到目前為止，大多數(shù)安全人士可能已經(jīng)意識到完全遵從支付卡行業(yè)數(shù)據(jù)安全標準（PCI DSS）將會在技術方面和操作層面上遇到極大的挑戰(zhàn)。

因為達成和驗證法規(guī)遵從需要大量的費用和努力，許多貿(mào)易商和服務提供商通過限制在機構(gòu)內(nèi)部存儲、處理或傳輸持卡人數(shù)據(jù)的范圍來設法限定PCI DSS法規(guī)遵從的范疇。像直接把持卡人數(shù)據(jù)轉(zhuǎn)交給收單銀行（從而使得貿(mào)易商環(huán)境中涉及數(shù)據(jù)處理的范圍最小化）或者利用標記化技術（替代主帳戶號或帶有保密處理數(shù)值的“PAN”）的策略能幫助持卡人數(shù)據(jù)遠離網(wǎng)絡環(huán)境。這限定了需要控制的范圍并減少了那些被要求實施年度審計的公司的審計面。

不管怎么樣，那只是理論

但是就像經(jīng)常引用的理論一樣——黃蜂從空氣動力學來講是無法飛行的，有時理論上成立的事，在實踐中的并不一定成立。就拿PCI DSS來說，這個差距能讓企業(yè)處于風險之中， PCI DSS評估的結(jié)果發(fā)現(xiàn)信用卡數(shù)據(jù)常常位于不安全的網(wǎng)絡中。在網(wǎng)絡中的信用卡數(shù)據(jù)沒有文檔記載或受到正確防護，這不僅對組織來說不好，對于網(wǎng)絡安全團隊也無益。在本文中，我們將討論這種情況發(fā)生的原因，并提供一個簡化的PCI合規(guī)網(wǎng)絡檢測檢查列表來辨識信用卡數(shù)據(jù)。

墨菲定律：什么會出差錯

在實踐中，操作上的失誤可能會造成持卡人數(shù)據(jù)被無意泄漏到網(wǎng)絡上，這種情況是很多的。這些問題的出現(xiàn)是因為員工沒有遵守已定義好的業(yè)務流程，因為合規(guī)策略沒有解決那些“不引人注目”的情況，還有就是在處理支付事務的技術組件中的錯誤。

到目前為止與人員相關的最常見的情形是：個別員工無意地把持卡人數(shù)據(jù)帶入到網(wǎng)絡環(huán)境。在***線處理客戶支付的人員（例如幫助客戶的客服人員）甚至可能不知道PCI DSS是什么，更別提理解通過減少/消除持卡人數(shù)據(jù)出現(xiàn)在環(huán)境中來限定PCI DSS范圍的重要性了。當一個這樣的員工收到客戶的某些請求時，例如，就錯誤的收費表示爭議或希望跨多個信用卡完成交易，原本打算限定范圍的員工可能會以違反策略的方式處理請求。某人可能會匆忙記下信用卡號、過期時間或CVV，并隨后把這些數(shù)值寄給主管，或者把它們添加到調(diào)用日志應用的注釋字段。

另一種情況是由于偶然地忽視組織內(nèi)的一個或多個支付“渠道”而導致問題的出現(xiàn)。例如，一個大型在線零售商可能會花費幾百萬來實施標記化以便限制客戶提交的數(shù)據(jù)（目前為止***的風險），但是自助餐廳或停車場該怎么辦呢？那些看起來小的問題可能會避開監(jiān)督，要么是因為同另一個收單方和處理者的不同尋常的關系，或者是因為在開始的規(guī)劃中沒有加以考慮。

***，技術上的問題同樣能造成數(shù)據(jù)流入到網(wǎng)絡環(huán)境中。在調(diào)查操作上的問題時可能會留下調(diào)試和錯誤日志，常常會記錄在線的PAN或者其它持卡人數(shù)據(jù)。

因此，我們需要意識到在很多情形下實際操作方面的深思熟慮比起我們***的計劃能搶先一步來防止信用卡數(shù)據(jù)穿越網(wǎng)絡，那么能做什么呢？

***步是組織內(nèi)的合規(guī)意識培訓，并且安全團隊需要知道這些問題。在滿足合規(guī)的過程中對這些問題進行監(jiān)督有助于每個利益相關者，如網(wǎng)絡安全管理員保持對這些事情的警覺性。但是還有一些策略可以用來發(fā)現(xiàn)和消除這些狀況以便減少合規(guī)面。

首要的是，使用自動數(shù)據(jù)發(fā)現(xiàn)工具是有幫助的。即使你發(fā)現(xiàn)的比你預期的多很多，花費一些時間來驗證理論是值得的，而不是隨后驚訝于意料之外的數(shù)據(jù)。如果你的企業(yè)已經(jīng)部署了數(shù)據(jù)防泄漏（DLP）產(chǎn)品，你已經(jīng)領先了一步：簡單地開啟產(chǎn)品的發(fā)現(xiàn)功能來定位持卡人數(shù)據(jù)。如果你沒有這樣的工具，考慮使用像ccsrch這樣的開源工具來尋找。當你找到一個或多個關注點時，你要糾正問題并進行根源分析以防止再次發(fā)生。

同樣對于處于網(wǎng)絡中的我們來說，維護一個系統(tǒng)及過程的列表或清單也是有幫助的。它們有專門的用途如涉及到存儲、處理或傳輸信用卡數(shù)據(jù)，從這里你能發(fā)現(xiàn)信用卡數(shù)據(jù)。從記錄下完成這些功能的所有系統(tǒng)和過程開始。當你讓某些系統(tǒng)“退役”時，從列表中去掉它們以保持內(nèi)容***。當你檢查數(shù)據(jù)發(fā)現(xiàn)過程時，添加你新發(fā)現(xiàn)的到清單中。PCI DSS要求你維護這個清單并記載你的數(shù)據(jù)流的文檔，這樣可以讓你的審計或自評估的過程流水化。但是當你建造它時，對于CDE真實的范圍有一個全面的了解會有幫助，而不僅是理論上你認為的范圍。

限定在你的網(wǎng)絡環(huán)境范圍內(nèi)收集和處理的數(shù)據(jù)只是***步——并且是一個好的理論方法——限定你的合規(guī)范圍。但是記住這需要采取可靠的后續(xù)過程——自始至終對該理論保持警惕性并且在實踐中應用。

作者：Ed Moyle

【編輯推薦】

1. 怎樣避免企業(yè)移動設備的數(shù)據(jù)泄漏
2. 阻止數(shù)據(jù)泄漏危害的簡單方法
3. 企業(yè)的寶貴數(shù)據(jù)泄漏的現(xiàn)狀及影響以及保護方案
4. 防止人為因素造成企業(yè)數(shù)據(jù)泄漏的描述