遵照PCI DSS法案 確保數(shù)據(jù)的完整性
企業(yè)圍繞阻止數(shù)據(jù)泄漏和數(shù)據(jù)失竊的需要而大做文章,但費勁力氣的企業(yè)怎樣才能確保所有的數(shù)據(jù)得到了保護呢?數(shù)據(jù)完整性是支付卡行業(yè)數(shù)據(jù)安全標準(Payment Card Industry Data Security Standard ,PCI DSS)法案的一個關鍵組成部分(更不用說公司的運作能力),所以安全和法案團隊應優(yōu)先確保數(shù)據(jù)完整性和準確性。
但是,了解哪些數(shù)據(jù)需要保護可能會非常棘手。
一般來說,法案規(guī)則相當清楚地規(guī)定了公司需要保護哪些數(shù)據(jù)(持卡人的數(shù)據(jù)、個人識別信息(PII)、個人健康信息(PHI)等),這些都屬于比較容易的部分。真正棘手的是怎樣在組織內部找出與法案相關的數(shù)據(jù),對其進行合理的跟蹤和保護。
所以,即使你還沒有開始擔心的PCI,也有必要了解公司內部的重要數(shù)據(jù)是如何以及在何處流傳的。雖然DLP廠商會說,這不是嚴格意義上的技術問題,而是一個處理和人員的問題。你需要和每個業(yè)務部門的人都展開談話,因為你會發(fā)現(xiàn)他們使用數(shù)據(jù)的方式是你不可能想到的,甚至是有些業(yè)務需要可能是你沒有考慮到的。這些談話無疑會激起更多的談話,最終你將清晰地認識到:哪里有你必須保護的數(shù)據(jù),你是否保護了這些應該保護的數(shù)據(jù)。
對于PCI DSS,在某種意義上這個項目都是關于數(shù)據(jù)完整性的,但更深的挖掘你會發(fā)現(xiàn)12個PCI要求中沒有一個嚴格地屬于數(shù)據(jù)完整性的范疇。也就是說,12個要求都是重要的,當我們具體地看待數(shù)據(jù)的完整性問題,有一些具體要求可以幫助實現(xiàn)數(shù)據(jù)完整性。
最值得注意的是,看看關于保護持卡人數(shù)據(jù)的要求(其中包括要求3:保護存儲的持卡人數(shù)據(jù),和要求4:加密在開放的、公共的網絡上傳輸?shù)某挚ㄈ藬?shù)據(jù))和強大的訪問控制措施的實施情況(包括要求7:限制對基礎信息的訪問,要求8:用戶必須具有唯一的用戶ID,要求9:限制對持卡人數(shù)據(jù)進行物理訪問)。要求8直接導致需求10:要求對所有持卡人數(shù)據(jù)和網絡資源進行定期訪問監(jiān)測。最后,還有要求6:要求安全系統(tǒng)和應用程序的開發(fā)和維護。所以,總而言之,有一半以上的要求直接而明顯地強調了數(shù)據(jù)的完整性問題。
什么是保持企業(yè)數(shù)據(jù)完整性的最佳(或至少是共同的)做法?首先,無論是未使用的數(shù)據(jù)還是在整個網絡上傳輸?shù)臄?shù)據(jù),都要對其進行加密。雖然這不是PCI DSS的要求,但我強烈建議通過SSL來傳輸數(shù)據(jù),甚至把數(shù)據(jù)傳輸限制在企業(yè)自己的私有網絡中。這樣做確保了數(shù)據(jù)不會被盜竊和篡改,而且不會增加太多(如果有的話)的復雜性,又能真正有利于維護數(shù)據(jù)的完整性。.
下一步(同時,甚至更好的)的措施是給應用和網絡建立記錄和審計,這樣當數(shù)據(jù)改變時,企業(yè)能夠知道誰在訪問它的數(shù)據(jù)。而且,可能更重要的是,獲悉數(shù)據(jù)的去向。這應該包括一些網絡分析的能力。雖然記錄和審計不是PCI DSS標準的一部分,但如果所有的數(shù)據(jù)都加了密,那它們就變得必要了。此外,記錄和審計還能提供額外的好處,那就是能很快確發(fā)現(xiàn)敏感數(shù)據(jù)是否被傳輸?shù)骄W絡上陌生的或不同的路徑——這很可能是潛藏著的破壞正在進行中。最近出現(xiàn)的Heartland 支付系統(tǒng)公司被入侵的事件警示我們,如果有這種記錄和審計技術,很可能將更早的發(fā)現(xiàn)問題,從而避免公司出現(xiàn)更嚴重的后果。
類似地,通過建立安全系統(tǒng)和應用程序并對其進行維護,你可以有一個更高的舒適度:這些系統(tǒng)中的數(shù)據(jù)在你的控制下,只有那些具有授權的、合法的訪問操作才能夠改變它。
通過遵循這些步驟(加密、日志、審計、安全的應用程序等),你不但符合PCI DSS法案,而且還符合了其他規(guī)則,如薩班斯法案(SOX),這將是一個額外的好處。
至于其他的建議,可以參考網上很多更詳細的PCI DSS描述,包括PCI DSS的一般資料的例子、建立一個優(yōu)先遵循PCI DSS方法、適用于無線網絡的PCI DSS法案的指導方針、理解PCI DSS要求的意圖等。這會讓你清楚的知道從哪里開始處理數(shù)據(jù)的完整性,以及怎樣進一步的對數(shù)據(jù)完整性進行處理。
【編輯推薦】
