2014年Verizon PCI合規(guī)報(bào)告對(duì)世界各地的PCI DSS合規(guī)狀態(tài)進(jìn)行了評(píng)估。令人驚訝的是，該報(bào)告發(fā)現(xiàn)“要求11”的合規(guī)率最低，盡管很多安全專業(yè)人士認(rèn)為這是該報(bào)告中最直接的規(guī)定之一，該要求規(guī)定企業(yè)應(yīng)對(duì)安全系統(tǒng)和流程定期進(jìn)行測(cè)試。

接下來我們將探討被Verizon列為‘合規(guī)絆腳石’的兩個(gè)具體領(lǐng)域，以及企業(yè)應(yīng)該如何將它們構(gòu)建到PCI DSS合規(guī)計(jì)劃中。

滲透測(cè)試

安全專業(yè)人士都知道，PCI DSS要求企業(yè)環(huán)境的滲透測(cè)試需采用行業(yè)公認(rèn)的方法，例如NIST SP 800-115。并且，這些測(cè)試必須至少每年進(jìn)行一次，而且在持卡人數(shù)據(jù)環(huán)境作出任何重大變更之后必須重復(fù)測(cè)試。

Verizon發(fā)現(xiàn)的第一個(gè)問題是，60%的企業(yè)未能提供證據(jù)證明他們?cè)谶^去的一年中執(zhí)行了滲透測(cè)試。當(dāng)涉及PCI合規(guī)時(shí)，維護(hù)滲透測(cè)試的文檔幾乎和實(shí)際執(zhí)行測(cè)試同樣重要。審計(jì)員不會(huì)相信你的一面之詞，他們希望看到證據(jù)。

企業(yè)可能會(huì)遇到的第二個(gè)問題出現(xiàn)在處理滲透測(cè)試結(jié)果的過程中。PCI要求企業(yè)對(duì)滲透測(cè)試發(fā)現(xiàn)的結(jié)果采取行動(dòng)。具體來說，如果測(cè)試發(fā)現(xiàn)任何可利用的漏洞，企業(yè)必須修復(fù)問題，然后重復(fù)測(cè)試。滲透測(cè)試周期要到漏洞被修復(fù)才完成，滲透測(cè)試需要提供系統(tǒng)已修復(fù)漏洞的證明書。根據(jù)Verizon PCI合規(guī)報(bào)告，只有44%的企業(yè)滿足這一要求。

通過確保以符合PCI法律條文的方式執(zhí)行滲透測(cè)試，企業(yè)可以避開這些滲透測(cè)試的雷區(qū)。企業(yè)并沒有必要聘請(qǐng)QSA或者ASV來執(zhí)行測(cè)試。如果企業(yè)使用內(nèi)部人員，應(yīng)該確保這些人員符合要求并且獨(dú)立于工作人員維護(hù)系統(tǒng)，同時(shí)企業(yè)還應(yīng)該保留滲透測(cè)試的證據(jù)。企業(yè)內(nèi)符合要求的工作人員應(yīng)該是內(nèi)部審計(jì)團(tuán)隊(duì)的人員。

漏洞掃描

漏洞掃描是很多企業(yè)在PCI合規(guī)中容易出錯(cuò)的另一個(gè)領(lǐng)域。例如，該報(bào)告發(fā)現(xiàn)，不到一半的企業(yè)會(huì)執(zhí)行內(nèi)部漏洞掃描或由認(rèn)可的掃描供應(yīng)商進(jìn)行外部掃描，這兩者都是PCI的必要條件。這些掃描必須在持卡人環(huán)境中執(zhí)行，并可由外部評(píng)估人員或者內(nèi)部員工(不負(fù)責(zé)維護(hù)被掃描系統(tǒng)的人員)進(jìn)行管理。

對(duì)于掃描文檔，企業(yè)應(yīng)該保存記錄，這些記錄需要清楚地展示每三個(gè)月的掃描結(jié)果。只保留最新的掃描紀(jì)錄是不夠的，因?yàn)檫@只能說明某個(gè)時(shí)間點(diǎn)的合規(guī)率，而不是所要求的全年掃描計(jì)劃。此外，掃描結(jié)果必須清楚明確，必須每個(gè)季度進(jìn)行管理。任何檢測(cè)到的高風(fēng)險(xiǎn)漏洞都必須盡快修復(fù)，并且應(yīng)該進(jìn)行后續(xù)掃描，直到所有問題得到順利解決。

Verizon報(bào)告并沒有詳細(xì)說明企業(yè)未能執(zhí)行這種測(cè)試的具體原因，但這可能是因?yàn)橛涗洷４娌蛔?不恰當(dāng)?shù)厥褂镁S護(hù)安全控制的人員來進(jìn)行掃描;或者在問題解決前沒有反復(fù)進(jìn)行掃描?，F(xiàn)在是一個(gè)很好的時(shí)機(jī)，企業(yè)應(yīng)該檢查其掃描程序來確保其中包含關(guān)于內(nèi)部和外部掃描的文檔記錄。

盡管存在這些問題，在過去一年中，PCI合規(guī)世界已經(jīng)走過了很長的路。Verizon的研究中樂觀地指出，企業(yè)PCI DSS平均合規(guī)水平從2011年的52.9%上升到2013年的85.2%。這是重大的一步，這也是個(gè)好兆頭，通過強(qiáng)化企業(yè)安全狀態(tài)以及降低代價(jià)高昂的數(shù)據(jù)泄露事故的可能性，PCI DSS正在成為日常操作中的一部分。