有文章談及：“而PCI顧問(wèn)James Huguelet則指出：PCI標(biāo)準(zhǔn)最大的安全問(wèn)題在于，該標(biāo)準(zhǔn)雖然要求對(duì)靜態(tài)數(shù)據(jù)加密，但是并不要求企業(yè)對(duì)數(shù)據(jù)傳輸加密，也就是在整個(gè)交易流程鏈中，數(shù)據(jù)都未被要求加密。”這個(gè)專(zhuān)家的評(píng)論無(wú)疑是錯(cuò)誤的。

PCI DSS數(shù)據(jù)保護(hù)分為數(shù)據(jù)存儲(chǔ)的保護(hù)和傳輸?shù)募用埽琍CI DSS第4章的要求均是面向公共開(kāi)放網(wǎng)絡(luò)(包括但不限于互聯(lián)網(wǎng)、無(wú)線(xiàn)、GSM、GPRS)的持卡人數(shù)據(jù)傳輸加密的要求，其中強(qiáng)加密是必須的。

關(guān)于傳輸加密，標(biāo)準(zhǔn)部分原文參見(jiàn)如下：

4.1 Use strong cryptography and security protocols (for example, SSL/TLS, IPSEC, SSH, etc.) to safeguard sensitive cardholder data during transmission over open, public networks.

通常atsec除了審核證據(jù)和訪談，也會(huì)通過(guò)外部授權(quán)的掃描供應(yīng)商(ASV：Approved Scanning Vendor)通過(guò)掃描的方式進(jìn)行進(jìn)一步的驗(yàn)證(參見(jiàn)PCI DSS要求11.2)。

3、關(guān)于目錄遍歷漏洞

事件中提及的目錄遍歷漏洞，是OWASP top 10中的漏洞之一。在上個(gè)版本標(biāo)準(zhǔn)PCI DSS v2.0的要求6.5.8中已明確要求杜絕該漏洞的存在。此外，PCI DSS標(biāo)準(zhǔn)要求在支付應(yīng)用上線(xiàn)前的代碼審核階段(涉及要求6.3.2)、安全性測(cè)試階段(涉及要求6.4.5.3)以及上線(xiàn)后的定期安全性檢查階段(涉及要求6.6)的軟件生命周期過(guò)程中，通過(guò)有效的代碼評(píng)審、支付應(yīng)用上線(xiàn)前的安全性測(cè)試以及支付應(yīng)用上線(xiàn)后的定期代碼審核或通過(guò)實(shí)施阻止針對(duì)Web應(yīng)用的監(jiān)測(cè)和防護(hù)機(jī)制等措施確保支付應(yīng)用中不存在OWASP top 10漏洞。標(biāo)準(zhǔn)原文參見(jiàn)如下：

6.5.8 Improper Access Control (such as insecure direct object references, failure to restrict URL access, and directory traversal)

4、在美國(guó)上市是否就默認(rèn)達(dá)到了PCI DSS標(biāo)準(zhǔn)的合規(guī)要求?

這是不準(zhǔn)確的。PCI DSS早在多年前已經(jīng)成為新商戶(hù)、服務(wù)提供商，以及收單機(jī)構(gòu)和發(fā)卡機(jī)構(gòu)處理支付相關(guān)業(yè)務(wù)的強(qiáng)制要求，目前并沒(méi)有明顯的證據(jù)顯示PCI DSS的合規(guī)要求是來(lái)自于上市管理機(jī)構(gòu)的強(qiáng)制要求。

執(zhí)行PCI DSS合規(guī)通常來(lái)自于卡品牌、收單機(jī)構(gòu)(如銀行)和支付合作客戶(hù)的要求。目前也有越來(lái)越多的機(jī)構(gòu)出于自身數(shù)據(jù)安全的考慮，致力于PCI合規(guī)建設(shè)和安全合規(guī)評(píng)估。

atsec官方PCI QSA合規(guī)評(píng)估列表參見(jiàn)：http://www.atsec.cn/cn/pci-compliance.html

5、關(guān)于數(shù)據(jù)泄露和PFI

在安全行業(yè)很多的機(jī)構(gòu)和廠商都會(huì)接受安全專(zhuān)家或者自行發(fā)現(xiàn)安全漏洞，和黑客利用漏洞攻擊的本質(zhì)區(qū)別在于漏洞的發(fā)布是為了更好的修復(fù)漏洞并解決信息安全問(wèn)題。故而漏洞可能是客觀存在的，漏洞發(fā)布和問(wèn)題修復(fù)之間的時(shí)間窗口就顯得尤為重要，使得漏洞被黑客利用導(dǎo)致數(shù)據(jù)泄露事件的可能性以及相關(guān)風(fēng)險(xiǎn)降到最低。

而漏洞的發(fā)布本身也不意味著發(fā)生了數(shù)據(jù)泄露的事件。在國(guó)際PCI產(chǎn)業(yè)，通常發(fā)生了疑似數(shù)據(jù)泄露之后，會(huì)邀請(qǐng)PCI安全標(biāo)準(zhǔn)委員會(huì)所授權(quán)的PCI取證調(diào)研機(jī)構(gòu)(PFI：PCI Forensic Investigator)執(zhí)行事后取證調(diào)研，進(jìn)一步確定事件發(fā)生的原因，提出建議改善信息安全。

PCI數(shù)據(jù)安全標(biāo)準(zhǔn)的生命周期為三年，每三年內(nèi)全球的產(chǎn)業(yè)專(zhuān)家均在致力于新標(biāo)準(zhǔn)的研討和制定，符合最新的安全發(fā)展要求;此外，各個(gè)領(lǐng)域的問(wèn)題設(shè)置有專(zhuān)門(mén)的特別工作組(SIG：Special Interest Group)開(kāi)發(fā)并維護(hù)特殊的相關(guān)安全技術(shù)指導(dǎo)，如加密、EMV、移動(dòng)支付、云計(jì)算、滲透測(cè)試、安全意識(shí)教育等。PCI標(biāo)準(zhǔn)要求從制度流程、人員要求到網(wǎng)絡(luò)安全、系統(tǒng)加固、應(yīng)用開(kāi)發(fā)過(guò)程、安全編碼、數(shù)據(jù)安全存儲(chǔ)和傳輸、物理安全、安全測(cè)試和漏洞管理等方方面面進(jìn)行了詮釋。致力于PCI合規(guī)且長(zhǎng)期持續(xù)的合規(guī)是支付相關(guān)機(jī)構(gòu)的業(yè)務(wù)健康穩(wěn)定發(fā)展的基礎(chǔ)，也是保護(hù)廣大持卡人數(shù)據(jù)安全的最佳實(shí)踐。

參考資料;

[1] WooYun.org：http://www.wooyun.org/bugs/wooyun-2010-054302

[2] PCI SSC官方網(wǎng)站：https://www.pcisecuritystandards.org/

[3] atsec官方網(wǎng)站：http://www.atsec.cn/

[4] 攜程支付安全聲明：

http://pages.ctrip.com/commerce/promote/201403/other/xf/index.html