不要指望信用卡安全——或者不安全——会在2015年1月1日奇迹般地转变,2015年1月1日是支付卡行业数据安全标准(PCI DSS) 3.0的最后期限。
该标准于2013年11月7日发布,为所有访问、存储或传输持卡人数据(CHD)和个人身份信息(PII)的公司设定了安全要求,从技术上讲,该标准今年全年都在实施。
然而,备受瞩目的信用卡数据失窃事件仍在以惊人的频率继续发生。
零售商塔吉特(Target)是最大的受害者之一违反历史上有4000万个信用卡号码和7000万个个人信息记录——去年12月,在最新版本标准发布后不到一个月。
最近,Goodwill Industries International和Supervalu旗下的旧货店P.F. Chang’s也被黑客成功入侵。Supervalu拥有数百家杂货店和白酒店。
Supervalu表示,2013年3月出售给Cerebus Capital Management、但仍提供it服务的商店也遭到了相关入侵,这些商店包括Albertsons、Acme、jewelo - osco、Shaw's和Star Market。
但是,尽管现实令人清醒,分析师们倾向于同意,新标准(参见下面的侧栏)为最佳实践提供了一个蓝图,如果以“一如往常”的方式来观察,将防止大多数违规。
事实上,《彭博商业周刊》报道今年3月,塔吉特公司曾表示,如果当初塔吉特公司更善于观察的话,它本可以阻止这次历史性的入侵。该公司已经为攻击做好了准备,安全公司FireEye制作了价值160万美元的恶意软件检测工具,但未能对其警告做出回应。
“当(黑客)上传恶意软件来移动被盗的信用卡号码时,火眼发现了他们。班加罗尔接到了警报,给明尼阿波利斯的安全小组打了信号。然后…… 什么也没发生,”彭博社报道。“出于某种原因,明尼阿波利斯对警笛声没有反应。”
这些警告是在黑客传输任何被窃取的数据之前发出的,这意味着,如果该公司只是对其合规的系统做出回应,它本可以避免90多起诉讼、可能高达数十亿美元的费用、巨大的市场份额损失和品牌损害。
开发和发布这些标准的PCI安全标准委员会(SSC)的总经理Bob Russo对Target表示同情。他说,他在纽约市的三口之家拥有多层安全防护。“我们检查了所有的箱子,”他说。
然而,有一天早上5点,“有人带着笔记本电脑蹦蹦跳跳地走了进来。”谢天谢地,它是加密的。”“但这是怎么发生的呢?”前一天晚上我们忘了做一件事。”
他说,这就是问题的关键:只有公司始终遵守安全标准,安全标准才会有效。这与安全专家长期以来的口头语是一致的,即“遵从性不是安全”,特别是当公司为了达到遵从性标准而进行年度审计时,却让事情顺其自然,直到下一次审计来临。
为Naked Security撰写博客的John Shier对此表示赞同,但他表示,新标准的“快照遵从性”仍然是个问题。
今年早些时候,Shier就新标准的成功和失败之处与自己进行了一场小型辩论,他在《它为什么失败》一文中争论道帖子“PCI DSS最大的失败之一是它的合并性即快照的本质。”
他写道,这些标准确实有一个“照常运行的建议”。“可这就是全部——一个建议。”
并非如此,PCI SSC的首席技术官特洛伊·利奇(Troy Leach)认为。“我们总是听到这样的话,”他说,“我们想知道,‘他们真的读过标准吗?’”’在持续安全方面,我们一直非常主动,这是我们的需求。”
里奇说,委员会已经“发布了一些相关文件”。他还补充说,该标准明确要求“对环境进行持续监控”。这不是顺从两个月,然后休息10个月。”
这与Bit9的合规顾问克里斯托弗·斯特兰德(Christopher Strand)的观点产生了共鸣。斯特兰德表示,新标准是一种“更直接的方式,可以鼓励企业确保安全控制在保护关键数据方面切实有效,而不是打勾。”
Javelin Strategy & Research的欺诈和安全业务负责人Alphonse Pascual说,任何完全实施这些标准的组织都将是“黑客难以置信的目标”。
但是,对于一些商家是否能在截止日期前“快照”达标,人们的估计褒贬不一。根据Verizon Business 2014 PCI报告在美国,只有10%的公司通过了基线评估。另一方面,思杰的首席安全策略师库尔特·罗默告诉《安全周刊》最近这些组织已经“压倒性地为PCI DSS 3.0做好了准备”。
Leach说,准备程度一般取决于公司的规模。他说,大多数最高级别——也就是所谓的一级——“都做好了准备并有所察觉。”小的就没有那么多了。”
拉索的语气更加坚定。他说:“一些中小企业不知道哪一端是上端。”
他们都同意,这意味着委员会必须做更多的推广和教育工作。“我们正在努力解决这个问题,”Leach说。“我们正在与银行和商家协会合作,我们有一个中小企业网站,今年还在考虑其他一些事情。”
外展,此举甚至包括最小的商人在PCI DSS吸引了约兰伯伦斯坦的赞美,副总裁Actimize不错,谁说,虽然它不完美,“安理会很逻辑试图通过所谓的公平竞争把触角伸向中小商人用专用的资源和选择那些商人。”
Shier在他的博客“为什么它有效”中说道帖子还赞扬了委员会要求小商家和大商家采取同样的安全措施,并为小公司提供了帮助,“方便的PDF指南针对小公司”,以及获得合规认证的低成本替代品。
然而,即使有这样的帮助,对较小的公司来说,合规也不容易,成本也不低。如果没有合格的安全评估人员(QSA)的帮助,他们中几乎没有人具备实现遵从性所需的一切的专业知识。Shier指出,虽然该标准允许较小的公司自行进行评估,但这“就像你自己做牙科手术一样有意义”。
“PCI DSS包含超过200个子需求,”他写道。“每一项都必须得到充分理解,并正确实施,以保持合规。”
斯特兰德说,对小商家的需求一般不像对大商家的需求那么复杂。但他说,要求范围的扩大将产生影响。
一个新的因素是,“供应商必须考虑集成系统和其他连接到他们的信用卡数据环境中,这在传统上是不考虑PCI范围的,”他说。“这可能会在解释该标准的要求时造成更多的混乱。”
还有Securosis的分析师兼首席执行官Rich Mogull至关重要的过去该标准的主要目的是保护信用卡公司,而不是商家和客户。他说,鉴于新标准的复杂性和合规成本,他怀疑新标准能否带来很大改变。
他说:“现在更多的是朝着持续合规的方向发展,但实际上,这并不是大多数组织所能接受的。”“看看会不会有什么变化,这将是很有趣的。”
如果情况确实发生了变化,这可能至少部分是因为人们越来越意识到一次高调的泄密可能造成的损害。
“数据安全已经成为董事会层面的讨论话题,”Borenstein说。“高管们意识到,严重的信用卡失窃事件会对客户的看法、股价等产生重大影响。”
拉索说,他希望这种恐惧会促使公司提高安全性。他说:“有办法防止这些事情发生。”“泄露的细节显示,大多数泄露都是由非常简单的错误造成的,比如默认密码。”
他说,改变这一点既不困难也不昂贵。只是需要一种不同的心态。他说:“我每天都锁门,不仅仅是星期一、星期三和星期五。
PCI DSS的需求
PCI数据安全标准有12项要求来提供一个“用于保护持卡人数据的技术和操作要求基线”。
它们是:
建立和维护一个安全的网络和系统
1.安装及维持防火墙配置以保护持卡人资料
2.不使用供应商提供的默认系统密码和其他安全参数
保护持卡人数据
3.保护已存储的持卡人数据
4.通过开放的公共网络加密传输持卡人数据
维护漏洞管理程序
5.保护所有系统免受恶意软件的侵害,并定期更新杀毒软件或程序
6.开发和维护安全系统和应用程序
实施严格的访问控制措施
7.根据业务需要限制对持卡人数据的访问
8.识别和验证对系统组件的访问
9.限制对持卡人数据的物理访问
定期监控和测试网络
10.跟踪和监控对网络资源和持卡人数据的所有访问
11.定期测试安全系统和流程
维护信息安全政策
12.维护针对所有人员的信息安全策略
这个故事,“PCI DSS 3.0的遵从截止日期接近。它会有什么不同吗方案 。