PCISSC10週年：看支付卡行業資料安全標準的成功與挑戰

2016年9月，支付卡行業安全標準委員會( PCI SSC )迎來10週年紀念。這個由主流信用卡品牌建立的組織，成立目的就是為強化支付卡資訊的安全保護。PCI SSC 管理著支付卡行業資料安全標準( PCI DSS )，也就是任何儲存、處理或傳輸支付卡資訊的組織都必須遵守的要求。PCI SSC 一直基於最新威脅和企業環境中不斷增加的複雜性，持續修訂 PCI DSS 。

適逢 PCI SSC 里程碑式的10週年之際，探討一下這一標準的成功之處和所遭遇的問題，或許會帶來一定的啟發作用。沒有哪個標準能毫髮無損地通過行業審查；事實上，標準幾乎總是落後於創新。然而，PCI DSS 卻是極少見的，超前於潮流的標準之一。

要讓一個行業能夠評估自身狀況，一個可供做出判斷的客觀基準是必須的。PCI DSS 就設定了那個基準。

PCI DSS 為尋求保護客戶支付卡資訊的公司提供了有效的起始點。發現支付卡資料儲存地、鎖定可能造成洩露的漏洞、修復這些漏洞並告知相關銀行和信用卡商的過程，是強力資訊保安專案的一個基本方面。

PCI SSC 經常更新 PCI DSS 以便企業可以領先最新威脅一步，在他們的業務環境越來越複雜的情況下，也能更好地保護客戶的支付卡資料。自2006年 PCI DSS 第一版釋出以來，PCI SSC 已對該標準更新了7次。頻繁的改變，對緊跟技術和業務環境的發展而言十分必要。但是，它同時也提出了重大挑戰，尤其是對勉力跟上的小商戶而言。

PCI DSS 要求企業進行季度漏洞掃描，並向審計者報告修復情況。而且這些掃描是不算在年度 PCI DSS 全面評估當中的。無論有沒有這些要求，企業都應該持續遵循最佳實踐。對那些不這麼做的企業來說，至少客戶能夠確保每年有幾次會有最低限度的注意力投放到發現和修復漏洞上。

成功之處：檢查薄弱環節
最新一版的 PCI DSS 3.2，新增了對第三方服務提供商的要求。正如過去幾年激增的重大資料洩露事件表露出來的，第三方一直是資訊保安中的薄弱環節。PCI DSS 3.2 要求服務提供商進行季度審查，確保人員遵從安全策略和操作規程。提供商還被要求至少每半年對分段控制進行滲透測試。

挑戰：常被視為走過場
太多公司將 PCI DSS 合規視為一路打勾下去的走過場，而不是實踐良好的整體網路安全。企業應從基於風險的視角看待網路安全，讓網路風險管理享受到與其他操作性風險同等的持續性優先對待。

挑戰：大企業很難保持領先
有分散式遺留環境(比如在上百個商場的自營終端上部署的多代銷售終端系統)的大型企業，在保持對不斷變化的 PCI DSS 的合規上舉步維艱。只要標準進行了更新，企業就得努力確保他們的技術和安全控制也更新到合規的程度，而當企業環境遍佈全球時，這項工作推行起來就十分棘手了。如果企業從一開始就實現強力網路安全防護，那他們就能在 PCI DSS 合規工作中領先一步。

挑戰：必須用自動化替代人工過程
對很多公司而言，季度和年度合規報告，是一項耗時耗力的手工工作，要將資料抽取到一連串的電子表格中呈現給審計者看。人工將網路風險資訊編譯進各種各樣的電子表格，是一項恐怖的、分散精力的、資源密集型的任務，往往迫使安全團隊將視線從安全防護上調離開來。網路風險報告必須自動化，不僅僅是為了 PCI DSS 審計，更重要的，是讓安全高管、業務線應用程式所有者，以及董事會，能夠理解安全團隊在保護公司資產上所做的努力。

挑戰：錯誤和偏差不可避免地進入到了過程中
除了人工編譯 PCI DSS 合規報告的精力消耗，錯誤和偏差也會不可避免地混入到資料中。某些情況下，企業沒時間收集資料，於是就使用了以前報告中的過時資訊。人工企業採用了自動化收集、分析和報告網路風險資訊的做法，那麼所有利益相關者就能工作在同步的資料集上了。

挑戰：企業內部過程協調的必要性
PCI DSS 合規過程需要在合規、安全、IT和業務線應用程式所有者之間進行協調。然而，這幾方往往是各自為戰，造成四處滅火和垂死掙扎的窘狀。為保持領先，業務線應用程式所有者應該成為程式和資料防衛戰中不可或缺的一部分，而不僅僅是流程末端無足輕重的一個簽名。

本文轉自d1net（轉載）