觀點

解開PCI謎題

2009 / 07 / 07
DIANA KELLEY 譯 ■ 編輯部
解開PCI謎題
支付卡產業資料安全標準(PCI-DSS)施行至今,終於要面對嚴厲的稽核考驗,讓有經驗的企業與稽核員告訴你完成任務的秘訣。

  根據美國Visa組織的報告,大型物流與購物中心的法規遵循完成度,從2006年3月的12%已經激增到2007年底的77%,大部分要歸功於支付卡產業資料安全標準(PCIDSS)所帶來的正面效益。媒體報導指出此一產業標準已經獲得歐盟(EU)與英國部分地區的認同與實行。

  對於企業而言,遵循PCI的責任上還是有一些困惑,對於如何成功地對抗難以捉摸的風險仍然採迂迴戰術,雖然PCI DSS是普遍受到讚揚的"one-stop"標準,不過還是有一些議題沒有說明白,像是違規費用、懲罰或交易成本是否可以轉嫁,都讓經銷商與批發商有點遲疑,當標準版本變動時,對於不同的安全要求也會跟著改變。例如對於Qualified Security Assessors (QSAs) 合格安全評估商,就有空間去解譯標準的規範條文,但是至少每一家解釋的方法與說法不能相違背或相差太遠。雖然PCI DSS不是真的那麼容易做到最好,但是他的要求絕對是可以達到的。

PA DSS鎖定應用系統:新商務付款應用系統標準

  今年4月,第一版的付款應用系統資料安全標準(Payment Application Data Security Standard)已經描繪出他們對於此類付款系統的要求項目與對象,像是POS系統就是一例。與Visa的支付應用系統最佳實務(PABP, Payment Application Best Practices )極為類似,發卡廠商已經實施PCI DSS者,對於PA DSS應該不會感到太大的意外。主要的變動只是編號與用語的修訂,加上一些源碼分析工具與替代的測試方案列表。

  PA DSS對於COTS套裝支付應用系統,沒有經過客製化且賣給超過一個以上的客戶者均需遵循此一資料安全標準。截至目前為止,支付卡產業還沒真正下定論是否強制要求所有的應用系統都要納管,Visa組織發布一個階段式的PA DSS遵循計畫,要求會員要採用通過PA DSS驗證的系統。自行開發的支付系統要遵循PCI DSS而非PA DSS,最終目的仍是建立更安全的支付應用系統,即便沒有這些標準要求,也是要做到。


搞清楚功能職掌

  要戰勝P C I D S S產業規範的第一步,就是要搞清楚在公司內外誰扮演的角色與職務是甚麼? 了解P C I 的責任追溯鏈(accountability chain),像是American Express、Discover Financial Services、JCB International、MasterCard Worldwide與 Visa這5大發卡集團,就會告訴你組織內部成員實際上該扮演什麼角色,而往往其複雜程度會讓你很意外。在PCI之前每個組織都有自己一套針對資訊安全的內部規範,目前仍然持續地要求下游廠商遵循此一規範,並且根據報告結果影響控制規範要求的最終決策。然而,所有參與PCI規範的發卡集團都一致認為,以PCI作為一個資料安全的基礎要求水準是非常合理的,而且可以簡化廠商的作業程序。

  在2004年12月,支付卡產業共同簽署第一版的資料安全標準,此一標準並不是要取代原有各發卡集團的安全規範要求,而是要簡化與標準化各商店在處理信用卡資料時的守則與流程,只要該商店收到PCI DSS法規遵循報告(RoC, Report on Compliance)的完成稽核聲明,表示這廠商可以符合其他各家發卡公司的資料安全規範要求。

  依照PCI DSS的核心理念,上述5家發卡集團在2006年9月成立PCI安全標準會議(PCI SSC, PCI Security Standards Council),由各家派代表組成執行會議進行PCI DSS相關文件與發布的處理與回應,包含標準規範、相關的自我評估問卷、稽核程序、4月份通過的支付應用系統的資料安全標準(PA DSS,Payment Application Data Security Standard),及維護與評選合格安全評估商(QSA)和合格安全掃瞄廠商(Approved Scanning Vendors)的權力。

  許多零售商對於PCI議會不負責違規處罰和法規遵循依據的相關決策置身事外感到困惑,PCI議會對於違法的罰款與處罰沒有控制力,對於相關的發卡集團、銀行也沒有任何服務水準制定的介入。這就是為何National Retail Federation的資訊長David Hogan會發飆發錯對象的原因之一,他要求PCI議會對於主要帳戶儲存需求(PAN)的變更建議,PCI DSS對於已經被儲存下來的卡號資訊要求做相對等級的保護,但是卻沒有指出這些資訊要先儲存下來,是由誰來負責,誰該做這件事,在零售商、商場與銀行、發卡機構之間成為人人互踢的皮球。

  每年處理超過600萬筆Visa或MasterCard交易的第一級商家,是第一個要被要求驗證是否符合PCI DSS的對象,可以透過合格安全評估商(QSA)進行驗證,中間還是有一些模糊地帶,像是可以針對一些特殊的控制項目選擇不實作以規避驗證,像是3.4節的要求將PAN變成不可讀取的型態,就有合格安全評估商(QSA)認為如果你不是使用FIPS 140-2相容的加密標準,他便拒絕驗證。但是這在PCI DSS的稽核實務程序中卻沒有明確地提到,才造成許多灰色地帶。

  像這樣的案例不斷上演,PCI議會應該出來說明仲裁,但是他卻不吭聲。議會已經收到很多合格安全評估商(QSA)的建議,造成許多企業被容許先通過稽核後再補上這些缺失,也間接提升了QSA的稽核成效。Ed Moyle是一家QSA的IT顧問,他曾試著拿著這些資訊去要求解釋,不過得到的回應不是很令人滿意,他只是需要有人能夠對這些問題有所仲裁與解釋。

深入了解合格安全評估商

  QSA其實扮演很有權力的角色,足以對銀行與發卡聯盟發佈RoC,因此,與QSA保持良好有效的工作效率會影響到你是否能通過法規遵循稽核,當然,第一步就是到PCI議會網站去尋找合格的安全評估廠商,以外部驗證來說(external validation),只有議會所核准的QSA能夠發佈RoC,另外一種方法則是從你的銀行或合作聯盟那邊取得QSA的參考名單,並且仔細評估這些推薦名單,有些QSA會付給銀行一些好處來推薦它們給顧客。

  許多組織已經透過各種雇用程序找到相關的QSA,並成功地完成PCI稽核程序所規範的要求。包含在評估關鍵項目上合理的報價,但是你必須牢記在心,你會和QSA很密切地配合,所以對方所採用的方法與程序可以選擇你認為合適的,可以在正式評估之前先做一下預演,讓你更了解你所選擇的QSA。

  如果不希望先做預演,你也可以藉由PCI SSC的自我評鑑問卷(SAQ, Self-Assessment Questionnaire)以及PCI DSS安全稽核程序等網路資源進行評估。有一家已經通過PCI驗證的IT經理人表示,透過預先自我評估,可以了解有哪些問題,然後在QSA出報告之前就先做好向上管理,也可以確保不會白花錢,你必須知道QSA並非為了讓你丟臉出錯,進行預先評估(Pre-assessment)可以讓你掌握在後續QSA正式進行安全評量時的關鍵知識與重點。文件可以說是很沉悶無趣的,卻是QSA稽核必要的基礎,一定會進行文件審查以了解目前有哪些控制項目被實施,也可以藉此提供控制項目實施之前的風險評鑑結果,QSA才會知道你對此的努力不是白做工。

  如果一切淪落到"商業"行為,例如你不採用某一家的產品你就沒辦法通過某QSA的稽核驗證,那真是太荒唐了。這樣的球員兼裁判的行為應該回報到PCI議會去。

簡單為上

  成功完成PCI評估的重要步驟是讓稽核的範圍儘量不要太複雜,應該進行區域的切割,讓程序按照規範完成,不要節外生枝。Allan Carey是IANS的研究副總與資安專家,曾經協助許多企業進行PCI法規遵循的任務,他強調最重要的事情就是讓網路區段切割,不要把範圍無限上綱,可以透過虛擬區域網路(VLAN)的切割以簡化問題範圍。當資料必須在公開網路中傳輸時,一定要採用安全加密的傳輸方法如SSL。

  美國國家水族館(National Aquarium)所採用的關鍵策略就是「區隔」,在進行PCI預先評估工作時,發現有2個商務功能是委外給第三方廠商,包含禮品部和餐飲部,所以他們便決定要實體隔離這2段網路,很明顯地就可以把問題簡化,稽核過程也順利完成。

  另外一個重點是,大家都知道的,不要儲存你不需要的資料。但是PCI SSC也規範某些等級的商店必須存放某些主要帳戶(PAN, Primary account number)的儲存需求記錄長達1年半,如果貴公司不是這些等級的商店,千萬不要自找麻煩。國家水族館的網管人員Brady Decker表示,在授權認證階段通過後,不要讓商店有機會儲存這些PAN資訊,如果真的有必要儲存,一定要把資料庫加密,以符合3、4節的要求。另外,確保你對整個IT環境的了解度要足夠,有時候會在不相干的商店電腦中忽然冒出幾個Excel資料檔,鐵定把你嚇到腿軟。把信用卡資料流畫下來,安全策略師Michael Gavin如此建議,了解資料哪邊來、存在哪以及誰可以用何種方法存取?

SIM產品暴走-PCI DSS 10.6節:每日檢查Log記錄

  PCI法規遵循是一個過程而非產品,雖然許多產品打著PCI 遵循的招牌,部分產品的確可以透過安全控制的落實達到法規的要求,大家還得感謝PCI所創造出來的市場。在PCI第10個章節中有提到要監控與測試網路,其中有一項「每天要審視所有系統的稽核記錄」,如果沒有透過系統來幫忙,要用人工完成這個任務幾乎是不可能的。尤其是在大型商場中,每天處理的資料量非常大,最好是將這些log集中管理,再透過像SIM這樣的方案來處理最為合適。當稽核人員來進行外部稽核時,最好已經有現成的Log檢查記錄文件以確保這些程序是每天被執行的。


全球化思維

  雖然PCI DSS已經是一個國際通用的標準,但是還是以美國敲鑼打鼓的最大聲,不過到了今年為止,英國、部分歐洲國家已經進一步要求遵循。其他的國家認為使用晶片卡與PIN已經夠安全,顯然還不搞清楚狀況。PCI議會的總經理Bob Russo指出,有些國家像是日本就有要求ISMS(ISO 27001與ISO 27002)作為安全框架,而不想另外在附加其他的標準要求。當然,PCI 議會還是希望DSS不是一個選項,也不是可以被其他認證所取代,它們持續地提升這方面的認知。

  如果一家公司僅做美國國內驗證市場的生意,就要開始想想其他在全球各地還有很多企業需要通過PCI驗證,提供PCI驗證不是一個簡單的工作,可以透過各方面來完成它多方面的需求,記住,保持簡單是打贏PCI戰役的關鍵,持續的遵循是必要的,如果你一變更IT基礎架構,就一定要考量它對於法規遵循的衝擊,Decker說。

Diana Kelley是SecurityCurve顧問公司的創辦人。