支付卡數(shù)據(jù)安全措施中的不足是造成企業(yè)未能通過(guò)支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）評(píng)估的主要因素之一。通常一些被禁止的數(shù)據(jù)，如CVV2帳戶安全密碼或個(gè)人識(shí)別碼（PIN），仍然被保留了下來(lái)（PCI DSS嚴(yán)禁保留這些數(shù)據(jù)），或者在沒(méi)有充足的安全保障的情況下對(duì)原始帳戶號(hào)碼（PAN）進(jìn)行了存儲(chǔ)。和一些相對(duì)簡(jiǎn)單的網(wǎng)絡(luò)安全措施相比，在安全數(shù)據(jù)存儲(chǔ)方面，PCI DSS給許多商家都提出了極具挑戰(zhàn)性的問(wèn)題。

不了解支付安全的人往往只會(huì)采取普遍適用的措施（如“使用加密技術(shù)”），卻完全不考慮全球分布式支付環(huán)境的極端復(fù)雜性。同時(shí)，安全評(píng)估機(jī)構(gòu)（QSA:Qualified Security Assessor）報(bào)道的多起案例表明，持卡人龐大的未加密數(shù)據(jù)被存儲(chǔ)在了商家的Web服務(wù)器上，全世界的人都能看到這些數(shù)據(jù)。

在本文中，通過(guò)簡(jiǎn)化企業(yè)數(shù)據(jù)存儲(chǔ)措施和縮小PCI DSS評(píng)估范圍，我們提供了一些具有建設(shè)性的意見(jiàn)來(lái)幫助企業(yè)簡(jiǎn)化評(píng)估程序。

首先，人們對(duì)PCI DSS普遍存在一種誤解，認(rèn)為它是為了保障支付數(shù)據(jù)安全制定的標(biāo)準(zhǔn)。而實(shí)際上，該標(biāo)準(zhǔn)的制定是為了降低支付卡交易過(guò)程中的風(fēng)險(xiǎn)。二者之間細(xì)微的差別在于，不用實(shí)施復(fù)雜的數(shù)據(jù)安全周期，或者購(gòu)買(mǎi)昂貴工具（會(huì)產(chǎn)生大量的管理費(fèi)用），用戶就可以切實(shí)地降低交易風(fēng)險(xiǎn)。

因此，解決問(wèn)題的辦法往往是刪除數(shù)據(jù)而并不是加密數(shù)據(jù)。Visa在目前由自己所倡導(dǎo)的方案中就力薦這個(gè)方法：刪除數(shù)據(jù)。在布蘭登•威廉斯（Branden Williams）和我合著的《PCI DSS規(guī)則遵從書(shū)》（The PCI DSS Compliance Book）一書(shū)中，數(shù)據(jù)安全性一章的開(kāi)頭是這樣寫(xiě)的：“在開(kāi)始討論數(shù)據(jù)保護(hù)方法之前，我們需要提醒讀者的是‘只有死了的數(shù)據(jù)才是最安全的數(shù)據(jù)’，這句話除了比較幽默以外，也告誡用戶刪除數(shù)據(jù)或其它不再操作數(shù)據(jù)的方法才是使PCI DSS合規(guī)變得更容易的最好方法，這樣還可以降低交易風(fēng)險(xiǎn)、減少責(zé)任、減小罰款和違規(guī)損失的可能性?！?/P>

數(shù)據(jù)銷(xiāo)毀背后的道理很簡(jiǎn)單：當(dāng)今的安全技術(shù)非常復(fù)雜，常常需要進(jìn)行維護(hù)（如，需要每日審查或安全監(jiān)控），況且采用的技術(shù)可能一點(diǎn)也不可靠（“基于簽名”的反病毒檢測(cè)技術(shù)，只能檢測(cè)到一小部分攻擊）。因此，花大力氣保護(hù)數(shù)據(jù)卻沒(méi)什么效果的方法與確保數(shù)據(jù)無(wú)法進(jìn)入工作環(huán)境的方法相比，著實(shí)是一個(gè)下策。顯然，這并不適用于保護(hù)公司的知識(shí)產(chǎn)權(quán)（IP）和其他保密信息，但卻適用于支付數(shù)據(jù)。畢竟，我們都同意一點(diǎn)，就是銀行更適于存儲(chǔ)大量的數(shù)據(jù)，因?yàn)槲覀冏约旱墓静](méi)有存儲(chǔ)數(shù)百萬(wàn)美元。同樣，在未來(lái)，公司不存儲(chǔ)卡數(shù)據(jù)也會(huì)成為一個(gè)明顯的趨勢(shì)。

但是，刪除數(shù)據(jù)僅僅是開(kāi)始。使PCI DSS評(píng)估變得更加順利的另一個(gè)關(guān)鍵策略是縮小評(píng)估范圍。由于PCI評(píng)估的復(fù)雜性直接決定了評(píng)估的范圍（PCI決定了持卡人數(shù)據(jù)環(huán)境的大小，從而決定了在評(píng)估中必須包括的審計(jì)的系統(tǒng)數(shù)量），因此縮小評(píng)估范圍將對(duì)評(píng)估過(guò)程產(chǎn)生直接影響。這是為什么呢？讓QSA調(diào)查一下持卡人環(huán)境中的1萬(wàn)個(gè)系統(tǒng)（如果一個(gè)企業(yè)的網(wǎng)絡(luò)是平面的，并且持卡人數(shù)據(jù)又沒(méi)有與余下部分的網(wǎng)絡(luò)分割開(kāi)來(lái)）和只調(diào)查10個(gè)系統(tǒng)，產(chǎn)生的差別是很大的，能對(duì)評(píng)估成功的可能性造成巨大影響。

因此，在評(píng)估前，可通過(guò)QSA進(jìn)行現(xiàn)場(chǎng)評(píng)估或SAQ自我評(píng)估，我力薦以下方法：

◆通過(guò)計(jì)算傳輸、存儲(chǔ)或處理持卡人數(shù)據(jù)的所有系統(tǒng)來(lái)估計(jì)PCI的評(píng)估范圍。在此提醒您，除了交易服務(wù)器和網(wǎng)關(guān)，通過(guò)了未加密卡數(shù)據(jù)流量的網(wǎng)絡(luò)設(shè)備也包含在評(píng)估范圍之內(nèi)。

◆可以試著預(yù)測(cè)一下，在未經(jīng)許可的情況下，持卡人數(shù)據(jù)會(huì)存儲(chǔ)在您公司的哪些地方。一般易被人們忽略的數(shù)據(jù)存儲(chǔ)地是開(kāi)發(fā)商環(huán)境或?qū)儆谄渌麡I(yè)務(wù)部門(mén)（如營(yíng)銷(xiāo)部門(mén)）的服務(wù)器。如果每一個(gè)開(kāi)發(fā)商工作站由于使用真正的卡數(shù)據(jù)進(jìn)行系統(tǒng)測(cè)試（順便說(shuō)一下，這種做法在PCI DSS中是被明令禁止的。）而成了“范圍”的一部分，那么范圍在逐漸發(fā)生變化的確非常危險(xiǎn)。

◆下一步，根據(jù)評(píng)估范圍和手頭有的資料，按敏感的數(shù)據(jù)量對(duì)系統(tǒng)進(jìn)行排名。

◆仔細(xì)研究排名后的列表，并試著弄明白你的企業(yè)流程如何改變才能避免數(shù)據(jù)存儲(chǔ)，或者在少存儲(chǔ)數(shù)據(jù)的情況下如何經(jīng)營(yíng)企業(yè)。這是最關(guān)鍵的一步，任何可以被刪除（或者一開(kāi)始就沒(méi)有存儲(chǔ)過(guò)）的數(shù)據(jù)都有助于縮小評(píng)估范圍，從而使評(píng)估過(guò)程更加容易。

◆然后，檢查一下不能刪除的數(shù)據(jù)，已決定是否能以一個(gè)較短的周期進(jìn)行存儲(chǔ)。這樣可以降低歷史數(shù)據(jù)遭到損害的風(fēng)險(xiǎn)。

◆考慮使用現(xiàn)代方法保護(hù)數(shù)據(jù)（如標(biāo)記化），把數(shù)據(jù)用一串無(wú)關(guān)緊要的符號(hào)來(lái)代替，這樣可以避免儲(chǔ)存數(shù)據(jù)。

◆最后，逐步檢查支付的過(guò)程，從而確定哪些部分可以外包給安全支付供應(yīng)商，這種關(guān)系有助于降低風(fēng)險(xiǎn)、縮小PCI的評(píng)估范圍。實(shí)際上，信息安全將永遠(yuǎn)不會(huì)成為大多數(shù)商家的核心競(jìng)爭(zhēng)力。因此，與服務(wù)供應(yīng)商建立關(guān)系，比審計(jì)跨站點(diǎn)腳本攻擊或?yàn)榘踩畔⒑褪录芾恚⊿IEM）產(chǎn)品編寫(xiě)的相關(guān)規(guī)則更加簡(jiǎn)單。
　　
只有經(jīng)過(guò)上述步驟，你才可以考慮使用各種額外的技術(shù)保障措施，如強(qiáng)訪問(wèn)控制和加密技術(shù)等，來(lái)保護(hù)剩下的數(shù)據(jù)。很可能需要將強(qiáng)訪問(wèn)控制和數(shù)據(jù)加密技術(shù)結(jié)合起來(lái)保護(hù)您的環(huán)境?？蛇x的加密技術(shù)有：磁盤(pán)加密、文件加密（為了保護(hù)存儲(chǔ)的flat-file數(shù)據(jù)）和數(shù)據(jù)庫(kù)加密（為了保護(hù)持卡人數(shù)據(jù)庫(kù)）。后者可以進(jìn)一步分為多種方法來(lái)加密數(shù)據(jù)庫(kù)中的記錄。

在信息技術(shù)領(lǐng)域有一句常見(jiàn)格言：“加密很容易，密鑰管理卻很難”。這就是PCI DSS在密匙管理方面制定了那么多條規(guī)則的原因。具體來(lái)說(shuō)，要求3.5（“保護(hù)好用于加密持卡人數(shù)據(jù)的加密密鑰以防止信息泄露和濫用”）和要求3.6（“全面記錄和執(zhí)行所有用于加密持卡人數(shù)據(jù)的密鑰管理流程”）。這些要求又都具有多個(gè)子要求，如3.5.2（“以盡可能少的地點(diǎn)和形式安全存儲(chǔ)密鑰”）和3.6.6（“分割內(nèi)容和設(shè)立加密密鑰的雙重控制”）。

一定要避免常見(jiàn)的加密失誤，如我在有關(guān)技術(shù)文件中提及的《加密的五大誤區(qū)》，如把加密密鑰與加密數(shù)據(jù)存儲(chǔ)在同一個(gè)數(shù)據(jù)庫(kù)中，或者在程序代碼中嵌入硬編碼固定密碼。

結(jié)論

一想到簡(jiǎn)化PCI評(píng)估流程、降低支付卡的交易風(fēng)險(xiǎn)，首先要著眼于通過(guò)數(shù)據(jù)刪除來(lái)縮小范圍，然后再采取保護(hù)措施。

具體來(lái)說(shuō)就是，將更復(fù)雜的安全保障（如，數(shù)據(jù)加密）放到最后去處理。雖然有些人擔(dān)心外包會(huì)有什么風(fēng)險(xiǎn)，但對(duì)一些商家而言，將數(shù)據(jù)外包給安全支付供應(yīng)商，確保了商家和客戶的數(shù)據(jù)得到更好的保護(hù)。至少這可以對(duì)最近的“清除數(shù)據(jù)”方法（如標(biāo)記化）進(jìn)行審查。

【編輯推薦】

1. 快錢(qián)完成atsec針對(duì)PCI DSS合規(guī)性評(píng)估
2. 搜索結(jié)果如何從WEP轉(zhuǎn)變到WPA 滿足PCI DSS遵從規(guī)則