零售商和在線商店是黑客最喜歡的目標。 而且有很好的理由。 因為成功突破支付卡系統可以為他們帶來巨大的財務收益。 然而,儘管存在風險,商家仍在努力滿足支付卡安全的要求—根據2020 年 Verizon 支付安全報告,目前只有27.9%的組織能夠與支付卡產業保持完全合規資料安全標準 (PCI DSS) 。與此同時,隨著消費者的偏好持續改變,卡片和非接觸式支付的數量繼續上升,因此消費者偏好改變成塑料、手機錢包和網上購物。
不僅如此,零售業也正處於數位革命的陣痛之中,因為他們將應用程式從靜態的本地硬體遷移到複雜、可擴展和彈性的基於雲端的基礎設施。這些新的動態運算環境要求將重點從傳統的網路安全方法轉向個人工作負載保護、應用程式開發界面安全性和組態管理。
本文討論 PCI-DSS 的合規性要求以及它們對現代混合雲端和多雲端環境中託管的支付卡系統的影響。所以讓我們開始。
PCI-DSS 是一種信息處理標準,提供了一種框架,用於保護支付卡交易和持卡人詳細信息免受欺詐者的侵害。
它指定了您必須採取一組基準措施,以幫助最大限度地減少持卡人數據破壞的風險。
該標準適用於接受或處理卡付款的任何企業或組織。 因此,它主要影響零售業務以及提供用於處理交易的軟件或硬件的任何公司。
它與數據隱私法(例如一般數據保護規例(GDPR)等數據隱私法律顯著不同,這也影響零售和電子商務行業。
例如,PCI-DSS 是以安全為導向的標準。 相比之下,安全性只是資料保護法規的一部分,其中也涵蓋隱私權方面,例如網站上的隱私聲明、同意將客戶詳細資料添加到郵件列表中的同意,以及消費者的訪問權請求。
PCI-DSS 也是由支付卡產業安全標準委員會 (PCI SSC) 開發的,該委員會是一個由商業支付網路處理器組成的管理組織。但是,數據隱私法是由州、國家或國際層面的政府機構管理。
PCI-DSS 規定了不同的合規途徑,每種途徑都對應於四個不同合規等級之一。您每年處理的交易數量決定了您自己的特定合規等級。
支付卡公司可自行決定對不符合 PCI-DSS 的行為處以罰款。此外,違反 PCI-DSS 也可能構成違反適用的隱私法例,例如 GDPR 或加州消費者隱私法案(CCPA)。 還有潛在的州法律,例如明尼蘇達州的塑料卡安全法。
因此,在違反的情況下,您可能會受到許多不同的財務罰款和制裁。
PCI-DSS 合規性規定如下十二項技術和操作要求。
防火牆是您的第一道防線,可根據一組預先設定的規則防止潛在的惡意流量進入您的網路。
然而,傳統的基於邊界的防火牆已不足以保護您的雲端資產,因為您的使用者和內部網路之間沒有明確的邊界。
為了解決這個問題,您需要一個雲端防火牆。它的工作原理與傳統防火牆非常相似,但專門適應了雲端的分散式特性,其中應用程式被分解為分散在網路環境中的離散組件。
路由器、POS 系統和相關元件的供應商為其設備提供默認的用戶名,密碼和配置,以使安裝和設置盡可能快速和簡單。
這使網絡犯罪分子成為輕鬆的目標。
這些工廠設置很容易被詐欺者利用,他們利用這些設定來存取內部網路並竊取持卡人資料。因此,只需使用您自己獨特的登錄憑據和配置來幫助防止黑客進入侵。
另外,請注意使用其他預設配置,例如訪問權限。 CloudSecOps 團隊需要確保他們的應用程式和雲端工作負載不會過於寬鬆,並且只提供對敏感資源的必要存取級別,以減少攻擊面。
保護持卡人信息的最佳方法只是避免完全存儲它。 但是,如果您出於商業或法律目的需要它,則應採取措施使其無法讀取。
實現這一目標的最常見和實用的方法是加密您的數據。 為了符合 PCI-DSS,任何此類加密都必須使用業界標準AES-256 演算法。
但請記住,您的數據僅與您用來加密的密鑰一樣安全。 因此,您還需要使用有效的金鑰管理系統來保護您的加密金鑰。
此外,一定要清楚瞭解您要儲存哪些持卡人資料,通常是透過使用資料探索工具和資料資產清單。
確保正確配置每個雲端和本地環境,以使用傳輸層安全性 (TLS)加密持卡人數據,資料在支付卡生態系統的不同部分之間透過網路移動。考慮投資針對公有和混合雲端的全面雲端網路安全解決方案
另請記住,透過行動裝置進行的支付尤其面臨風險。因此,請確保每個無線網路都使用強密碼和最新的可用無線網路安全協定。
您的防毒 (AV) 軟體應該能夠保護所有託管支付卡系統的環境(跨混合雲端或多雲端基礎架構)。
但是要注意 AV 軟件的限制也很重要。
新的、更複雜的威脅類型已經發展到針對基於雲端的部署。因此,您現在需要更廣泛的安全方法來保護持卡人詳細信息,例如雲端資安態勢管理 (CSPM)和雲端工作負載保護。
要求 6 的目的是確保您將安全性建置到應用程式開發和生命週期流程中。這包括透過培訓、指南和清單以及對任何內部或自訂應用程式程式碼的定期審查來支援安全編碼實踐。
它還涵蓋修補程式管理,其中 PCI-DSS 的規定規定您必須在發布後一個月內安裝第三方軟體的關鍵修補程式以保持合規性。
您應該將可以訪問持卡人詳細信息的人數限制在最低限度,只允許有合法業務需要的人進行這樣做。
做到這一點的最實用方法是實施基於角色的訪問控制(RBAC)系統,該系統應該根據最低權限原則授予敏感資源(例如持卡人數據)的訪問權限。
系統的每個授權使用者都應具有唯一的 ID 和密碼。 這可確保您隨時知道任何訪問持卡人數據的人的身份。
另請記住,PCI-DSS 現在只允許具有管理權限的使用者使用雙因素驗證 (2FA) 遠端存取。
當您在公有雲端託管應用程式時,您將伺服器實體安全的責任轉移給了雲端服務提供者。但是,您仍然有責任確保端點裝置的實體安全。
因此,您應該採取措施,透過視訊監控、安全政策和程序、員工培訓、基於時間的鎖定控制以及確保螢幕遠離公眾視線等措施,幫助防止未經授權的存取支付裝置和工作站。
記錄和監控支付卡系統的訪問權限將幫助您發現可疑活動的早期跡象,並在發生問題時向您提供警報和見解。
這個領域的需求已從簡單的可見性轉化為可觀察性,不僅可以保持所有卡片處理元件的可見性,而且還可以快速識別和解決任何問題。 為了實現這一目標,您可能需要尋找新一代監控工具,以提供跨混合雲端和多雲端基礎架構的集中可見性。
為了補充其他安全措施,例如 AV 掃描和修補程序管理,您應定期檢查您的支付卡系統是否足夠強大,以承受潛在威脅
這將涉及自動化工具,例如脆弱性掃描和手動方法,例如滲透測試。其他測試程序應包括定期檢查讀卡器的掃描軟件和程序以識別未經授權的無線存取點。 如有必要,您應採取相應的補救措施。
資訊安全政策的文件充分記錄,將有助於提高員工對持卡人資料的風險的認識,以及他們對保護資料的責任。
相關政策和程序也應納入員工手冊、第三方供應商協議、風險評估和事件應變計劃中。
PCI-DSS 合規性對於任何接受卡片支付的組織來說都是必要的。但是,雖然它表明您已滿足處理持卡人數據的基本要求,但它並不一定保證完全保護。
此外,數位轉型和雲端遷移已經改變了安全目標。因此,您需要遠離打框練習和傳統的安全方法。
這就需要新的解決方案來適應混合雲端和多雲端部署的複雜性和動態性。
例如,您應該考慮雲端工作負載保護平台 (CWPP) ,它可以保護單一應用程式以及支援它們的流程和資源。您應該使用雲端資安狀態管理 (CSPM)解決方案來補充這一點,該解決方案可以根據最佳實踐和合規性要求持續監控和基準測試配置來識別安全風險。
您還應該透過提供雲端網路安全功能的解決方案來保護持卡人免受當今日益複雜的新威脅。
最重要的是,您應該尋找能夠提供持續保護的工具,而不是僅僅實現每年一次的合規性,並透過單一管理平台實現支付卡系統所有元件的統一可見性。
反映意見