PCI DSS 是主要的信用卡公司於 2004 年建立的一套安全標準,因為處理付款的應用程式是黑客及惡意行為者極具吸引力的目標。
目錄
PCI DSS 的使命是保護信用卡和扣賬卡交易,不僅是為了遏制銀行和支付卡行業的損失,還為了提高消費者的信心和安全性。這透過一套保護卡資料的機密性、完整性及準確性的安全控制措施來實現。此合規標準適用於儲存、處理及傳輸信用卡數據的每個機構。與 NIST 只是一個強烈鼓勵用戶遵守的框架不同, PCI DSS 是一個你絕對必須遵守的規則。
PCI DSS 要求
PCI DSS 由 12 項要求組成,分為 6 個管控目標,確保處理、儲存或傳輸信用卡資料的機構維持環境安全。合規部門協助保護持卡人資料,加強整體保安措施。
目標 #1:建立安全網絡
規則 #1:安裝和維護防火牆
規則 #2:切勿使用供應商預設的密碼或配置
目標 #2:保護持卡人數據
規則 #3:保護儲存的持卡人資料
規則 #4:加密傳輸持卡人數據
目標 #3:維持漏洞管理計劃
規則 #5:防範惡意程式
規則 #6:開發及維護安全系統
目標 #4:管理存取管控
規則 #7:限制存取持卡人數據
規則 #8:獨特識別有權存取持卡人數據的所有人
規則 #9:限制實體存取持卡人資料
目標 #5:監控及測試網絡
規則 #10:追蹤及監控持卡人數據的所有存取
規則 #11:測試系統保安
目標 #6:維持資訊安全政策
規則 #12:在機構內建立並執行資訊安全政策
此外,還設有四個合規級別,視乎每年處理的信用卡/扣帳卡交易數目而定。分類確定組織需要採取哪些措施來保持合規:
第 1 級:每年要求超過 600 萬宗交易:由獲授權的 PCI 審核員進行的年度內部審核。此外,他們還必須每季度由經核准的掃描商(ASV)進行 PCI 掃描。
第 2 級:每年 1-600 萬宗交易:使用自我評估問卷(SAQ)完成年度評估。可能需要進行季度 PCI 掃描。
第 3 級:每年 2-100 萬宗交易:年度自我評估及可能進行季度 PCI 掃描。
第 4 級:每年少於 20000 宗交易:年度自我評估及可能進行季度 PCI 掃描。
PCI DSS 合規的重要性
組織中每個人都在維持合規方面發揮著重要作用。它由資訊保安長開始,然後分佈至 SecOps 及 DevOps 團隊。在理想的 DevSecOps 世界中,兩個團隊之間的保安責任都沒有階級之分,他們互相配合。SecOps 必須協助 DevOps 團隊了解其需要採取的措施,而開發人員亦必須在應用程式層面執行。
遵循 12 個 PCI DSS 要求,以下幾個例子說明了持續合規是一項團隊的努力:
規則 #6:開發人員必須建立以保安為考量的系統
規則 #8:身份及存取管理必須為每個用戶分配一個獨特的用戶帳號
規則 #9:實體保安部門必須確保管控樓宇及伺服器室的出入
規則 #10:保安運作必須確保建立紀錄,以記錄及追蹤持卡人資料的存取
規則 #11:營運及開發團隊必須合作測試伺服器及軟件
規則 #12:管理層必須制定政策及相關文件,以詳述其業務必須達致的資訊安全及合規水平
這顯示了每個人都在保持合規方面發揮著重要作用。不僅為企業帶來更大效益,更可有效建立及部署應用程式,確保在應用程式推出後不會收到 10000 個安全性通知警報。
正如我們所說,您的責任主要在於應用程式層面。這包括使用安全源碼,確保 CI/CD 流程配置適當等。您可能會想:好的,但我應如何知道如何做到? 好消息是,您不必是安全或合規的專材,就像您不必是外科醫生才懂得用藥水膠布貼傷口一樣。重點在於了解和運用適當的資源(例如藥水膠布,而非在傷口上貼上餐巾)。
為避免配置錯誤,您可以查看雲服務商的參考文件網站。然而,閱讀所有這些資訊可能過於費時。如果是這樣的話,我們建議(強烈建議)使用自動化保安方案。
第一個可能想到的漏洞是 Capital One 黑客取得了 1 億 600 萬份個信用卡申請資料,導致被美國監管機構罰款 8000 萬美元。讓我們看看其他一些違規行為,以及它們可以如何透過遵守 PCI DSS 規則和目標而避免出事。
Hobby Lobby
在 2021 年初,Hobby Lobby 遭到黑客入侵。一位處理 Boogeyman 的獨立研究人員發現了違規行為。他在 Amazon Web Services (AWS) 上發現了一個公開存取的資料庫,內含來自超過 30 萬名 Hobby Lobby 客戶的敏感資訊。資料庫的容量為 138GB,並包含客戶姓名、地址、電話號碼及部分信用卡資料。在同一個資料庫中該公司使用了 Oddly 作為應用程式的源碼,更帶出了另一個問題。
這個資料外洩事件源於雲端資料庫錯誤配置而被公開。這明顯違反了 PCI DSS 規則 #3、#7 及 #9,因為支付卡數據儲存在開放的伺服器上。Hobby Lobby 亦未能遵守規則 #10,規定必須追蹤及監控持卡人數據及相關網絡資源的存取。這些規則顯然並非被遵循,否則錯誤的配置會得到修復,而整個事件亦可以避免。
Macy’s
這家大型零售商在 2019 年 10 月遭受了入侵,洩露了在「我的帳戶」錢包頁面使用網上付款系統的客戶之支付卡號碼、安全碼及到期日。雖然 Macy’s 並未透露受影響的客戶人數,但該零售商截至該年 4 月止每月瀏覽量達 5570 萬次。坦白說,僅竊取一位客戶的資料就應該足以引起關注。
入侵源於針對性的 Magecart 攻擊,將惡意程式注入結帳及錢包頁面。Macy’s 明顯違反了 PCI DSS 規則,更令人擔憂的是 Magecart 已是眾所周知的攻擊手法。事實上,Macy’s 只是當年眾多受害者之一,其他遇襲零售商還包括 FILA、Ticketmaster、British Airways 及其他。之前針對其他主要零售商的攻擊,應該已經促使 Macy’s 執行保安稽核,並根據 PCI DSS 的要求修正任何漏洞。
產品管理副總裁 Scott Sargeant 是一名經驗豐富的技術領導廠商,擁有 25 年以上的經驗,一直在網絡資訊保安和資訊科技領域提供企業級解決方案。