PCI DSS 是主要信用卡公司在 2004 年制定的一套安全標準,因為不令人意外的是,處理付款的應用程式對駭客和網路犯罪分子來說是非常吸引人的攻擊目標。
目錄
PCI DSS 的使命是確保信用卡和金融卡交易的安全,不僅能防止銀行和支付卡產業蒙受損失,還能提升消費者的信任與安全。這一點可透過一套安全控管來確保信用卡資料的機密性、完整性與可用性。此法規遵循標準適用於每一個儲存、處理及傳輸信用卡資料的企業。不像 NIST 是一個您非常鼓勵但沒有義務遵守的框架,您絕對必須遵守 PCI DSS。
PCI DSS 由 12 項要求組成,分成六項控管目標,確保負責處理、儲存或傳輸信用卡資料機構能維護安全的環境。法規遵循有助於保護持卡人資訊並強化整體的資安措施。
目標 1:建立安全的網路
規則 #1:安裝並維護防火牆
規則 #2:請勿使用廠商預設的密碼或組態設定。
目標 2:保護持卡人資料
規則 #3:保護儲存的持卡人資料
規則 #4:將傳輸的持卡人資料加密。
目標 3:維護漏洞管理計畫。
規則 #5:防範惡意程式
規則 #6:開發及維護安全的系統
目標 4:管理存取控管
規則 #7:限制持卡人資料的存取
規則 #8:以獨特方式辨識所有有權存取持卡人資料的人。
規則 #9:限制持卡人資料的實體存取
目標 5:監控及測試網路
規則 #10:追蹤並監控所有持卡人資料的存取。
規則 #11:測試系統防護
目標 6:維護資訊安全政策
規則 #12:在企業內部建立並落實資安政策。
此外,還有四種法規遵循等級,視處理的信用卡/金融簽帳卡交易次數而定。該分類決定了企業該如何維持法規遵循:
第 1 級:每年超過 600 萬筆交易 - 要求:由經授權的 PCI 稽核人員所執行的年度內部稽核。此外,他們必須每季由核准掃描廠商 (ASV) 進行一次 PCI 掃描。
第 2 級:每年 1 至 600 萬筆交易 - 要求:使用自我評估問卷 (SAQ) 完成年度評量。可能需要每季進行一次 PCI 掃描。
第 3 級:每年 20,000-100 萬筆交易- 要求:年度自我評估,也可能是每季一次的 PCI 掃描。
第 4 級:每年不到 20,000 筆交易 - 要求:年度自我評估,也可能是每季一次的 PCI 掃描。
企業內每個人都在維持法規遵循上扮演著重要角色。從最高層的 CISO 開始,接著再到 SecOps 和 DevOps 團隊。在一個理想的 DevSecOps 世界,兩個團隊之間並無資安責任的層次架構,彼此合作。SecOps 必須協助 DevOps 團隊了解他們該做些什麼,而開發人員必須在應用程式層次執行這項作業。
以下是持續法規遵循為何是團隊共同努力的幾個範例(依據 12 項PCI DSS 要求):
規則 #6:開發人員必須建置一套以資安為考量的系統。
規則 #8:身分與存取管理必須為每個使用者指派一個唯一的使用者識別碼。
規則 #9:實體保全部門必須確保對大樓和伺服器機房的進出受到控管。
規則 #10:防護作業必須確實建立記錄檔來記錄並追蹤持卡人資料的存取。
規則 #11:營運與開發團隊必須共同合作來測試伺服器和軟體。
規則 #12:管理階層必須制定政策與相關文件來詳細說明企業必須達成的資安與法規遵循等級。
總而言之,每個人都在遵守法規方面扮演著重要角色。不僅為了企業的更大利益,更讓您有效率地建構及部署應用程式,相信應用程式啟動之後不會再收到 10,000 個 SOS Slack 警示。
正如我們之前所說,您的責任主要在於應用程式層面。包括使用安全的原始程式碼、確保 CI/CD 流程組態設定正確等等。您可能在想:好的,但我該怎麼知道該如何做? 好消息是,您不必是資安人員或法規遵循人員,就像您不需是神經外科醫師,就能切斷 Band-Aid 的防線一樣。這一切都是為了了解並運用適當的資源 (例如 Band-Aid,而非將餐巾貼在傷口上)。
為了避免組態設定錯誤,您可以查看雲端服務供應商 (CSP) 的文件網站。不過,閱讀這些資訊可能太耗時。如果是這樣的話,我們建議(甚至是強烈建議)採用一套具備自動化能力的資安解決方案。
第一個被人想到的資料外洩事件是 Capital One 駭客攻擊,該集團揭露了 1 億 6 百萬個信用卡申請,並導致 美國8 千萬美元的罰鍰。我們來看看其他一些資料外洩事件,以及該如何參考 PCI DSS 規則和目標來避免這些資料外洩事件。
Hobby Lobby
2021 年初,Hobby Lobby遭到駭客入侵。一名獨立研究人員利用 Boogeyman 的網路暱稱來發現這項資料外洩。他發現了一個公開存取的 Amazon Web Services (AWS) 資料庫,內含來自 30 萬多名 Hobby Lobby 客戶的敏感資訊。該資料庫大小為 138GB,內含客戶姓名、地址、電話號碼以及卡片資料。奇怪的是,同一資料庫是該公司應用程式的原始程式碼,而這又是另一個問題。
此次資料外洩源於一個組態設定錯誤的雲端資料庫,導致任何人都可公開存取。這顯然違反了 PCI DSS 第 3 條、第 7 條和第 9 條,因為支付卡資料是儲存在開放的伺服器。此外,Hobby Lobby 也未能遵守第 10 條規範,該規範指出持卡人資料與相關網路資源的存取權限必須受到追蹤與監控。這一點顯然沒有發生,否則組態設定錯誤就會被修正,而且整起事件本可完全避免。
Macy's
2019 年 10 月,Macy's 發生了一起資料外洩事件,該事件暴露了使用 My Account 錢包網頁線上結帳系統的客戶之支付卡卡號、安全碼以及有效期限。儘管 Macy’s 並未揭露受影響的客戶數量,但該零售商截至該年 4 月為止,每個月的網路造訪次數卻高達 5,570 萬次。坦白說,只要竊取一位客戶的資訊就足以引起疑慮。
此次資料外洩的發生原因,是因為駭客利用了針對性的Magecart 攻擊,將惡意程式注入了結帳頁面和錢包頁面當中。Macy’s 顯然是違反了 PCI DSS 規則,更令人擔憂的是 Magecart 是眾所周知的。事實上,Macy’s 只是該年許多受害者之一,包括 FILA、Ticketmaster、英國航空等等。先前針對其他大型零售業者的攻擊,應該會促使 Macy’s 執行資安稽核,並依 PCI DSS 的要求矯正任何漏洞。
Scott Sargeant 是趨勢科技產品管理副總裁,也是一名經驗豐富的技術領導人,在開發網路資安與 IT 領域企業級解決方案方面擁有 25 年以上經驗。