|
PCI DSS 支付卡行业数据安全标准共有6个部分,分别是建立并维护安全的网络和系统(为数据构建安全的数据环境),保护持卡人数据(通过数据加密提高数据存储和传输安全性),维护漏洞管理计划(开发安全的软件并监管软件和系统的漏洞),实施强效访问控制措施(对数据访问进行监管),定期监控并测试网络(跟踪对数据的访问,对所有安全措施进行定期测试)和维护信息安全政策(工作人员保护数据的责任)。
第一部分,建立并维护安全的网络和系统。首先根据网络图和数据流图,对服务、协议、端口进行记录,参考防火墙配置要求构建防火墙和路由器,限制数据环境与网络的连接,禁止互联网与系统组件之间的直接公共访问,即使是在外网中使用的个人设备也应该有统一安装个人防火墙软件。其次,始终更改供应商提供的默认值并禁用/删除默认账户,对所有系统组件制定配置标准,同时利用SSH,VPN或SSL/TLS等技术对所有非控制台访问进行加密。
第二部分,保护持卡人数据。分别在数据存储和数据传输两方面实现数据保密。首先实施数据保留和处理政策,尽量减少数据的存储量同时使敏感数据加密不可读,同时进行密钥管理。在数据传输过程中,使用强效加密法和安全协议来保护数据。
第三部分,维护漏洞管理计划。部署杀毒软件并维护杀毒机制。不断更新安全漏洞信息,不断更新安全补丁,并在软件编写过程中注意不出现软件漏洞,开发、测试和生产环境相互分离。
第四部分,实施强效访问控制措施。分为限制对数据的访问,对数据访问过程中操作追踪到用户个人,监控物理访问。首先只授权访问执行工作所需的最低限度的数据量和权限,为有访问权限的每个人分配唯一标示符并有合理的用户验证管理。利用摄像头和访问控制机制监控对敏感区域的物理访问,保护所有媒介的物理安全。
第五部分,定期监控并测试网络。系统组件实施自动检查记录,定期审核日志和安全事件。定期进行漏洞扫描,定期实施穿透测试,实施入侵检测/入侵防御。
第六部分,维护信息安全政策。工作人员应了解数据敏感性以及保护这些数据的责任。
要求1:安装并维护防火墙配置以保护持卡人数据。(控制数据流流入流出)
1.1 建立实施配置标准
1.1.1 检查书面程序,包括网络连接和变更记录。
1.1.2 检查网络图表和网络配置。
1.1.3 检查数据流程图表。(存储、处理或传输数据的位置)
1.1.4 检查防火墙配置标准。
1.1.5 网络组件负责人安排。
1.1.6 所有服务、协议和端口的文档记录。
1.1.7 定期审核防火墙路由器规则集。
1.2 构建防火墙和路由器配置
1.2.1 将输入和输出限制到需要的范围。
1.2.2 保护和同步路由器配置文件。(重启时保证路由器规则)
1.2.3 安装外围防火墙。
1.3 禁止互联网直接访问
1.3.1实施DMZ。(DMZ(DemilitarizedZone)即俗称的非军事区,作用是把WEB,E-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。)
1.3.2 检查防火墙和路由器,仅向DMZ内的IP地址输入互联网流量。
1.3.3 禁止直接连接互联网的流量进出。
1.3.4 执行反欺骗措施以阻止伪造的IP输入流量。(反欺骗措施,常用的是加密技术,IPsec和SSL???具体不太清楚如何做,使用加密和认证就能够防止输入端改变IP地址吗,伪造的IP地址不会影响IPsec加密过程吗,是因为存在第三方识别真实IP地址吗?)
1.3.5 禁止到互联网的非授权流量输出。
1.3.6 状态检查(只有已经建立的连接才能进入网络。)
1.3.7 将敏感数据放置到隔离的内部网络中。
1.3.8 不要讲私人IP地址和路由信息泄露给非授权方。(防止黑客使用内部IP地址访问)掩盖IP地址的方法包括但不限于:网络地址转换(NAT),使用代理服务器,删除或过滤针对采用注册地址的专用网络的路由器广告(???),在内部使用RFC1918地址(私有地址空间:10.0.0.0-
10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255)(根据特定网络技术采用不同方法,例如IPV4和IPV6使用不同的控制措施?为什么不同?有何不同?)
1.4连接互联网的员工设备上安装个人防火墙。(保护设备免受网络攻击,在工作时连接内网的设备,在内网之外也要做好保护措施,有特定的配置设置,设备用户无法更改)
1.5确保相关方了解防火墙管理的安全政策和操作程序。
从前期的细节准备到后期的管理,几乎所有需要注意的细节都已经写出来,只需要再与安全负责人根据指南实施细节,例如防火墙配置标准是什么,数据的输入和输出应该限制到多大的范围合适,路由器配置文件都有哪些需要更改,IP反欺骗措施应该采取哪种方法合适,员工设备上个人防火墙设置到什么程度等等。这些细节单独拿出来也都是问题。
要求2:不要使用供应商提供的默认系统密码和其他安全参数
2.1 始终更改供应商默认值并删除或禁用不必要的默认账户。(即使不打算使用默认账户也应该将默认密码修改为强效密码并禁用,防止恶意个人重启账户使用默认密码进行访问)
2.1.1对可以连接到持卡人数据环境的无线环境,在安装时更改无线供应商的默认值。2.2 制定适合所有系统组件的配置标准。(确保标准能够解决所有已知的安全漏洞并与养也认可的系统强化标准一致)
2.2.1每台服务器仅执行一项主要功能,以防一台服务器上有需要不同安全级别的功能。(有虚拟化技术时,检查系统配置,确认每个虚拟系统组件仅执行一项主要功能)
2.2.2仅启动必要服务、协议、守护进程等。
2.2.3对于不安全的服务、协议、守护进程,执行附加安全功能。(SSH、S-FTP等保护NetBIOS、FTP等)
2.2.4 配置系统安全参数。
2.2.5删除所有非必要功能(包括脚本、驱动程序、特性、子系统、特性、文件系统等,降低未知功能被利用的风险)
2.3 使用强效加密法对所有非控制台管理访问进行加密。(SSH、VPN或SSL/TLS等技术)(非控制台管理,例如远程管理如使用明文则可能泄露给窃听者)
2.4 保留PCI DSS范围内系统组件的清单(软硬件组件列表)
2.5 确保相关方了解相关设置。
2.6若有共享托管服务提供商,则这些提供商必须符合相关要求。
总结:要求2部分首先要求修改默认系统密码和其他安全参数,确保默认密码、默认账户等默认值的始终更改。其次对系统组件进行配置使得启动必要的服务、协议、守护进程并附加安全功能。之后加密管理访问,最后对软硬件组件整理并通知相关方了解,如果有共享托管服务,则确保提供商满足相关要求。关于2.2中的系统强化标准,许多安全组织提出了系统强化指南和建议,确保PCI DSS所在系统是安全的。
要求3:保护存储的持卡人数据
3.1 最大限度减少持卡人数据存储量和存储时间。(截词持卡人数据,了解数据存储位置并在不再需要时适当处理)
3.2 在授权之后,确认所有敏感验证数据不可恢复。(防止借此生成假冒支付卡)
3.2.1切勿存储存储卡背面词条上任何刺刀的完整内容、芯片或其他地方上的等效数据。(检查数据源:交易数据,日志,存档、跟踪文件,数据库架构和内容)(全磁道数据可复制支付卡)
3.2.2切勿存储用于确认无实卡交易的卡验证码或值(应在支付卡正面或背面的三或四位数值,检查上条提到的所有数据源)(防止互联网等无实卡交易欺诈)
3.2.3切勿存储个人识别码(PIN)或加密的PIN数据块。(PIN即为个人交易密码,防止基于PIN的欺诈性借方交易,例如ATM取款)
3.3 显示主账户信息是予以掩盖(计算机显示屏、收据、纸质报告等)。
3.4 所有位置上(便携式数字媒体、备份媒介、日志等)的存储的主账户信息(PAN)不可读。方法有:强效加密法的单项散列函数(必须要有完整的PAN?),截词(仅存储部分PAN)(不能用散列代替PAN被截词的部分?对于恶意个人而言,如果能够访问被截词和散列的PAN,要重建PAN是件很轻松的事情?如何做?),索引记号与索引薄,具有相关密钥管理流程和程序的强效加密法。
3.4.1如果使用磁盘加密(对整个磁盘/分区加密,在授权用户请求时自动解密信息),则加密文件系统逻辑访问所使用的机制与本地操作系统的验证机制分离。
3.5 数据加密的密钥和保护数据加密密钥的密钥管理
3.5.1仅限少数保管人有访问权限。
3.5.2密钥加密密钥与数据加密密钥一样强效、分开放置,在安全加密设备内(主机安全模块(HSM)或PTS批准的交互点设备内),采用至少两个全长密钥组分或密钥共享(全长密钥组分或密钥共享??)。
3.5.3减少密钥存放的地方。
3.6 数据加密密钥管理。
3.6.1生成强效密钥
3.6.2安全密钥分配
3.6.3安全的密钥存储。
3.6.4在密钥周期结束时进行密钥变更。
3.6.5密钥完整性变弱(知道明文的员工离职)或怀疑密码遭受威胁时注销或者替换密码。
3.6.6若使用手动明文密钥管理操作,则必须用分割知识(至少两个人控制密钥的组成)和双重控制(需要两个人的验证材料才能进行密钥管理操作)来管理这些操作。
3.6.7防止密钥非授权替换。
3.6.8密钥保管人正确理解各项要求
3.7 所有相关方了解所有政策和操作。
总结:要求3需要保护存储的持卡人数据,第一步需要尽量减少存储数据量和存储时间,其次将敏感验证数据清除,在显示时予以掩盖且所有位置上PAN不可读。既然采用了加密操作,那么数据加密密钥的和数据加密的密钥的密钥的管理非常重要,最后确认所有的文档和相关人员。
要求4:加密持卡人数据在开放式公共网络中的传输
4.1 使用强效加密法和安全协议(例如,SSL/TLS,IPSEC、SSH等),包括:只接受可信的密钥和证书,使用的协议只支持安全的版本或配置,加密强度适合所使用的加密方法。
4.1.1无线网络使用行业最优方法(IEEE802.11i等),以对验证和传输实施强效加密。4.2 不使用终端用户通讯技术来传送不受保护的PAN。
4.3确保相关方了解所有安全政策和操作程序。
要求4总结:为了保证持卡人数据在开放式公共网络中安全传输,必须对数据进行强效加密并且使用安全协议来保证传输安全。
要求5:为所有系统提供恶意软件防护并定期更新杀毒软件或程序。
5.1 在受恶意软件影响的系统中部署杀毒软件。
5.1.1确保杀毒程序能检测、删除并阻止所有已知类型对的恶意软件。
5.1.2对于不受恶意软件影响的系统,需要定期评估恶意软件威胁,确认是否需要使用杀毒软件(主机、终端电脑等不是恶意软件的目标,如何判断一个系统是否受恶意软件的影响?)
5.2 确保杀毒机制的维护:保持为最新,执行定期扫描,生成检查日志。
5.3 只有管理人员才能对用户设备进行禁用或者更改。
5.4 确保相关方了解安全政策和操作程序。
要求5总结:首先确定哪些系统是受恶意软件影响的,将受恶意软件影响的系统安全杀毒软件并合理配置,对暂时不受恶意软件影响的系统需要定期评估恶意软件威胁。
要求6:开发并维护安全的系统和应用程序
6.1 制定相关流程,使用外部信源过去安全漏洞信息来识别安全漏洞并制定等级
6.2 安装安全补丁,确保所有系统组件均杜绝已知漏洞。
6.3 软件应用程序符合:按照PCI DSS,基于行业标准,将信息安全纳入软件开发的整个生命周期。
6.3.1在应用程序启动前,删除开发、测试和自定义账户、用户ID和密码。
6.3.2在发布产品前识别潜在编码漏洞。(符合安全编码指南)
6.4 系统组件的变更须遵守变更控制流程和程序。
6.4.1开发/测试环境独立于生产环境,设置访问控制,确保两者分离。(防止引入恶意代码,和数据的泄露)
6.4.2开发/测试环境与生产环境中的职责分离(开发人员有开发环境中管理员账户但是在生产环境中只有用户级访问的独立账户)。
6.4.3测试和开发过程中不使用真实数据。
6.4.4在生产系统启动前,删除测试数据与账户。
6.4.5应用安全补丁和软件修改的变更控制程序必须包括以下方面:影响记录(变更的影响的记录),被授权方的变更审批记录,功能测试(确认变更对系统安全性的影响),取消程序(如果变更失败,需要取消程序将系统恢复到以前的状态)。
6.5 利用安全编码技术解决软件开发流程中的编码漏洞。
6.5.1注入攻击(参数化查询、验证输入)。
6.5.2缓冲区溢出(验证缓冲区边界并截取输入字符串)。
6.5.3非安全加密存储(强效加密)。
6.5.4非安全通信(验证及加密编码技术)。
6.5.5 不正确的错误处理(错误回复不会透露专用信息,返回一般而非具体的错误详情)。
6.5.6 漏洞识别流程中确认所有高风险漏洞(确认高风险漏洞均在开发期间找到并解决)。
6.5.7跨站点脚本(XSS,参数验证,利用上下文相关的转义)。
6.5.8 不正确的访问控制(不安全的直接对象引用,未能限制URL访问等)
6.5.9跨站点请求伪造(CSRF)
6.5.10失效的验证与会话管理。
6.6 对于面向公众的Web应用程序,定期评估审核,不断解决新的威胁和漏洞。
要求6总结:在应用程序开发过程中,首先保证系统是安全的,通过安全补丁维持系统的安全,软件开发过程中遵守流程,包括访问控制,环境职责分离,数据的隔离和删除,同事利用安全编码技术解决可能的漏洞攻击,最后面对新的威胁和漏洞,定期评估审核。
实施强效访问控制措施
要求7:按业务知情需要限制对持卡人数据的访问(持卡人数据)
7.1 仅有工作需要的个人才能访问系统组件和持卡人数据。
7.1.1为每个角色定义访问需要(访问资源的权限)。
7.1.2将用户访问权限限制到所需最小权限。
7.1.3基于工作分类和职能分配访问权限。(分类,创造角色的权限)
7.1.4确定分配权限有书面记录和批准文档,写权限与角色相匹配。
7.2 为系统组件建立访问控制系统,根据用户知情需要限制访问,默认“全部拒绝”。
7.3 确保相关人了解相关安全政策和操作程序。
要求7总结:限制对持卡人数据的访问,尽量少人有尽量小的权限,并建立相关文档记录。
要求8:识别并验证对系统组件的访问。
8.1 系统中非消费者用户和管理员执行用户识别管理:
8.1.1分配唯一ID
8.1.2控制用户ID和其他验证凭证的所有变更。
8.1.3用户访问权限到期则立即撤销。
8.1.4至少每90天删除/禁用一次非活动的用户账户。(不常用的账户经常会成为攻击目标,因为用户不会注意到账户的变更)
8.1.5 供应商用来远程访问、支持或维护系统的用户ID在使用时进行监控,且仅在需要的时间段启用。
8.1.6限制反复的尝试访问,在不超过6次的无效登陆尝试后锁定用户ID。
8.1.7锁定时间设置为至少30分钟,或直到管理员启用该ID。
8.1.8系统/会话空闲超时功能设为不超过15分钟。
8.2 除了分配唯一ID之外,至少采用一种方法来验证用户:所知(密码、口令等),所有(令牌设备、智能卡等),个人特征(生物特征等)。
8.2.1使用强效加密法使所有验证证书在传输和存储时均不可读。
8.2.2修改验证凭证(密码重置,生成新密钥或提供新令牌)前验证身份。
8.2.3密码/口令符合:至少7个字符,同时包含数字和字母字符。
8.2.4至少90天变更一次密码/口令。
8.2.5提交新密码不允许与最近4个所用密码/口令相同。
8.2.6每个用户的首次密码和重置密码为唯一值且在首次使用后立即变更。(重置密码是什么?)
8.3 对于远程访问使用双因素验证(8.2中至少两种验证方式,包括带令牌的远程认证拨号用户服务(RADIUS)、带令牌的终端访问控制系统(TACACS)等技术)(如果远程访问所针对的实体网络拥有适当分割使用户无法访问或影响持卡人数据环境则无需双因素验证)
8.4 记录并向用户传达验证程序和政策,包括:选择强效验证凭证的指南(帮助工作人员选择难猜密码),关于用户应如何保护其验证凭证的指南,关于不重用之前用过密码的说明,用户怀疑密码暴露时修改密码。
8.5 不使用常规用户ID,不使用用于系统管理的共享用户ID以及用来管理系统组件。
8.5.1 对于有权远程进入客户经营场所的服务提供商功能使用每个经营场所独有的验证凭证(双因素机制,一次性密码等提供唯一的验证凭证)。
8.6 使用实物或者逻辑安全令牌、智能卡和证书等其他验证机制,则验证机制必须唯一,不可共享,且有物理/逻辑控制。
8.7禁止对任何数据库的一切访问:用户对数据库的操作均通过编程方法完成(非对数据库的直接访问,而是通过存储程序等实现),仅数据库管理员能够够直接访问或查询数据库。应用ID仅由应用程序使用(应用程序ID用来检查数据库访问控制设置、数据库应用程序配置设置等)
8.8 确保相关人了解相关安全政策和操作程序。
要求8总结:对有系统访问权限的人进行用户识别管理,使用多种验证方式来验证用户,对于远程访问采用双因素验证,,向用户传达相关验证政策,验证凭证必须是每个用户唯一的,用户禁止对数据库的直接访问,最后确保相关人员了解相关政策和操作程序。
要求9:限制对持卡人数据的物理访问
9.1 场所入口控制,对持卡人数据环境中系统的物理访问进行限制和监控。
9.1.1利用摄像头或/和访问控制机制监控,核查采集的数据与其他条目关联,至少存储三个月。
9.1.2实施物理和/或逻辑控制,限制对公共网络插座交换机的访问。(网络插座交换机?)
9.1.3限制对无线访问点、网关、手持式设备、网络/通信硬件和电信线路的物理访问。
9.2 制定相关程序,识别工作人员和访客:识别新人员,修改范文要求,废除或取消工作人员和过期访客的身份证件。
9.3 控制现场工作人员对敏感区域的物理访问,根据工作职能获取使用权,一旦离职,立即撤销使用权并退回所有物理访问机制(钥匙、访问卡等)。
9.4 相关程序识别并批准访客:
9.4.1进入前,需要获得批准,在进入处理或维护持卡人数据的区域时有人陪同。
9.4.2识别访客后,给访客发放身份证件。
9.4.3访客在到期日或离开场所前交还身份证件。
9.4.4使用访客日志,并对日志做检查记录,至少保留三个月。
9.5 保护所有媒介的实体安全(计算机、可移动电子媒介、纸质收据、纸质报告等)
9.5.1备份媒介存储在安全的地方,最好是外部场所,至少每年一次检查场所安全性。
9.6 严格控制媒介的内部或外部分发,包括:
9.6.1识别包含敏感数据的媒介。
9.6.2通过可准确跟踪的投递方式递送媒介。
9.6.3媒介转移时,确认经过管理层批准。
9.7 控制对媒介的存取和获取。
9.7.1维护媒介的盘存记录,至少每年一次盘点媒介(防止被盗或者丢失)。
9.8 当媒介不再需要时应予销毁:
9.8.1将媒介销毁时,将硬拷贝材料粉碎、焚烧或打浆、以确保持卡人数据无法重建。
9.8.2电子媒介上的持卡人数据利用行业认可的安全删除标准的安全擦除程序删除,以确保持卡人数据无法被重建。
9.9 保护通过直接接触卡本身便可捕获支付卡数据的设备,以避免设备被篡改和替换,不适用手动输入密钥组件(对于手动密钥输入组件,例如计算机键盘和POS机键盘,这项要求属于建议,此外,本要求适用于销售点有卡交易,这种交易不需要输入密码吗?)
9.9.1保留最新设备列表。
9.9.2定期检查设备表面,以检查篡改和替换。
9.9.3培训工作人员: 验证修理或维护人员的身份,在未经验证时不要安装、替换或退还设备,注意周围可以行为(陌生人试图拔掉设备插头或打开设备),向相关人员报告可疑行为或迹象。
9.10确保相关人员了解相关安全政策和操作程序。
要求9总结:为了限制对持卡人的物理访问,首先对周围的环境进行监控,其次对人员的访问进行限定和控制,同时注意保护所有媒介的实体安全,控制媒介分发、存取、销毁的过程,最后避免接触卡即可捕获支付卡数据的设备不被篡改或替换。确保相关人员了解相关程序。
定期监控并测试网络
要求10:跟踪并监控对网络资源和持卡人数据的所有访问。
10.1 实施检查记录,对系统组件的所有访问链接到个人用户。
10.2 对所有系统组件实施自动检查以重建以下事件:
10.2.1对持卡人数据的所有个人用户访问(识别收到威胁或误用的账户)。
10.2.2任何具有root或管理员权限的个人执行的所有操作。(更高权限的账户对系统的安全性或操作功能产生更大的影响)
10.2.3对所有检查记录的访问(恶意用户可能会通过更改检查日志来掩盖其操作)
10.2.4无效的逻辑访问尝试(多次无效的登陆尝试可说明非授权用户尝试强制获得或者猜测密码)。
10.2.5识别、验证机制的使用和变更以及具有root或管理员权限账户的所有变更、添加或删除。(识别事件发生时的操作用户)
10.2.6检查日志的初始化、关闭或暂停。(恶意用户的掩盖手段)
10.2.7 系统级对象的创建和删除。
10.3 对于每次事件,日志条目至少包括:用户识别,事件类型,时间,成功或失败提示,事件起因以及受影响的相关项。
10.4 使用时间同步技术(网络时间协议NTP)来同步所有关键系统的时钟和时间,并确保实施以下各项以获取、分配并存储时间。
10.4.1关键系统时间正确且一致。
10.4.2时间数据受保护。
10.4.3时间设置来自行业内认可的时间来源。
10.5 保护检查记录,禁止进行更改。
10.5.1仅有工作需要的人查看检查记录。
10.5.2通过访问控制、物理隔离或/和网络隔离,防止检查文件受到非授权修改。
10.5.3即时将检查记录文件备份到难以更改的中央日志服务器或媒介中。
10.5.4将向外技术(无线、防火墙、DNS、邮件)的日志写入安全的内部中央日志服务器或媒介设备。
10.5.5对日志使用文件完整性监控或变更检测软件。
10.6 审核所有系统组件的日志和安全事件以识别异常情况或可疑情况。
10.6.1至少每天审核一次以下内容:所有安全事件(在发现可疑或异常活动后发出的通知或警告等),可存储、处理或传输持卡人数据或敏感验证数据或影响其安全性的系统组件的日志,来自关键系统组件的日志,来自执行安全功能的系统(防火墙,IDS/IPS等)的日志。
10.6.2其他系统组件的日志定期审核。
10.6.3跟进审核过程中发现的例外和异常。
10.7 保留检查记录历史至少一年。
10.8 确保相关人员了解相关安全政策和操作程序。
要求10总结:首先,将所有访问链接到个人,在系统组件发生重要变更或访问时能够完整记录并找到访问者,日志中对事件的记录要完整。在此过程中使用时间同步技术同步所有系统时间,保护检查日志并定期审核,检查记录历史至少保留一年,最后确保相关人员了解相关安全政策和操作程序。
要求11:定期测试安全系统和流程(确保安全控制继续)
11.1 测试是否存在无线接入点(802.11),并按季度检测和识别所有授权和非授权的无线接入点。(在网络中利用无线技术是恶意用户访问网络和持卡人数据最常用方法之一,非授权无线设备可隐藏于或连接到系统组件或者网络设备)(方法:无线网络扫描、逻辑检查、网络访问控制NAC,无线IDS/IPS)
11.1.1保留一份授权的无线接入点清单,包括业务理由。
11.1.2如果检测到非授权的无线接入点,实施事故响应程序。
11.2 至少每个季度运行一次内部和外部网络漏洞扫描,并且在网络有重大变化时也运行漏洞扫描。(内部季度漏洞扫描由合格人员执行,外部季度扫描必须由授权扫描服务商进行)
11.2.1每季度一次的内部漏洞扫描直至所有高风险漏洞均得以解决。
11.2.2通过支付卡行业安全标准委员会(PCI DSS)认证的授权扫描服务商(ASV)执行每季度一次的外部漏洞扫描,直至获得扫描通过结果。
11.2.3在发生重要变更时,视情况需要执行扫描。
11.3 实施穿透测试法:(目的在于模拟现实世界中的攻击情形,了解攻击者能够穿透环境的程度)
以行业内认可的穿透测试法为基础(例如 NISTSP800-115)
覆盖整个CDE环境和关键系统。
来自网络内部和外部的测试。
包括用于验证任何网段和范围缩小控制的测试。(???)
定义应用层穿透测试
定义网络层穿透测试
包括审核并考虑过去12个月内遇到的威胁和漏洞。
制定保留穿透测试结果和修复活动结果。
11.3.1每年至少执行一次外部穿透测试,并在基础架构或应用程序在重要变更时也执行测试。
11.3.2内部穿透测试同样也是每年至少一次。
11.3.3在穿透测试中发现的可利用漏洞已得到修复,并通过重复执行的测试确认修复。
11.3.4如果利用网络分段将CDE与其他网络隔离,至少每年一次执行穿透测试,确认分段方法是否有效。
11.4 利用入侵检测和/或入侵防御技术来检测和/或防御网络入侵,监控数据环境中的流量。
11.5 部署变更检测机制(例如文件完整性监控),在发现重要文件发生非授权修改时警示工作人员,至少每周一次重要文件对比。
11.6 确保相关人员了解相关安全政策和操作程序。
要求11总结:首先测试是否存在无线接入点,定期从内部和外部网络进行漏洞扫描,其次实施穿透测试来模拟攻击情形,使用入侵检测和入侵防御技术,对环境中的流量和文件变更进行监控,最后确保相关人员了解相关程序。
维护信息安全政策
要求12:维护针对所有工作人员的信息安全政策。
12.1 制定、公布、维护和宣传安全政策。
12.1.1至少每年审核一次安全政策,并在环境发生变更时予以更新。
12.2 实施风险评估:至少每年一次,或在环境发生重大变更时也执行评估,确定重要资产、威胁和漏洞,形成正式风险评估。(识别可能产生不利的威胁和相关漏洞,可以有效分配资源,实施控制措施)
12.3 制定关键技术的使用政策,规定这些技术的正确用法。确保政策满足:(远程访问、无线技术、系统设备和软件程序的使用)
12.3.1被授权方的明确许可
12.3.2技术使用验证(技术使用时均需通过用户ID和密码或其他验证项目进行验证)
12.3.3列出所有此类设备和具有访问权的工作人员的列表。
12.3.4确定负责人、联系信息和用途的方法(设备标签、编码等)
12.3.5可接受的技术使用方式
12.3.6技术可接受的网络位置
12.3.7公司批准的产品列表
12.3.8非活跃状态持续一定时间后自动终端远程访问技术的会话。
12.3.9仅在需要时为合作伙伴激活远程访问技术,并在使用后立即停止。
12.3.10除因业务需要,对于远程访问持卡人数据的工作人员,禁止数据复制、移动等操作。
12.4 确保安全政策和程序明确规定所有工作人员的信息安全责任。
12.5 将下列信息安全管理职责分配给个人或团队:
12.5.1制定、记录和分发安全政策和程序。
12.5.2监控和分析安全警报与信息,并分发给相关人员。
12.5.3建立、记录并分发安全事故响应和逐级上报,确保有效处理所有的情况。
12.5.4管理用户账户
12.5.5监控并控制所有的数据访问。
12.6 实施正式的安全意识计划,使所有工作人员意识到持卡人数据安全的重要性。
12.6.1人员培训(录用培训,此后每年至少一次)
12.6.2人员每年至少确认一次自己阅读并了解安全政策和程序。
12.7 筛选应征者,以最大程度降低内部攻击的风险。(背景调查:以往的工作经历,犯罪记录,信用记录以及证明人调查)
12.8 维护并实施政策和程序,以管理共享持卡人数据或可影响持卡人数据安全的服务提供商:
12.8.1保留服务提供商名单
12.8.2要求服务提供商出具书面协议,确认负责维护所有数据安全。
12.8.3确保已建立雇佣服务提供商的流程(雇佣前的风险分析,提供商的漏洞和事故响应程序,双方分配PCIDSS责任的详细方法等)
12.8.4通过维护一项计划来监控服务提供商的PCI DSS遵从性状态。
12.8.5维护涉及分别由各个服务提供商和实体管理的PCI DSS要求的信息。
12.9 服务提供商以书面形式向客户确认其负责维护的数据(评估对象为服务提供商时)
12.10实施事故响应计划。随时准备立即响应系统漏洞。
12.10.1建立在出现系统漏洞时实施的事故响应计划,确保计划至少包括:
出现威胁时的责任和沟通策略,事故响应程序,业务恢复 和继续程序,数据备份流程,报告威胁的法律要求分析(是否有相关法律条例要求需要做相关报告),所有关键系统组件的范围和响应,支付品牌对事故相应程序的参考或应用。
12.10.2至少每年测试一次,确保不会漏掉关键步骤及可能影响。
12.10.3制定可全天候响应警报的特定人员。
12.10.4为具有安全漏洞响应责任的人员提供培训
12.10.5包含来自安全监控系统(入侵检测系统,入侵防御系统,防火墙,文件完整性监控系统等)的警报。
12.10.6根据经验教训和行业发展,改进事故响应计划的流程。
要求12总结:首先制定公布安全政策,并每年至少一次对安全政策进行风险评估,并制定关键技术的使用政策。其次,将安全政策和程序的信息安全管理职责分配给工作人员,并对工作人员进行筛选和培训。最后,维护并实施相关政策和程序,客户和服务提供商双方提供书面协议,建立事故响应计划。
|
