最近，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)更新到新版本——PCI DSS 3.0。在某些領(lǐng)域，新要求可能會(huì)影響支持該標(biāo)準(zhǔn)的商家和服務(wù)提供商(云計(jì)算及其他服務(wù))的合規(guī)計(jì)劃。其中，與云計(jì)算相關(guān)的受影響***的領(lǐng)域是，持卡人數(shù)據(jù)環(huán)境(CDE)與云計(jì)算交互使用的情況。

商家將會(huì)發(fā)現(xiàn)，云計(jì)算中的PCI DSS合規(guī)一直是很復(fù)雜且具有挑戰(zhàn)性的話題，以至于PCI安全標(biāo)準(zhǔn)委員會(huì)發(fā)布了一整份文檔來(lái)描述如何在PCI環(huán)境下使用云計(jì)算。然而，PCI 3.0有幾個(gè)方面可能讓這個(gè)已經(jīng)很復(fù)雜的情況變得更加復(fù)雜。這并不是因?yàn)?.0版本有新語(yǔ)言或?qū)ｉT應(yīng)對(duì)云計(jì)算情況的新要求(事實(shí)并非如此)，或者因?yàn)樗〈松厦嫣岬降闹笇?dǎo)文件(并不存在)。相反，這種混亂是因?yàn)橐恍┬乱笏a(chǎn)生的影響，對(duì)于云計(jì)算來(lái)說(shuō)很難解決和維護(hù)。

PCI DSS 3.0有什么不同?

對(duì)于在PCI監(jiān)管的基礎(chǔ)設(shè)施中的云計(jì)算的使用，PCI DSS 3.0有三個(gè)新要求與之最為相關(guān)：

Req. 2.4：“對(duì)PCI DSS范圍內(nèi)的系統(tǒng)組件進(jìn)行庫(kù)存管理。”

Req. 1.1.3：“顯示跨系統(tǒng)和網(wǎng)絡(luò)所有持卡人數(shù)據(jù)流的當(dāng)前視圖。”

Req. 12.8.5：“明確哪些PCI DSS要求由每個(gè)服務(wù)提供商管理以及哪些由企業(yè)實(shí)體管理。”

值得注意的是，這些并不是唯一的新要求，它們也不是對(duì)在PCI環(huán)境中使用云計(jì)算的唯一要求。然而，對(duì)于正在使用云計(jì)算并已經(jīng)建立了PCI合規(guī)來(lái)解決CDE內(nèi)的使用的企業(yè)而言，這三個(gè)要求可能在未來(lái)幾個(gè)月中會(huì)造成很大的混亂。了解這里的原因需要更深入到每一個(gè)要求。

盤點(diǎn)和IaaS

利用云計(jì)算的企業(yè)必須要注意的***個(gè)要求是盤點(diǎn)系統(tǒng)組件。PCI DSS標(biāo)準(zhǔn)在PCI 3.0文檔的第10頁(yè)描述了“系統(tǒng)組件”的含義，但我們想要強(qiáng)調(diào)的關(guān)鍵點(diǎn)是它包括了虛擬機(jī)。對(duì)任何虛擬環(huán)境進(jìn)行過(guò)徹底盤查的企業(yè)都知道這有多么困難，但請(qǐng)記住，在云計(jì)算部署(特別是基礎(chǔ)設(shè)施即服務(wù))中，這可能比企業(yè)直接控制的虛擬環(huán)境更加復(fù)雜，尤其是當(dāng)由服務(wù)供應(yīng)商提供支持時(shí)。試想一下，服務(wù)提供商支持人員決定克隆一個(gè)實(shí)例來(lái)幫助測(cè)試補(bǔ)丁兼容性，或者動(dòng)態(tài)地重新定位鏡像來(lái)響應(yīng)性能瓶頸問(wèn)題。這意味著客戶現(xiàn)在必須更加勤奮地追蹤C(jī)DE內(nèi)實(shí)例的創(chuàng)建和銷毀，以保持庫(kù)存的更新。

為了做好準(zhǔn)備，企業(yè)有幾種選擇。最壞的情況下，大多數(shù)IaaS供應(yīng)商將會(huì)提供其環(huán)境中鏡像的原始清單以便進(jìn)行計(jì)費(fèi)，或者通過(guò)其控制面板提供清單。雖然這個(gè)清單可能不是企業(yè)想要的(例如，它并不會(huì)顯示鏡像的目的或者其中有何軟件)，但至少這是一個(gè)開(kāi)始。如果你的企業(yè)有來(lái)自服務(wù)提供商的專門技術(shù)人員來(lái)支持你的賬戶(例如你是特定供應(yīng)商的大客戶)，在創(chuàng)建庫(kù)存清單時(shí)考慮列出供應(yīng)商的幫助支持。如果你不是大客戶或者你的云服務(wù)提供商不合適(或成本太高)，考慮采用自動(dòng)化功能;例如，在你的虛擬“黃金鏡像”預(yù)配置盤查代理，可能有助于捕捉你不知道的新實(shí)例或克隆。

數(shù)據(jù)流和SaaS

下一個(gè)挑戰(zhàn)涉及在某些云計(jì)算環(huán)境中映射數(shù)據(jù)流，特別是軟件即服務(wù)(SaaS)。與平臺(tái)即服務(wù)(PaaS)和IaaS不同，在SaaS中，應(yīng)用本身是一個(gè)“黑盒子”，這意味著SaaS客戶被故意從應(yīng)用運(yùn)行的底層機(jī)制屏蔽。例如，當(dāng)你登錄到LinkedIn或Facebook時(shí)，你知道你的用戶ID穿行在哪臺(tái)服務(wù)器或者多少不同的數(shù)據(jù)庫(kù)連接到內(nèi)部后端環(huán)境?你關(guān)心嗎?或許你不在乎，只要你能正確登錄。現(xiàn)在，鏡像能解決這個(gè)要求，它不僅能了解如何進(jìn)行整個(gè)過(guò)程，而且還能記錄數(shù)據(jù)采用的確切路徑。

現(xiàn)在，請(qǐng)記住，該標(biāo)準(zhǔn)中并沒(méi)有說(shuō)數(shù)據(jù)流圖要“知道不可知的情況”，當(dāng)企業(yè)對(duì)遠(yuǎn)程基礎(chǔ)設(shè)施沒(méi)有充分可視性，達(dá)到這種詳細(xì)程度并不總是現(xiàn)實(shí)的。在另一方面，圖表上有箭頭指向互聯(lián)網(wǎng)稱，“PAN發(fā)送到遠(yuǎn)程計(jì)費(fèi)供應(yīng)商”，并不能達(dá)到評(píng)估員的標(biāo)準(zhǔn)，所以需要尋找一個(gè)中間立場(chǎng)，來(lái)徹底滿足評(píng)估，同時(shí)沒(méi)有那么繁瑣，讓企業(yè)可以實(shí)現(xiàn)。對(duì)此，你可以從記錄你所知道的并讓供應(yīng)商完成測(cè)試開(kāi)始。如果他們不能(或者不愿意)幫助向下鉆取以及更詳細(xì)，請(qǐng)確保記錄這個(gè)事實(shí)。你應(yīng)該向評(píng)估者提供證據(jù)證明你已經(jīng)作出***努力來(lái)收集具體數(shù)據(jù)，這可以讓評(píng)估人員了解你已經(jīng)完全考慮過(guò)這個(gè)要求。

服務(wù)提供商矩陣

PCI總是要求企業(yè)檢查其服務(wù)供應(yīng)商的PCI合規(guī)狀態(tài)，但現(xiàn)在它還要求企業(yè)記錄哪些PCI要求由供應(yīng)商負(fù)責(zé)，哪些由企業(yè)自己負(fù)責(zé)。

這可能聽(tīng)起來(lái)像是一件容易的事，但請(qǐng)記住，云供應(yīng)商(無(wú)論是SaaS、PaaS或者IaaS)以及更傳統(tǒng)的服務(wù)供應(yīng)商都屬于這一類。這意味著企業(yè)現(xiàn)在必須確定誰(shuí)負(fù)責(zé)特定的PCI DSS控制：企業(yè)還是供應(yīng)商。雖然一些服務(wù)提供商(特別是經(jīng)常服務(wù)于商家社區(qū)的提供商)已經(jīng)有他們所提供的控制的現(xiàn)成的清單，其他提供商可能并不會(huì)完全認(rèn)同特定企業(yè)對(duì)責(zé)任劃分的觀點(diǎn)。這意味著企業(yè)需要與服務(wù)提供商反復(fù)協(xié)商來(lái)建立一個(gè)雙方都同意的清單。

結(jié)論

要注意的是，這三個(gè)要求并不是PCI DSS為部署云計(jì)算的商家?guī)?lái)的唯一變化。然而，對(duì)于這些要求，精明的安全和合規(guī)從業(yè)人員需要做一些準(zhǔn)備和前期規(guī)劃以迎接新標(biāo)準(zhǔn)。