托管IT服務巨頭Verizon指出了導致商家未能滿足PCI DSS合規(guī)的兩個關鍵問題領域。

日前，Verizon透露了其備受期待的年度報告中的內(nèi)容，這份報告對Verizon Enterprise Solutions在過去三年期間執(zhí)行的數(shù)千次PCI DSS合規(guī)性評估的結果進行了分析。

[[127529]]

“照常營業(yè)”PCI合規(guī)被證明很困難

根據(jù)Verizon表示，2015年的數(shù)據(jù)表明大多數(shù)商家都在艱難地維持全年PCI合規(guī)性。該公司稱，在通過審核后的不到一年時間內(nèi)，只有不到三分之一的企業(yè)保持完全的PCI合規(guī)性。

這與PCI安全標準委員會所提倡的“持續(xù)合規(guī)性”口號形成鮮明對比。專家稱，PCI DSS 3.0版的主要目標之一是要求企業(yè)保持足夠的安全控制來在所有時候保護支付卡數(shù)據(jù)，不只是為了通過年度評估。

醫(yī)療設備、服務和照明解決方案國際制造商的PCI合規(guī)項目經(jīng)理Nancy Rodriguez表示，PCI合規(guī)性嵌入到“照常營業(yè)”業(yè)務流程并不容易。

她表示，這個系統(tǒng)性的工作需要與全公司業(yè)務流程所有者召開會議，了解流程如何運作以及數(shù)據(jù)流向何處，然后再確認如何在不影響業(yè)務的前提下整合PCI合規(guī)性。Rodriguez補充說，這種工作很難做到，因為即使在大型企業(yè)，PCI合規(guī)團隊通常只有極少數(shù)人。

“我很幸運的是，當我進入現(xiàn)在這家公司時，該公司正處于起步階段，當時公司正在基于核心、標準元素重新定義所有流程，”Rodriguez稱，“我們建立了核心領域(信息安全、PCI、隱私等)，并對其流程以及控制進行了描述。然后我們評估彼此的流程和控制，以確定我們的領域是否應該參與，以及如何參與。”

這是一個費力費時的過程，即使是對于相當大規(guī)模的企業(yè)，對于很多小型商家，在單個時間點的其余時間內(nèi)保持合規(guī)性更加困難。前安全評估員兼獨立安全顧問Steven Weil表示，他開始看到越來越多的企業(yè)對PCI合規(guī)采取全年的做法，但這是一個挑戰(zhàn)，因為企業(yè)必須有成熟的信息安全和合規(guī)計劃。

Weil表示：“不幸的是，還有很多不太成熟的企業(yè)只是專注于每年一次的PCI合規(guī)性;對于這些企業(yè)而言，這樣做的風險越來越大。”

防火墻合規(guī)性、安全測試是主要問題

根據(jù)Verizon表示，企業(yè)未能滿足PCI合規(guī)要求的兩個主要領域涉及第11條要求，對安全系統(tǒng)和流程進行定期測試;以及第1條要求，其中主要是對防火墻的維護。

該公司只透露了部分細節(jié)信息，另外，在一份聲明中，Verizon Enterprise Solutions的合規(guī)和管理專業(yè)服務主管Rodolphe Simonetti表示，不斷變化的網(wǎng)絡安全環(huán)境需要企業(yè)改變他們的安全做法。

“企業(yè)需要采用我們稱之為‘有彈性’的模式，這意味著他們必須接受他們永遠不可能完全安全，”Simonetti表示，“對于數(shù)據(jù)保護，并沒有萬全之策。”

Weil推測，Verizon已經(jīng)看到防火墻規(guī)則審查沒有得到充分執(zhí)行，或者說，沒有按照PCI DSS要求的至少每六個月執(zhí)行一次。

“在大型或復雜企業(yè)中，受PCI監(jiān)管的關鍵防火墻可能有數(shù)百條規(guī)則必須進行審查，”Weil表示，“但對于繁忙的安全專業(yè)人員而言，了解哪些規(guī)則仍然有效以及哪些規(guī)則需要刪除/禁用，是很困難和非常耗時的工作。此外，防火墻管理員擔心關閉防火墻規(guī)則可能會帶來影響。”

Rodriguez表示同意，他說，盡管對于幾乎所有全面的信息安全計劃而言，防火墻維護都是基本工作，但PCI DSS圍繞防火墻的要求是“規(guī)定性的”，特別是對所有允許的服務、協(xié)議和端口的使用的文檔記錄和業(yè)務理由。

“還有很多人沒有意識到PCI DSS要求，”Rodriguez表示，“所以他們沒有構建這些控制到其流程和程序。”

同時，第11條要求還包含了高難度任務，從無線網(wǎng)絡安全到定期網(wǎng)絡安全掃描和第三方滲透測試。

有些企業(yè)仍然在艱難地滿足第11條要求，這并不足為奇;Verizon去年報告稱，在最符合要求的企業(yè)(即滿足95%PCI DSS控制的企業(yè))中，超過半數(shù)沒有滿足第11條要求。雪上加霜的是，PCI 3.0版中的新要求規(guī)定，企業(yè)需要部署正式的滲透測試方法，這被認為是更新版本標準中最難以遵守的變化之一。

Aberdeen Group研究公司副總裁兼研究員Derek Brink表示，滿足PCI要求所帶來的挑戰(zhàn)變得更加艱巨，這也說明現(xiàn)在的IT基礎設施比幾年前更加復雜。

“對于所有企業(yè)而言，真正的目標應該是將風險降低到可以接受的水平，”Brink表示，“這意味著減少數(shù)據(jù)泄露事故的可能性—通過部署和維持普遍接受的安全控制和流程，以及減少不可避免要發(fā)生的數(shù)據(jù)泄露事故帶來的影響。”

Brink感嘆說，有些人肯定會利用Verizon令人沮喪的報告結果來“抨擊PCI標準”，他主張商家應該努力實現(xiàn)和維持PCI合規(guī)性，因為只有這樣做，這些企業(yè)才將會比他們想象的更加安全。

Brink補充說：“對于我來說，Verizon報告的巨大價值在于，它提供了關于關鍵問題的可能性和影響的事實和趨勢，這應該是企業(yè)必須了解的有關風險的事實。”

Verizon證實，下個月的PCI報告結果將會包含基于30多個國家的財富500強企業(yè)和大型跨國公司的數(shù)據(jù)。除了審查企業(yè)如何以及在哪里未符合PCI要求，該報告還會提供對12個PCI要求的深度剖析，以及第一次評估3.0版本的合規(guī)性工作。