支付卡產業資料安全標準(PCI-DSS) 2.0版於2010年10月28日公佈,並將於2011年開始實施,並於年底後全面適用2.0版。其中的變革卻沒有如預期的多,僅做部分調整與詮釋澄清,雖然如此,PCI-DSS仍是目前用於保護資料安全的重要參考之一,可做為國內個資法推動保護個資的實務參考。
其範圍包含以持卡人資料保護為核心,建構安全的處理應用系統、傳輸加密、儲存加密,再往外擴展至安全的網路作業環境需求,而一般的資安要求如存取控制、弱點管理與持續監控及資安政策,亦是PCI-DSS的要求項目。對於不是處理支付卡產業或處理持卡人資料的企業而言,可以借用參照其要求規範,對應於個人資料保護法的要求,而得到基礎的保障。
PCI-DSS2.0因應新的科技變化的改變
在第二版中有幾項比較值得提出來討論的改變,多半是因應新的科技環境變化而採取的提醒,例如對於加密的要求因應科技變化而改變,以及虛擬化、雲端化環境的新要求與提醒。其餘的變動分項說明如下:
1. PCI-DSS 2.0標準的主要變化之一是在應用安全方面。他們要求你有一個安全性漏洞風險評級,包含使用OCTAVE、ISO 27005、NIST SP 800-30等風險評鑑方法論,在應用系統方面則可參考OWASP Top 10、SANS CWE Top 25 以及OWASP ASVS來評鑑應用系統安全並且根據這個評級優先處理事情。
2. 標記化(Tokenization)的安全技術將作為參考技術首次出現在PCI標準中。標記化是提取資料並且用隨機替換值隱藏資料真正含義的一種方法。PCI安全標準委員會打算在明年為此發佈一個指引文件。此為縮減PCI-DSS安全稽核範圍的一個實務方法,利用代碼取代真正的持卡人資料,因此可以把真正存放與處理持卡人資料的範圍縮小,當然實質風險也會隨之減少。
3. 範圍是否會延伸到行動裝置,目前還沒有定論,例如使用手機上面的App Store購買應用系統,但是持卡記錄多半還是儲存於原始申請帳號的企業網站資料庫中,所以,其範圍仍然還是以其網站及金流處理環境為主。不過,仍有新的應用像是小型的讀卡裝置可以運用於iPhone、iPad或者Android手機中,允許用戶進行信用卡支付,可見行動裝置支付金流仍是未來要解決的問題。
4. PCI-DSS 2.0在原先PCI-DSS 1.2的基礎上提供了額外的指引說明和闡述。虛擬化安全管理也被提及,不過只是大概內容,並沒有專門的虛擬化安全規範。事實上,2.0版本的主要變化在於PCI安全標準委員會把虛擬化層引入到標準的範疇內,用於管理那些保存信用卡相關資訊的單位。
5. 採用更安全的加密、雜湊與金鑰管理方法,也提到硬體式加密模組(HSM)的驗證,可以參考NIST與FIPS的相關要求規範,還要注意加密方式與金鑰的替換與淘汰的作業要求。
PCI-DSS應用於個資保護
在個資法三讀之後,企業對於個資保護開始興起一股怎麼做(how to)的焦慮潮,各式各樣的十八般武藝與產品紛紛老調重彈,亦因為資訊過量而導致裹足不前觀望的現象。而PCI-DSS則是其中一項可以被拿來參考的標準規範,其他如BS 10012、ISO 27001、OWASP、SANS、NIST等亦是參考來源,不過要注意的是不同的企業環境與作業流程,所需要的配套措施亦不同,抓住資料為核心的重點,逐一檢視方為上策。
在PCI-DSS中,在網路環境安全的要求和測試程序等,包含資料安全、存取管理、監控與稽核記錄、安全測試稽核、實體與人員管理,都可以拿來作為企業個資安全防護措施的參考。
因應個資法好方法 不用可惜!
此外,PCI 組織也提供了自評參考(SAQ)文件,因應各種不同的處理狀況,提供予企業可以做出自評以及補償控制措施的說明參考。在鑑識調查方面,PCI安全協會也推出了PCI鑑識調查員Forensic Investigator (PFI),規範鑑識調查所需要的背景與規則,同時未來也預計會將合格的鑑識調查表列於網站上,如同對於弱點掃描、安全服務廠商的要求,提供給預計採用資安服務的企業一個較佳的選擇。整體來說,好的標準以及規範可以走在現狀與問題之前,有了這些可以參考應用的資源,如果沒有善加運用,那就真的是可惜了!