首頁 > 資安知識庫 > 法規遵循與個人資料保護  > 個人資料保護法、個人隱私權益

對付個資法就用PCI-DSS 2.0好方法

作者:編輯部 -2011 / 05 / 30 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

支付卡產業資料安全標準(PCI-DSS) 2.0版於20101028公佈,並將於2011年開始實施,並於年底後全面適用2.0版。其中的變革卻沒有如預期的多,僅做部分調整與詮釋澄清,雖然如此,PCI-DSS仍是目前用於保護資料安全的重要參考之一,可做為國內個資法推動保護個資的實務參考。

 

其範圍包含以持卡人資料保護為核心,建構安全的處理應用系統、傳輸加密、儲存加密,再往外擴展至安全的網路作業環境需求,而一般的資安要求如存取控制、弱點管理與持續監控及資安政策,亦是PCI-DSS的要求項目。對於不是處理支付卡產業或處理持卡人資料的企業而言,可以借用參照其要求規範,對應於個人資料保護法的要求,而得到基礎的保障。

 

PCI-DSS2.0因應新的科技變化的改變

 

在第二版中有幾項比較值得提出來討論的改變,多半是因應新的科技環境變化而採取的提醒,例如對於加密的要求因應科技變化而改變,以及虛擬化、雲端化環境的新要求與提醒。其餘的變動分項說明如下:

1.      PCI-DSS 2.0標準的主要變化之一是在應用安全方面。他們要求你有一個安全性漏洞風險評級,包含使用OCTAVEISO 27005NIST SP 800-30等風險評鑑方法論,在應用系統方面則可參考OWASP Top 10SANS CWE Top 25 以及OWASP ASVS來評鑑應用系統安全並且根據這個評級優先處理事情。

 

2.      標記化(Tokenization)的安全技術將作為參考技術首次出現在PCI標準中。標記化是提取資料並且用隨機替換值隱藏資料真正含義的一種方法。PCI安全標準委員會打算在明年為此發佈一個指引文件。此為縮減PCI-DSS安全稽核範圍的一個實務方法,利用代碼取代真正的持卡人資料,因此可以把真正存放與處理持卡人資料的範圍縮小,當然實質風險也會隨之減少。

 

3.      範圍是否會延伸到行動裝置,目前還沒有定論,例如使用手機上面的App Store購買應用系統,但是持卡記錄多半還是儲存於原始申請帳號的企業網站資料庫中,所以,其範圍仍然還是以其網站及金流處理環境為主。不過,仍有新的應用像是小型的讀卡裝置可以運用於iPhoneiPad或者Android手機中,允許用戶進行信用卡支付,可見行動裝置支付金流仍是未來要解決的問題。

 

4.      PCI-DSS 2.0在原先PCI-DSS 1.2的基礎上提供了額外的指引說明和闡述。虛擬化安全管理也被提及,不過只是大概內容,並沒有專門的虛擬化安全規範。事實上,2.0版本的主要變化在於PCI安全標準委員會把虛擬化層引入到標準的範疇內,用於管理那些保存信用卡相關資訊的單位。

 

5.      採用更安全的加密、雜湊與金鑰管理方法,也提到硬體式加密模組(HSM)的驗證,可以參考NISTFIPS的相關要求規範,還要注意加密方式與金鑰的替換與淘汰的作業要求。

 


1
推薦此文章
14
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…