衆所周知去年四月份支付卡行業安全標準委員會(PCI SSC: Payment Card Industry Security Standards Council)正式發佈PCI數據安全標準(PCI DSS: Payment Card Industry DataSecurity Standard)最新版本v3.2。PCI DSS v3.2版本將替換之前的v3.1版本,此次標準更新依據全球700多家參與機構提交的反饋以及支付受理方式變化引發的數據泄露情況報告等數據做出,旨在應對客戶支付信息面臨的日益增長的安全威脅。
支付卡行業數據安全標準(PCI DSS)是目前全球最嚴格且級別最高的金融數據安全標準,已獲得此認證的公司大多爲銀行或第三方支付公司。中國也有其他行業的一些公司諮詢過PCI DSS認證,但均因難度太大沒有繼續推進最後不了了之。其實,這些難度主要來自於***測試和漏洞掃描兩個方面。
支付卡行業的數據安全標準(PCI)第11.3條要求企業每年對內網和外網實施***測試評估。而且,這些測試必須每年至少進行一次,而且在持卡人數據環境作出任何重大變更之後必須重複測試。在***測試中每一個主機和所有的相關服務, 都會被仔細的逐個探測,以識別潛在的漏洞。作爲一條準則, 所有的潛在的漏洞, 都必須人工手動進行審查、研究、並進行漏洞利用。相反, 非人工手動方式可能會損害目標系統上的數據,或對目標造成拒絕服務***。在測試中發現任何可利用的漏洞,企業必須修復問題,然後重複測試。***測試周期要到漏洞被修復才完成,而且還需要提供系統已修復漏洞的證明書。這其中運用到三種測試手段:基於黑盒內部***測試、針對授權用戶的內部***測試、優先授權內部測試。一系列高標準、嚴要求的測試手段,只有極少數企業才能順利通過。
另外根據的要求,涉及認證範圍內的系統還需要進行系統內部和外部(ASV)的漏洞掃描,並提交報告。實施服務商應具備PCI標準委員會授權認可的PCI ASV漏洞掃描服務商資質,且按照PCI要求安排具有ASV掃描資質的人員執行以季度爲單位的PCI ASV漏洞掃描服務。這就意味着只有ASV資質的人員進行漏洞掃描纔有效果,所有第三方的掃描都沒有作用。支付卡行業第11.2條要求企業至少每季度、或者是網絡重要變革之後,執行外部和內部網絡掃描。每個季度掃描出來的文檔企業都應該保存下來,檢測到的高風險漏洞都必須儘快修復,並且應該進行後續掃描,直到所有問題得到順利解決。
PCI DSS認證雖然嚴格,但在專業機構和相關人員的指導下,嚴格執行還是能夠完成的。PCI DSS認證能讓企業的網絡更安全,還能降低用戶數據泄露的可能性。隨着網絡安全法的頒佈以及人們對網絡安全的重視,通過PCI DSS認證的公司將會越來越多,支付卡行業的數據信息將會越來越安全。