行业资讯

立即注册 咨询客服

当前位置:首页 > 行业资讯> PCI合规性安全:适合您企业的14条实践经验

PCI合规性安全:适合您企业的14条实践经验

发布时间:2022年11月25日 10:50:10    来源: A5互联

我作为系统管理员在支付行业工作了15年多,我职业生涯的大部分时间都在处理支付卡行业合规性方面的工作,这与涉及处理信用卡数据的公司的安全要求有关。

PCI合规性是一个非常复杂的领域,该行业的企业必须遵守这些准则才能获准处理支付流程。

PCI合规性是一种基于支付卡行业安全标准委员会强制要求的结构,以确保所有处理、存储或传输信用卡信息的公司都保持安全的操作环境,以保护其业务、客户和机密数据。

这个准则被称为支付卡行业数据安全标准,于2006年9月7日出台,直接涉及所有主要信用卡公司。

PCISSC由Visa、MasterCard、AmericanExpress、Discover和JapanCreditBureau创建,用于管理PCIDSS。遵守PCIDSS的公司被确认为PCI合规性,因此值得信赖与之开展业务。

每年处理超过100万或600万笔支付卡交易的所有商户,以及每年保留、传输或处理超过300,000笔卡交易的服务提供商,都必须接受PCIDSS合规性审计

值得注意的是,PCI合规性并不能保证不会发生数据泄露,正如符合消防法规的房屋完全可以防火一样。它只是意味着公司运营经过认证,符合严格的安全标准,为这些企业提供最好的威胁保护,从而在其客户群和监管要求中产生最高水平的信心。

不遵守PCI要求可能会导致每月5000美元到100000美元的巨额罚款。确实面临数据泄露的合规企业在事后面临的罚款可能会大大减少。

适合您企业的14条PCI最佳实践

1.了解您的持卡人数据环境并尽可能记录一切

执行PCI合规性并不奇怪;必须彻底分析和记录所有系统、网络和资源。您最不想要的是在某处运行的未知服务器或一系列神秘帐户。

2.积极主动并全面实施安全策略

将PCI合规性安全视为需要“附加”或根据需要应用的东西是一个巨大的错误。默认情况下,这些概念应该融入整个环境。诸如要求对生产环境进行多因素身份验证、使用https代替http和ssh代替telnet以及强制定期更改密码等元素应提前应用。您的企业越注重安全,审计时间结束后需要完成的工作就越少。

3.对处理持卡人数据的员工进行员工背景调查

应对所有潜在员工进行彻底审查,包括对将处理持卡人数据的人员进行背景调查,无论是直接还是担任行政或支持职位。任何有严重指控记录的申请人都应被拒绝就业,特别是如果它涉及金融犯罪或身份盗窃。

4.实施集中的网络安全机构

为了获得最佳的PCI合规性,您需要一个集中的机构作为所有实施、管理和补救工作的决策机构。这通常是IT和/或网络安全部门,应配备在该领域受过培训且了解PCI要求的员工。

5.实施强有力的安全环境控制

总体而言,您应该在处理持卡人数据系统的每个可能元素中使用强大的安全控制。使用防火墙、NAT、分段子网、反恶意软件、复杂密码(不要使用默认系统密码)、加密和令牌化来保护持卡人数据。

另外,请尽可能限制持卡人数据系统、专用网络和资源的范围,这样您就可以最大限度地减少保护尽可能少的一组资源所涉及的工作量。

例如,不要让开发帐户访问生产环境,因为现在开发环境被考虑在范围内并且受到更高的安全性的影响。

6.实现最低权限所需的访问

在持卡人系统上执行管理工作时使用专用用户帐户,而不是根或域管理员帐户。确保只授予用户最低限度的访问权限,即使是管理员角色。在可能的情况下,让他们依赖“用户级帐户”和单独的“特权帐户”,这些帐户仅用于执行提升权限级别的任务。

7.实现日志、监控和告警

所有系统都应该依赖于将操作和访问数据记录到一个集中位置。这种日志记录应该是全面的,但不是太多,并且应该建立一个监控和警报过程,以通知适当的人员已验证或可能可疑的活动。

警报示例包括登录失败次数过多、帐户被锁定、有人以root或管理员身份直接登录主机、root或管理员密码更改、异常高的网络流量以及任何其他可能构成潜在或初期数据泄露的情况。

8.实施软件更新和补丁机制

在第1步中,您知道持卡人数据中正在运行哪些操作系统、应用程序和工具。确保定期更新这些内容,尤其是在出现严重漏洞时。IT和网络安全应订阅供应商警报,以便接收这些漏洞的通知并获取有关补丁应用程序的详细信息。

9.实施标准的系统和应用配置

在持卡人环境中构建的每个系统,以及在其上运行的应用程序,都应该是标准构建的一部分,例如来自实时模板。系统之间应该有尽可能少的差异和差异,尤其是冗余或集群系统。该实时模板应定期修补和维护,以确保从中生成的新系统完全安全并准备好部署。

10.实施终止特权员工清单

太多的企业没有正确跟踪员工离职情况,尤其是当存在不同的部门和环境时。人力资源部门必须负责通知所有应用程序和环境所有者员工离职,以便彻底删除他们的访问权限。

IT和/或网络安全部门应编制和维护处理信用卡数据的所有系统和环境员工的全面清单,并应遵循所有步骤以确保100%的访问权限删除。

不要删除帐户;而是禁用它们,因为PCI审计员通常需要禁用帐户的证明。

11.实施安全的数据销毁方法

当持卡人数据被删除时,根据要求,必须涉及安全的数据销毁方法。它可能需要基于软件或硬件的过程,例如文件删除或磁盘/磁带销毁。通常,物理媒体的销毁需要证据来确认这已经正确完成并被见证。

12.进行渗透测试

安排内部或外部渗透测试,以检查您的环境并确认一切都足够安全。您更愿意在PCI审核员这样做之前找到您可以独立纠正的任何问题。

13.教育你的用户群

全面的用户培训对于维护安全操作至关重要。培训用户如何安全访问和/或处理持卡人数据、如何识别网络钓鱼诈骗或社会工程等安全威胁、如何保护他们的工作站和移动设备、如何使用多因素身份验证、如何检测异常,以及最重要的是,联系谁来报告任何可疑或确认的安全漏洞。

14.准备好与审计师一起工作

现在我们到了审计时间,您将与个人或团队会面,他们的目标是分析您企业的PCI合规性。不要紧张或担心;这些人是来帮忙的,不是监视你。给他们他们所要求的一切,而且只给他们所要求的——诚实但最少。你没有隐藏任何东西;您只是提供足以满足他们需求的信息和响应。

此外,保留设置屏幕截图、系统漏洞报告和用户列表等证据,因为这些可能会在未来的审计工作中派上用场。尽快处理他们的所有补救和更改建议,并准备提交证据证明这项工作已经完成。

彻底审查任何提议的更改,以确保这些更改不会对您的操作环境产生负面影响。例如,我曾见过要求删除TLS1.0以支持更新的TLS版本的情况,但应用此建议会破坏与遗留系统的连接并导致中断。为了符合要求,必须首先更新这些系统。