完成了数百份支付卡行业(PCI)合规评估报告,并为许多机构提供PCI咨询, HB火博体育app官网LBMC的团队已经确定了几个常见的问题和缺点,这些问题和缺点可能会在PCI评估期间造成重大挑战, 导致昂贵的补救工作和/或失败的PCI合规性评估. 这篇文章描述了组织不能遵守PCI数据安全标准(DSS)要求的最常见原因. LBMC希望通过识别这些常见的陷阱并提供避免它们的建议, 组织可以更好地准备证明符合PCI DSS要求, PCI评估的结果与组织预期的一样.

错误#1:没有定义合适的范围——了解你的范围

任何PCI遵从性工作的最关键方面之一是真正理解您的持卡人数据环境,以及从PCI的角度了解哪些是范围内的,哪些是范围外的.

在确定PCI DSS环境的范围时, 很重要的一点是,在可以验证所有必要的控制都到位并提供了有效的持卡人数据环境(CDE)分割之前,始终要假设it环境中的所有东西都在范围内。. 有效的分割可以大大降低CDE系统受到来自范围外系统的安全弱点或妥协影响的风险.

不适当的范围假设(在没有适当验证的情况下将某些东西标记为超出范围)不仅会将业务置于风险之中, 但它们会在PCI评估时带来不愉快的意外! 真正缩小PCI范围, 网络细分策略需要仔细规划, 设计, 实现, 监控, 和文档. 许多持卡人数据环境的妥协都是通过系统和网络错误地确定超出范围而发生的, 被攻破的实体错误地依赖于他们的细分方法,却在入侵后发现这些控制没有有效地阻止与信用卡系统和网络的连接. 为了将网络和数据的风险降到最低,实体应关注其整个It环境的安全性,而不是仅仅关注PCI DSS所需的内容,这一点至关重要.

PCI将范围内系统定义为“存储、处理、传输和/或”的任何系统 会不会影响安全 持卡人数据环境.“最常, 短语“可能影响安全性”在理解PCI作用域时引起的问题最多. 下面是一些通常被认为是“连接到”或“管理”系统的系统,因为它们有一个到CDE中的一个或多个系统组件的通信路径,并且可能影响持卡人数据环境的安全性, 因此,应纳入范围内系统:

  • 身份验证服务器
  • 国家结核控制规划服务器
  • 补丁服务器
  • 日志服务器
  • 监控服务器
  • AV管理服务器
  • RDP服务器/ jumpbox / Bastion主机,其他虚拟系统
  • 管理工作站
  • 无线连接(无线局域网,GPRS,蓝牙和蜂窝技术)

一些最常被忽略的系统是ip语音系统. 在使用VOIP系统通过电话收集信用卡数据的情况下(例如在呼叫中心), VOIP数据是通过本地计算机网络传输的, 有可能将这个特定的网络纳入范围. 位于同一网段上的其他系统, 包括手机, 如果没有适当的设计和分割,也会被纳入范围吗. 另外, 客户通常会出于客户服务的目的存储电话录音,但在考虑存储持卡人数据时却没有考虑到这一点. 如果包含信用卡数据的呼叫正在被记录和存储, 存储录音的系统不仅在范围内, 但通话录音的任何备份也会在范围内. 由于存储持卡人数据增加了许多控制要求到PCI合规程序, 这种疏忽可能会对PCI范围产生重大影响.

PCI安全标准委员会(PCI SSC)制定了一个 PCI DSS范围划分指南 指南,可以被任何组织利用,以帮助他们识别系统, 至少, 应纳入PCI DSS范围. 另外, 该文件提供了如何分割可以适当和有效地使用,以帮助减少系统的数量,需要PCI DSS控制.

在PCI定域练习中, LBMC QSA评估人员将验证组织定义的范围假设和细分控制,并确定哪些PCI控制适用于环境. 这通常是通过彻底审查PCI网络和持卡人数据流程图来完成的, 资产库存, 和防火墙规则集. 这个过程, 在任何PCI评估现场工作开始前执行, 有助于消除PCI评估过程中的任何困惑或意外.  

关于范围,需要记住的一个关键点是,实体负责确保其范围在持续的基础上保持准确. 在规划网络基础设施或硬件更改时,组织应该始终考虑对PCI范围的影响, 以及其他类型的IT环境更改和升级.

错误#2:没有识别业务流程

关于PCI遵从性的一个误解是,它本质上完全是技术性的. 虽然有许多技术要求, 在任何环境中,记录和注意收集信用卡数据的业务流程同样重要. 组织常犯的第二个错误是没有考虑组织中收集和存储信用卡数据的所有“支付渠道”.

理解并记录所有接受信用卡的授权业务流程是至关重要的. 确定并记录每个业务流程以及用于收集信用卡数据的方法, 以及集合中涉及的底层系统组件, 处理, 信用卡数据的传输可以提供对信用卡数据如何遍历环境的清晰理解. 使这个过程最有效, LBMC强烈建议关键业务单位负责人参与确认所有信用卡流程已被识别并被考虑. 在许多情况下, IT代表惊讶地发现,一个业务单位有一个企业IT部门不支持的额外支付渠道, 但这必须得到保障.

错误3:缺少或缺少资产清单

在一些组织中, 资产清单可以从资产管理系统生成, 而在其他, 跟踪资产可能是一个手工过程. 不管资产跟踪的方法是什么, 组织面临的另一个常见挑战是准确、完整地跟踪和核算环境中的所有PCI资产. PCI DSS要求2.4要求组织“维护PCI DSS范围内的系统组件的库存.“该清单应包括每个范围内环境中的所有硬件和软件组件,以及每种组件的功能/用途说明, 和IP地址. 确保您的资产清单包括网络图和数据流图中标识的所有系统.

错误4:对SAQ资格标准的误解

当组织不能完全理解PCI如何查看和分类某些技术或体系结构时,最常遇到这种常见问题. 最常见的误解是:

  • 客户服务代表(CSR)系统访问类似citrix的环境(这可能符合一个 SAQ C-VT). 组织可能没有包括系统(i.e.即CSR工作站),将CHD输入到PCI范围.  
  • 电子商务解决方案(假设 SAQ一 vs. SAQ一-EP).  
  • 正如上面提到的, 分割不当会影响SAQ的适用范围, 通过网络电话存储通话记录也是如此.

在SAQ文件中,委员会为各SAQ制定了资格标准. 对于组织来说,在构建环境并确保适当的控制以满足遵从性时,了解这些需求是至关重要的.

错误5:在重复的任务上落后

在之前的 博客,HB火博体育app官网介绍了PCI需求中出现的各种重复出现的任务. 而不是反刍那篇文章(在你有空的时候读它), 此条目集中于以下相关的错误:不一致的范围如何影响那些重复出现的需求和, 其次, 即使在适当的范围内, 这些任务可能会被忽略或遗忘. 对于没有在要求的时间框架内执行的基于时间的需求, 几乎不可能返回并按照最初的方式执行控件. 这个错误经常要求组织执行额外的测试(通过补偿控制来验证有效性),或者承认不遵从,然后在下一年重新检查错过的需求. 变通方案所需的额外测试或补偿控制的必要水平最终由收购银行决定(尽管QSA在验证方法时非常有帮助)。, 而且通常是昂贵和耗时的.  

错误6:没有记录重要的更改

环境的重大变化经常被忽略, 也许是由于PCI允许组织独立决定什么是被认为是重大的变化. 处理重大更改以避免错误的最佳方法是在策略中定义术语“重大更改”,并指定组织如何将该策略应用于其持卡人数据环境. 常见的重大更改的例子通常包括重大的安全性重新设计, 架构更改/增加, CDE内的防火墙规则修改, 产品升级, 加密密钥的更改, 等. 一旦这个术语被定义, 组织应确保所有其他有关环境中重大变化的要求也被考虑在内, 例如在这些更改完成后不久对其进行渗透测试.

错误#7:服务提供商和其他第三方——责任矩阵

组织出于多种原因决定外包某些技术、人员和/或过程. 除了包括内部系统和网络的PCI合规范围, 需要识别从第三方实体到CDE的所有连接,以及代表商家处理卡数据的第三方,以确定是否包括PCI DSS范围. 正确遵守PCI DSS规范, 必须满足所有适用的要求, 不管最终是哪个实体负责. PCI将服务提供商定义为“不是支付品牌的业务实体”, 直接参与加工, 存储, 或代表另一实体传送持卡人资料. 这也包括提供控制或可能影响持卡人数据安全的服务的公司.”   

重要的是双方要清楚地了解哪些PCI DSS需求是由服务提供商提供的,哪些是使用服务的实体的责任(PCI DSS要求12.8). 为了清晰和一致,这些要求和义务应该在双方之间形成文件. 通常, 责任方面(和/或其文件)被无意地忽略了, 哪些因素会阻碍实体的PCI合规工作. 请参考 PCI SSC信息补充:第三方安全保证 用于第三方关系管理指导.

错误8:在人员流动期间控制故障

PCI SSC发布了补充指南 维护PCI DSS合规性的最佳实践 这突出了HB火博体育app官网作为评估者看到的一个关键挑战,它经常导致被评估组织中的合规问题:关键人员的流动.

一个组织的整体管理和运营结构的变化可以改变该组织的风险概况以及实体的PCI DSS合规工作的有效性. 例如, 合并, 收购, 或者引入新的业务线可能会引入新的支付渠道,需要考虑. 类似的, 当组织内包或外包操作过程时, PCI DSS合规活动的某些方面的责任可能会转移到不同的责任方(e.g.对于一个新的内部团队),这些变化需要被理解和解释. 如果不能确定此类变更如何影响组织的风险环境和PCI DSS合规工作,可能会将关键业务功能暴露于安全风险中,或在试图遵从PCI需求时带来挑战.

需要考虑的其他类型的组织变革包括内部改组, 企业分拆, 破产和清算, 以及关键资讯科技人员或保安人员的遗失. 负责执行大量PCI控制的关键人员的离开可能会导致在一段时间内无法操作这些控制, 导致实体不符合PCI要求,直到角色被填补. 组织应该建立用于及时检测和响应此类变更的流程,并建立手动或自动触发机制以提醒关键人员,这样就可以通过尽职调查分析任何相关风险,并重新分配持续控制责任. 此风险分析应该评估变更可能对组织的业务目标产生的潜在影响, PCI DSS范围, 以及整体合规状况.

错误#9:漏洞管理程序不一致

在之前的一篇文章中, HB火博体育app官网讨论了执行内部漏洞扫描的重要性,并描述了一些组织如何努力在每个季度有效地执行所需的漏洞扫描, 包括扫描中的所有资产, 并确保及时进行补救. 对于一些组织的PCI遵从性工作来说,这一需求仍然是一个棘手的问题.

确保准确定义CDE范围对于成功遵守PCI DSS控制至关重要. 当组织犯上述第1个错误时, 他们的漏洞扫描可能会排除应该在范围内考虑的资产, 导致漏洞扫描不完整. 当这种情况发生时, 组织可能决定延长其合规时间表,以留出足够的时间来满足这一要求,这样就可以提供所需的四次季度扫描.

PCI DSS要求执行重新扫描,直到对内部和外部漏洞扫描都实现了通过扫描. 获得“干净”扫描的要求有时被忽视, 特别是当一个实体的扫描包含了跨不同网络和环境的许多资产时, 或者当负责漏洞扫描的团队出现人员流动时.

qsa通常会检查实体内部/外部漏洞评估结果的HTML导出或PDF导出,以确认是否符合这一控制. 因为漏洞扫描工具可能会定期地删除或覆盖陈旧的扫描(并且因为一些漏洞评估工具限制了导出过时扫描的能力), 组织应该记得将每季度漏洞扫描的结果导出到指定的存储位置,以便能够访问和审查它们,作为遵守这一要求的证据.

PCI DSS是一套健壮的安全要求,旨在确保信用卡数据的安全性. 组织存储, 过程, 和/或传输信用卡数据应符合这些要求. 虽然它们可能令人生畏, 一个有组织的合规计划,并特别关注上述最常见的错误,将有助于确保您的实体卡数据安全, 并且您的组织符合PCI要求.

LBMC的PCI团队可以帮助您的组织了解并最小化PCI持卡人数据环境的范围, 并帮助您以最具成本效益的方式达到并证明符合PCI DSS要求.  HB体育 要了解更多.