PCI資料安全標準-安全務實.務實安全
2007 / 02 / 05
Amy Rogers Nazarov
「PCI標準明確地告訴你該怎麼作,要作到什麼程度。」SANS機構的研究部門主管Alan Paller說。2005年6月30號,依據每年信用卡交易數量所訂出的第1、2、3層級的企業,被信用卡公會要求確實執行PCI規定當中的作業程序,不然就得冒被處以數千美元罰鍰的風險,更壞的是,可能喪失代理顧客信用卡交易權的資格。
PCI標準要求儲存、處理並交易信用卡持卡人資料的企業,明訂出他們的資訊安全政策,除了加強並且要定期測試跟本身網路安全相關的軟硬體設施,另外,也要時刻確保安全設備的修補程序是否與供應商同步?同樣地,PCI也依商家層級,進行每季一次的網路掃描作業,還有年度稽核作業。
如今,層級一的企業都是交由Visa追蹤管理-佔Visa所有交易量總數一半左右。「超過90%的商家都通過了PCI的稽核,目前要處理的部份,都是稽核當中所發現需要輔導的案例。」座落在Calif的Foster市的信用卡巨人的資深安全分析師-VisaUSA的Jennifer Fischer說。層級一的商家,其實就是那些每年處理Visa交易超過600萬筆的企業組織。不過,她同時也承認,要遵從PCI標準尚有很多事情要作,而許多的企業仍然處在這個轉進的過程當中。
American Express對外的發言人Christine Elliott表示,公司目前正在與企業們在PCI遵循上進行深入的對談。「其實大家均了解到資料安全的重要性,也都積極地在保護它。」,Christine Elliott說,「事關商家自身的商譽,也是在發生資料外洩的緊要關頭時,大家所認可遵從的處理方式!」
無論資料檔案來源如何,信用卡公司背後都有PCI這項標準撐腰,如此一來,其實在IT安全和隱私權方面,也相對減輕了信用卡資料處理人員的負擔。在效用上,PCI超出Visa在2001年所訂立用來保護持卡人資料的CISP(Cardholder Information Security Program),還有MasterCard的SDP(Site Data Protection)安全程序。2004年,Visa及MasterCard則結合二家的方案,共同制定出PCI準則,不久後,American Express、Diners Club和Discover Card隨即也都同表贊成加入。
搭上PCI列車
Honeybaked Ham企業的Goldoff說,雖然他們已在400個零售點、公司對外和經銷據點佈署了防火牆,可是卻還尚未採用入侵偵測技術來保障安全。「入侵偵測系統會告知有攻擊狀況,但到頭來你會發現,那不過是一堆誤報的狀況而已!」,Goldoff挑明著說。Honeybaked Ham企業將PCI標準牢記在腦海裡,並想更進一步地採用Top Layer Network的入侵防禦系統,如同Goldoff說的,它能阻擋的攻擊,是要比現在防火牆所能辨識的弱點特徵還多更多,也更複雜。
公司也針對到職滿8個月的公司員工進行跟PCI標準有關的訓練課程,「我們的人資部和作業小組可清楚地掌握到每一個人的狀況。」Goldoff說。而對Accor North America公司來說,它掌握包括Sofitel和Motel 6在內超過1,200家的酒店隱私資料,PCI正是重要資料加密專案的推手。導入並遵從PCI標準-即公司保證客戶資料是安全無虞的-這就是Accor要擺在第一優先的事情。
「我們的職責所在, 就是確保任何用來存放或交易信用卡資料的系統,可以得到最高層級的加密防護!」Accor North America掌管IT安全的資深主管Harvey Ewing說,「最大的議題就在於金鑰管理(keymanagement)」。
Accor安裝RSA Security公司的Key Management軟體,無論是作業系統或後端資料庫,對於只要經過Accor設備的加密金鑰,便列入管理項目,且這種方式也很容易套用到外接式裝置和整體資訊基礎架構當中。Ewing認為PCI有助於提高來自於管理階層對於安全專案的經費挹注與支持。
「安全部門介入讓決策者了解資料加密的好處,並闡述如何透過這種方式來保護公司,只能算是小事一樁!但是,當遭遇到要遵從PCI標準以強化安全的時候,尤其當下需要資金時,是要依靠許多影響力來促成的。」Ewing說。
指路明燈
無論是要進行資料加密,或是入侵偵測,還是要排除使用廠商預設密碼的狀況,或確保防毒軟體稽核記錄檔是否為最新日期,PCI清楚明確的指引已經使得現況獲得諸多改變。PCI標準訂立出12個大項的具體作法,然後在眾多子項目當中再作進一步地闡述。「PCI 安全標準規定相當具體、明確, 而且務實!」本身持有CISSP證照,目前也是美國洲際酒店資訊隱私保護部副總裁Lynn Goodendorf說,「不過,那些採用傳統技術標準的人可能高興不起來!那是因為PCI與過去被稱作標準的作法不太一樣。或許你也可以換個名字來稱呼它,但PCI就強化資料安全面來說,的確相當有用!」
公司位於舊金山,主要業務是服務客戶委外的CRM軟體,其Loyalty實驗室的資安長Barak Engel表示,PCI明確具體的作法確實對加密作業有所助益,「如今沒有人不談論資料加密問題,幾乎大家都將加密視為是拯救安全的仙丹妙藥!在產業安全標準當中,對於加密方式的佈署描述,其實已有相當詳盡的解說。」依照許多PCI施行者及觀察家的說法,PCI中所描述的規定類別的自定部份,會衝擊到聯邦政府以往所犯下的缺失。
「多數美國和他國的其他法規都是用一種較寬鬆、概括性的方式寫成,以便可以合乎不同工業和企業規模的使用。」Goodendorf接著說,「不過,這對於要將技術規格導入到技術供應商裡施行,會造成了不小的困難,並且我們對於這樣子的法規遵循,還得懷有高度的信心才行!」
此外,更新標準通常也較修改法律來得容易一些,Goodendorf補充說。
不但如此,PCI標準同樣釐清1999年通過的美國金融服務法案(GLBA, Gramm-Leach-Bliley Act)中所引起的不明確解釋,GLBA是經由立法規定來督促金融業,保險業和其他財務機構保障客戶隱私資訊用的措施。GLBA含糊的字句描述,升高了其他類型企業之間在修正保護客戶金融資訊上的問題層面,這同樣也包含信用卡資料在內,像是關乎這些業者該如何強化資料安全之類的程序問題。
SANS公司的Paller則點明PCI只是一個標準,或者可稱之為規章,是實際滿足不同需要的最低等級程度而已,而其他每個在安全方面的標準,則存在著差異性相當高的程度。
不是人人都認同PCI標準所帶來的效用。年初,Gartner團隊釋出一份針對PCI的評論報告,指出該標準「訂定的範圍太過寬鬆,某些領域描述的太過鉅細靡遺,但其他有些部分又不夠詳盡周到,使得整個標準讓人讀起來如同『最佳安全實施指南』一般。只不過,就保護持卡人資料安全方面的目的來看,PCI還是獲得了正面的評價!」
的確,PCI並不是大小通吃的標準,Engel表示,「每個環境都有它無法預期的狀況發生,但這些事情都需要我們來處理。」
比方說,藉由遵守CISP標準,甚至是之後的PCI標準,Loyalty實驗室可以向它的客戶擔保-像是1-800-FLOWERS這家公司-客戶信用卡資料是安全無虞的,請他們放心地把資料交給我們。不過,接下來的任務還要確認主機代管商是否願意跟我們「玩這場比賽?」並且,在某種程度上同意將Loyalty實驗室的企業網路與其他代管網路作虛擬式隔離。「我們條列出來的要求是有點冗長!」Engel說,不過主機代管商RackSpace幫我們實現了這些項目。
力行與罰則
雖然PCI標準在法律上並沒有所謂的強制力,但Top Layer Network公司的安全策略部主管Adam Hils卻相信,「Visa、MasterCard和Diners Club是真的需要人們信賴PCI標準,要不然,假若有上百萬客戶的資料被盜,事情怪到某人頭上的戲碼還是會繼續上演!」
更進一步地說,Hils補充,達成這些標準要求對商家及企業都算好事,因為保障客戶資料的安全是可以提昇客戶對商家與企業的忠誠度。
就信用卡公會的觀點而言,發行信用卡的銀行是宣傳PCI訊息的關鍵夥伴,這樣一來就能確定商家會採取遵從PCI標準的措施,並執行PCI準則。這就是Visa和American Express所聯合發表的官方聲明。(MasterCard則對此沒有任何評論)「與我們往來的商業銀行實際上就是在作訊息交換!」Visa的Fischer繼續說,「他們掌握與商家之間的脈動關係,並且也會幫忙訓練企業遵從規定,以確保他們能毫無困難地完成這些事情。」
不過,商業銀行在推動先期,可能會覺得萬分痛苦。「但是,如果商家不遵守PCI規範,那我們就只好開罰」Fischer說。
堅定地把商家列入到信用卡銀行的期待之中,首要的第一步,便是「諮詢對象」,American Express的Elliott說,「這些問題可能不外乎是企業不懂PCI裡頭有什麼?到底是用來幹嘛?或者不知道到那找尋相關資源,取得協助。所以,只要一步一腳印慢慢來,就是我們目前所要進行的矯正工作。」Elliott說,至於中止對American Express交易援助是「最後不得已的訴求」。她拒絕談論任何公司目前已經在處理的中止細節。
如同Elliott的態度,Fischer只會說Visa已經中止與企業之間的關係,並且對這些商家祭出金融罰鍰;而一旦徵收這些罰鍰後,我們也期待他們還是要繼續遵守規定!
在CardSystems Solutions發生4,000萬筆信用卡資料外洩之後,Visa於去年便終止了CardSystems Solutions對Visa的交易代理權。但實際上,Pay By Touch公司的業務部總裁Eric Bachman說,即使後來CardSystems Solutions被其他交易處理商Pay By Touch併購之後,Visa也並未完全斬斷它跟CardSystems Solutions的關係。經過那次的資料外洩,「CardSystems Solutions花了數百萬美元修補系統的安全性。」Eric Bachman接著說,「到最後,CardSystems Solutions又重新站起來了,並且也作到Visa和MasterCard所規範的安全性要求!」最末,他補充說,事實上,沒有一家發卡銀行願意看到任何企業因而就這樣子關門大吉。
然而,來自於信用卡公司中止代理權的威脅和金融罰鍰,已經讓各企業老板們突然地注意起來。「發生一件安全事故就得罰上500,000美元,這著實是讓我心驚膽跳!」,美國洲際酒店的Goodendorf說。
除了PCI相關罰則之外,也要極力避免因安全外洩事件造成公司蒙羞的事情發生。就如同在DSW Shoe Warehouse公司身上所上演的情節-駭客同時盜取140萬筆客戶信用卡資料和部分其他機敏性的金融資料。到最後,加州的SB 1386法案就強迫該公司公開加州受到該外洩案影響的居民身份,而其他州政府也利用類似的法案起而效尤。
維持安全平衡
PCI就像是某種平衡器,在各大公司之間的IT人員和適當的執行程序中扮演平衡的功能,甚至對於規模較小,每年處理較少量的信用卡資料的商家們,PCI也是平衡的要角。但是,對層級一的商家來說,要達到驗證規定的要求是嫌硬了點,不過,無論接不接受,所有層級的商家沒有例外,還是必須遵守PCI標準。另外,商家層級是這樣分的:每年信用卡交易處理量在150,000和6,000,000商家,會列為第二級;處理量落在20,000和150,000之間的會是第三級,而剩餘全部則為第四級。
「這項標準引領企業跳脫出陷在傳遞商品和服務上打轉,並且讓它們跟IT安全更加融合在一起。」JupiterResearch的資深分析師Ed Kountz說。每年交易量低於150,000筆的小型規模的公司最有可能拖拖拉拉的配合PCI標準,原因都是持等待觀望的態度,目前擔任位於Ariz的Scottsdale市,且通過Visa PCI標準認證的Chief Security Officer的總裁,同時也是該公司的創始人Russel Rowe如是說。SANS的Paller也同意這樣的看法:「很多人都在等著看,要是不遵守規定會拿他怎麼辦?」Paller接著說,「這就有點像是當初推動HIPAA的情況:『在花時間和精力遵守前,讓我們來瞧瞧到底誰先遭殃?』」
在這種思維之下,反倒是讓Loyalty實驗室的行為顯得有些怪異。Engel除了依照PCI標準制定公司的政策和網路安全外,還有一些作法是自己冒出來的。「打從雇用第一位員工開始,我們就作好身家背景調查,並且也將權責劃分清楚,這些作法在其他一些小公司中是看不到的。」打個比方說,Loyalty實驗室的資料庫管理者,就不被允許將存放中的信用卡卡號解密開來。Engel承認他對制定系統政策樂在其中,但卻非以過時陳舊的想法來符合PCI的規範:這不過再一次的證實,事前預先將安全事務規劃好,真的會比事後再來填補安全漏洞,代價來得低上許多!
安全背後的辛酸
未來,當提及保護客戶的資料安全時,各個公司大概會有更多比PCI,以及政府所條列的法規項目的工作要作吧!
Accor為安全所作的努力,不僅是為了符合PCI標準和現存的法規條文,同樣也是在等待國會立法通過制定這些法律。
舉例來講,HR 3140就是由眾議員Melissa Bean於去年所推動的,這個法案因財經事務議題被送到眾議院待審,部份內容是金融機構所需要的「機敏性客戶隱私資料」的保護,並提及到資料代管商和其他企業組織應該提醒客戶防範資料外洩等情事。而在參議院當中,Sens.Dianne Feinstein和Bill Nelson也已經在推動這些相關法案,以提醒客戶是否有機敏性資料外洩等情況發生。建議推動的法案還包含保護客戶的信用卡資料,雖然沒有成功!
「我們還未見到聯邦政府或州政府立法對於保護客戶資料採取任何行動,如今,對民間企業而言,用我們合乎安全標準-像是PCI-的方式預先防範災害發生,是益發顯得重要許多。這些標準,我相信,在未來是會引領整個安全產業的走向。」Accor的Ewing說。然而,相較於有如「老牛拖車」般的緩慢立法程序,許多處理信用卡資料的機構和推出保障資料安全產品的供應商,均希望PCI能搶先在其他立法之前有所作為-起碼是暫時性的。Jupiter的Kountz也說,「我真的有一種感覺,州政府和聯邦政府可以將一件很簡單的事搞得很複雜,然後這事卻都交由其他人去想盡辦法解決!」
亞特蘭大鹽湖城一家軟體公司的資深的產品經理人Howie Hecht深信立法推動對產業安全的保護是件好事,他說,「只要立法者實際地跟業界接觸過,並提出好的法規。最好能和SANS或國家標準技術局(NIST,National Institute of Standards and Technology)合作,真正訂立出符合現行真實世界所需要的法案。」
Amy Rogers Nazarov是來自於華盛頓哥倫比亞特區的自由作家。