PCI SSC 2013 社区会议纪要

我在九月份有幸参加了于拉斯维加斯召开的 PCI 安全标准委员会社区会议，参与了对 PCI DSS v3.0(“草案 3.0”) 修改的讨论及评审。PCI DSS v2.0 版是在 2010 年十月发布的，召开 PCI 社区会议是为了让评审人员和参与企业有机会讨论 PCI DSS 从 2.0 版到 3.0 版所做的修改。我们还跟来自 PCI 安全标准委员会（以下简称委员会）及主要支付卡品牌（Visa、MasterCard、美国运通、Discover、 JCB）的代表进行了问答和一对一访谈活动。我想在这篇文章中跟大家分享 PCI DSS v3.0 草案中的几个关键要点，以及对支付卡行业内的发展趋势及信息安全的总体状态的一些认识。

行业趋势

内部人士依然是高影响性数据泄漏的头号威胁。然而与黑客攻击有关的数据泄漏自去年以来也有显著增长，达到了 75%。黑客在世界上的某些地域寻找安全的避风港，在某些地区，只要遵守一些规则，他们的攻击行为就不会受到惩罚。比如俄罗斯的黑客，只要他们不攻击俄罗斯的目标，并能响应俄罗斯情报部门的请求攻击优先目标，就可以从俄罗斯情报部门得到自由通行的许可。

支付应用的内存空间当前正遭受攻击的威胁。黑客可以设计出监测目标支付应用程序内存空间的工具，当信用卡号被传入内存时，赶在被加密之前捕获它们。草案 3.0 中规范了保护内存中信用卡号和敏感认证数据的安全编码和应用程序开发的要求。

EMV（通常称为“芯片和 PIN 码”）标准有望于 2014 年由美国 EMV 标准的 EMV 迁移论坛完成。芯片和 PIN 码交易增加了持卡交易或个人交易的安全性。美国的持卡人可能会在 2014 年初见到采用新 EMV 标准的新卡。EMV 标准应该也会包含近场通讯（NFC）交易的相关标准，会影响到移动电话上的交易。

PCI 业内专家的关注点

在报告的数据泄漏案例中只有 1% 是靠日志分析检测出来的。但这并不是说日志分析不管用。相反，这表明需要在日志分析能力和训练上认真投入。仅仅一个集中式的日志方案或 SIEM（安全信息及事件管理）系统并不能保证数据泄漏会被检测出来。

不受支持的操作系统是个大问题，特别是在微软到 2014 年就不再支持 Windows XP 系统的情况下。也就是说微软不会再为 Windows XP 发布安全升级和补丁。委员会建议修补、更换、升级或切换到受支持的操作系统。除非有显著的补偿控制和系统隔离措施，否则在持卡人环境中存有微软 Windows XP 系统很可能会导致安全及合规性问题。升级或切换到其他操作系统可能要投入大量的人力物力，所以业内企业应该在他们的 IT 战略和预算规划会议上研究这些问题。

平板和移动设备是一个新兴的威胁。企业应该有计划地加强接入有硬性标准系统的平板和移动设备的安全性，特别是在将平板和移动设备作为支付设备时。3.0 草案中没有任何专门针对平板和移动设备的新要求。

3.0 草案中的重要变化

3.0 草案中有很多 PCI 行业内的企业应该在自己的 IT 战略与规划会议上研究的变化。我认为下面这些是企业目前应该研究规划的几个重点。

委员会阐明任何能够对持卡人环境的安全产生影响的系统都应该纳入考虑范围之内。像认证、防病毒、文件完整性监测之类的系统都可能在持卡人环境之外的网络区域内。这些系统的所有相关需求也必须考虑，因为它们能够影响持卡人环境的安全性。PCI 企业仍旧要对网络边界的设置和持卡人环境的定义负责，而评审人员仍旧是对环境范围的有效性负责。

委员会一再强调网络分区有效性的重要程度。分区是一项限制网络边界以降低网络环境和 PCI 审计范围内系统数量的措施。在 PCI DSS v3.0 中，分区被用来缩小持卡人环境的范围，限制其网络边界，还需要通过渗透测试来检查网络边界的有效性。也就是说渗透测试不仅要包括持卡人环境内部的网络，还要从对持卡人环境内部网络区域有利的角度来检查外部网络。

委员会建议企业进行更加频繁和深入的渗透测试。其中一条加深渗透测试的建议是把社会工程方面的测试纳入渗透测试方法中。3.0 草案中仍建议每年至少进行一次渗透测试，这一频度没有变化。但将要求企业于 2015 年 7 月开始制定和遵循业界公认的渗透测试方法。

3.0 草案现在还在常规业务（BAU）一节包含了附加指导。企业应该考虑把这些活动纳入到总体信息安全计划中，以加强跟持卡人环境相关的安全态势和信息安全过程。

总结

3.0 草案中的变化是要着眼于 PCI 行业内当前的趋势和安全问题。信用卡仍是犯罪分子为经济利益犯罪的目标，甚至比以往更甚。在 3.0 草案中，为信用卡数据安全性负责的企业得到了更多的指导和指示。但这些指导和指示也让企业承担了比以往更多的任务。企业当前所面临的挑战不仅仅是满足合规性需求，而是要真正解决影响持卡人数据的安全问题。

PCI DSS v3.0 的最终版计划于 2013 年 11 月 7 日发布。

关于作者

Eric Sampson 是 BrightLine 的一名高级助理和 QSA 带头人，他主要负责美国西部的 PCI 验证、EI3PA、 SSAE 16 和 SOC 委聘。Eric 一直专注于行业及法规标准的安全及保密性评估，比如 ISO 17799、HIPAA、 GLBA、 PCI DSS 和 US 联邦、州际及国际隐私法。 Eric 还擅长渗透测试和漏洞扫描。Eric 还做过 Sarbanes-Oxley (SOX) 相关的评估。 Eric 为来自各行业的 100 强和 500 强客户做过很多专业服务委聘，他的客户所在的行业包括云服务提供商、技术、电信、金融服务、健康护理和信息服务。

原文英文链接： PCI SSC 2013 Community Meeting Takeaways

感谢侯伯薇对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ）或者腾讯微博（ @InfoQ ）关注我们，并与我们的编辑和其他读者朋友交流。