品并没有基于任何规范的编制。当然,也有办事供给商操纵了侧重过程的尺度,例如SP 800-115,此中具体说了然在测试阶段需要遵循的具体法度,或操纵以履行动重点的手艺尺度,例如Penetration Testing Execution Standard或(对利用)OWASP Testing Guide(供给手艺指导);但总的来讲,这其实不是规范的环境。
正因为如斯,商家必需要谨严选择穿透测试办事以确保他们选择的供给商采取的法度遵循行业承认的编制。作为首要工作,所有预备PCI DSS 3.0合规打算的商家都应当采取行业承认的编制(你企业觉得合适的编制)作为穿透测试要求建议。
第二个方面:系统组件清单
当然在媒体方面没有良多会商,但从实际角度来看,另外一个可能带来暗藏巨大年夜影响的新要求(2.4)是:“保留一份PCI DSS范围内系统组件的清单。”这里的“系统组件”在该尺度的第10页(PCI DSS要求的范围)有具体介绍,但本质上它是指持卡人数据环境内的所有硬件(虚拟或物理主机及收集设备),和软件组件(自定义或商业产品、现成的利用,不管是内部仍是外部)。
该要求的测试法度明白要求评估员“查抄系统清单,确认已保留一份软硬件组件列表,并包含各自的功能/用处描述”;也就是说,商家不但需要记实持卡人数据环境中所有组件,还需要描述这些组件的功能和用处。11.1.1要求(与此相干)此刻要求商家“保留一份授权的无线接进点清单,包含营业来由记实”。
我们都知道,保持清单的更新其实不等闲。历来,商家对保持清单(包含持卡人数据位置、可以拜候加密密钥和持卡人数据的人员,和防火墙法则和描述)的要求一向难以知足。为甚么呢?因为这类清单常常改变,常常需要手开工作来准确反应环境实际组件环境。是以,在没有主动化的大年夜型或复杂的环境,保持硬件和软件组件的靠得住清单几近成为不成能完成的任务(任何曾试图尽力保护过这类清单的人都能证实这一点),起码是不等闲。
当触及虚拟化(因为系统组件也包含虚拟镜像)或当环境漫衍在多个地舆位置(大年夜大都漫衍式零售店都是如许)时,更是加重了这类复杂性。同时,当专有的供给商供给的系统是由外部人员(例如利用供给商或系统集成商)保护时,也会进步复杂性。对一个本身就难以知足的要求,这些身分无疑是落井下石。毫无疑问,商家们的IT和合规团队将需要花大年夜量时候来开辟和研究编制以成立和治理这类清单。
第三个方面:供给商关系
12.8.5和12.9要求此刻要求明白由各个办事供给商和实体治理的PCI DSS的信息。例如,假定企业利用托管数据中间供给商,该数据中间的物理拜候限制可能由该供给商治理,而对这些位置拜候权的治理方面多是由客户企业治理。在这类环境下,PCI DSS 3.0要求商家明白同意并以书面情势确认这类与供给商或办事供给商的职责分派。
这类要求意味着,此刻商家不但需要保护供给商清单(这是3.0之前的要求),和当其办事与其CDE交互时追踪其合规状况(也是3.0之前的要求),并且要明白对PCI DSS要求,每个合用的供给商的响应的责任分派,还必需与供给商签订书面和谈。
保持和治理这些不合的要求在实践中可能具有挑战性。为甚么呢?首要有两个启事:起首,它触及查抄所有CDE相干的供给商(抱负环境下,商家有这个清单,因为他们应当在追踪供给商的PCI合规状况);第二,它触及准确阐发每个特定供给商的利用环境。在实践中,商家必需明白知道供给商或办事供给商在做甚么(以肯定其范围),节制职责应当若何划分,和若何成立文档来描述这些工作。接下来是有趣的部门:让相干的办事供给商(寄望,他们对待标题问题标编制可能与你不合)同意并签订书面和谈。曾介入过供给商协商的人会奉告你,协商这些标题问题(出格是在已与办事供给商签订合同后)将是耗时的工作,并且可能会呈现争议(这取决于供给商)。
第四个方面:反歹意软件
要求5.1.2此刻要求商家:“对凡是不受歹意软件影响的系统,需要履行按期评估以肯定并评估不竭进化的歹意软件威胁”。这意味着,假定你利用的系统凡是不会遭到歹意软件传染(例如大年夜型机或Unix办事器),你需要摆设一个法度确保保持这类状况,假定这些平台呈现一些歹意软件,你需要知道这个环境。要求5.3此刻要求必需从治理层获得明白授权,才能禁用或更改杀毒机制的运作,并且,这类授权是有时候限制的。
对不合的企业,这些要求可能会有必然的影响,出格是第二个要求。在PCI DSS 2.0中,该尺度仅要求摆设防病毒软件,并且它是运行的,还有更新或最新版本,且必需具有生成日记的能力。这些要求是可以知足的,不管谁安装这个东西,它是若何被安装(在合理范围内,只要它不影响上述要求)或若何被建设。但此刻工作不是如许了。此刻,商家必需避免用户禁用或更改杀毒机制(这可能需要特定的建设),并需将杀毒系统建设为操纵这类能力。这可能同时需要更高程度的手艺打算(因为这可能会影响防病毒东西和OS建设)和摆设策略来在全部CDE验证这类能力。毫无疑问,大年夜大都商家将会经由过程更多文书工作来知足这一要求,但这类改变其实不会像上述要求那么难以应对。
第五个方面:物理拜候和PoS机
9.3要求此刻要求商家节制现场人员对敏感区域的物理拜候,这类拜候必需获得授权,且按照小我的工作本能机能,同时,当拜候终止时,拜候权应随即被撤消。9.9要求此刻要求商家“呵护经由过程直接接触卡本身便可捕获付出卡数据的设备,以避免设备被窜改和替代”。大年夜大都商家可能已在试图知足9.9要求,但假定有商家仍然在零售点利用办事器机柜来存放纸巾,此刻多是时辰遏制这类行动了。
不外,知足9.9要求可能有点麻烦。为甚么呢?试想一下,从商家的角度来看,哪里最有可能合用:零售点、餐馆、大夫办公室、食物车、出租车和其他奇特的零售环节。这些零售商习惯于“按期查抄”发卖点终端设备(PoS)吗?例如查抄序列号以确保设备没有被改换。不太可能。想象一下,对跨多个地舆位置分离的零售点进行这类查抄需要支出多少尽力。一样地,用于该要求的测试法度出格明白验证政策/法度包含“保留一份设备列表”。有多少商家此刻有本身的PoS设备列表?当然这必定是一个很好的做法,但实际是,很少有商家如许做。对站点治理员或零售场合治理者,这一切很多是全新的概念,可能需要相当多的社会化、预备和人员培训来周全展开。
总结
正如你所知道的,对这些新的和更新的要求,有些商家需要做良多工作。请寄望,上述这些其实不是独一的改变,当然,具体利用环境和企业文化将会影响企业对这些要求的知足。但是,这些是对商家影响最大年夜的PCI DSS 3.0改变,起码在过渡期内是如许。在某些环境下,这些影响是很较着的(例如穿透测试),可能对有些人来讲,只有在着手履行这些要求(例如清点系统组件)时,才会心识到这些影响。不管若何,商家必需此刻开端打算以确保他们已预备好应对这些改变。不然,在2014年或2015年的第一次PCI DSS 3.0评估可能不会是一次兴奋的经历。