什麼是PCI QSA,PCI安全標委會機構設定,PCI QSA合規評估價值,合規的重點和難點,合規評估流程,支付產業的參與和發展,怎樣選擇合適的合規評估機構,各支付卡品牌大力推動,
什麼是PCI QSA
近年來,信用卡用卡安全問題備受關注。眾所周知,支付卡產業數據安全標準(PCI DSS:Payment Card IndustryData Security Standard)是該領域最為權威且全球廣泛採用的信息安全合規建設以及安全評估的最佳實踐。世界範圍內,諸多信用卡收單機構和發卡機構、商戶,以及支付服務提供商已經實現了合規評估,或者正在致力於合規建設。而在我國國內,服務提供商的PCI DSS合規評估工作已經比較廣泛的被接受和認可,比如快錢、易寶支付、首信易支付、盛付通、Oncard Payments等諸多的支付服務機構已經通過了PCI DSS的合規建設並持續通過中立的第三方的評估;國內銀行的信用卡收單機構和發卡機構的PCI DSS合規建設也在近兩年得到了越來越多的關注,VISA作為卡組織,其風險管理的要求中對於收單和發卡機構的PCI DSS合規建設也是重中之重。多年以來,VISA組織在全球範圍推行基於PCI相關要求的風險管理體系,比如亞太地區的帳戶信息安全(AIS:Account InformationSecurity)。
PCI安全標準委員會嚴格的維護了合格安全性評估機構(QSA:Qualified Security Assessors)的授權評估體系,面向收單銀行、商戶、服務提供商等支付產業相關機構提供安全掃描和評估服務,並出具符合性報告。所有的QSA都需要經過嚴格審核後才能得到授權,並要進行每年一度的重新審核;QSA的相關全職評估人員需要參加PCISSC組織的資格培訓和考核,並也要進行每年一次的重新資格培訓。
五個支付品牌完全認可PCISSC所授權的QSA,原先由各支付品牌(如VISA)自行維護的QSA體系也已經完全由PCISSC接管負責。
被授權的QSA,可以為世界範圍的機構提供安全評估和弱點掃描工作,並為成功通過評估的機構出具符合性證書;同樣也可以根據需要為機構提供幫助和顧問諮詢,從而使其符合PCI安全標準的要求。
PCI安全標委會機構設定
PCI SSC是由美國運通(AmericanExpress)、美國發現金融服務(DiscoverFinancial Services)、JCB、萬事達(MasterCard Worldwide)和Visa國際組織五家支付品牌在06年秋共同籌辦設立的統一且專業的信息安全標準委員會。
PCI安全標準委員會(PCI SSC)的最高級別執行委員會(Executive Committee)是由上述五家支付卡品牌中負責風險管理或相關服務技術的副總裁組成。執行委員會下設管理委員會(Management Committee),也由五家支付卡品牌的相關負責人組成,負責該安全標委會的重大決策。委員會設有總經理(General Manager),並設立專門的DSS工作組、PED工作組、QSA體系管理、ASV體系管理、PA體系管理等部門,分別負責各自領域的標準開發和體系維護等技術工作,此外還設有市場工作組和立法委員會。
PCI QSA合規評估價值
PCI DSS標準從信息安全管理體系、網路安全、物理安全、數據加密等方方面面提出了諸多的安全基線要求。雖然沒有任何一個信息安全標準或者安全建設可以保障實現百分之百的抵禦安全風險,然而根據業界的積累,能夠實現PCI DSS並且嚴格按照PCI DSS的要求持續實施針對持卡人數據環境的安全防護,安全事件發生的可能性將大大降低。
除了很多具體的技術改進和安全防護提高之外,致力於PCI DSS合規建設合評估工作的價值大體可以總結為以下幾個層面:
1.識別和發現機構可能被攻擊的薄弱環節
2.通過外部獨立的第三方評估機構的安全評估提高客戶自身的安全級別和降低安全風險
3.提高人員對於信息安全的意識
4.管理體系的符合性建設可以塑造經營良好的機構形象,正式評估結果更進一步驗證並公開認可其符合 性;增強與機構業務往來夥伴的信心和滿意度
(1)監管機構或者權威部門
(2)客戶、合作夥伴、供應商
(3)機構內部組織和部門之間
(4)保險公司
5.管理體系的建設進一步加強機構的內部管理和控制:
(5)加強公司管理的高級別的安全性,使高層的方針政策融入到具體的業務流程、操作流程、和人 事財務等行政管理流程之中,並通過工作模版/工具使得各項記錄更加簡化有效
(6)建立可計量的機制來獲得管理支持,管理和技術使用共同語言對話
(7)在公司內增強安全控制的實務保障
(8)加強中立、獨立、且管理層信任的外部審計,分擔部分管理層審核(management review)的 壓力
(9)全員提高安全意識,全員深刻體會企業文化
(10)加強投資信心
6.可以降低諸多的成本和費用:
(11)有效的管理和降低安全事件的影響,減小處理風險的投資;完整的風險管理、業務連續性和 應急回響等細節的完善更是直接降低了重大事件發生的風險;
(12)通過符合性的審計和認證,可以減少其他各個領域的外部審查或調研,比如西方客戶或者法 律領域經常發生的盡職調查(Due Diligence)等;
(13)可以減少保險相關費用(insurance premium),通過符合性建設直接帶來長期的必要保險費 用的減低,或者保險額、保險範圍的增加;
(14)通過管理體系職責明確,可以與相關人員分擔安全工作。
7.符合性建設和認證具有市場價值,在同行業同領域對手面前占據絕對的優勢,提高自身競爭力。
8.符合性建設和認證可以為全球信息交流建立國際信任且認可的平台,是機構在世界舞台上展現自己的 重要因素,也很有可能是先決條件。
1.識別和發現機構可能被攻擊的薄弱環節
2.通過外部獨立的第三方評估機構的安全評估提高客戶自身的安全級別和降低安全風險
3.提高人員對於信息安全的意識
4.管理體系的符合性建設可以塑造經營良好的機構形象,正式評估結果更進一步驗證並公開認可其符合 性;增強與機構業務往來夥伴的信心和滿意度
(1)監管機構或者權威部門
(2)客戶、合作夥伴、供應商
(3)機構內部組織和部門之間
(4)保險公司
5.管理體系的建設進一步加強機構的內部管理和控制:
(5)加強公司管理的高級別的安全性,使高層的方針政策融入到具體的業務流程、操作流程、和人 事財務等行政管理流程之中,並通過工作模版/工具使得各項記錄更加簡化有效
(6)建立可計量的機制來獲得管理支持,管理和技術使用共同語言對話
(7)在公司內增強安全控制的實務保障
(8)加強中立、獨立、且管理層信任的外部審計,分擔部分管理層審核(management review)的 壓力
(9)全員提高安全意識,全員深刻體會企業文化
(10)加強投資信心
6.可以降低諸多的成本和費用:
(11)有效的管理和降低安全事件的影響,減小處理風險的投資;完整的風險管理、業務連續性和 應急回響等細節的完善更是直接降低了重大事件發生的風險;
(12)通過符合性的審計和認證,可以減少其他各個領域的外部審查或調研,比如西方客戶或者法 律領域經常發生的盡職調查(Due Diligence)等;
(13)可以減少保險相關費用(insurance premium),通過符合性建設直接帶來長期的必要保險費 用的減低,或者保險額、保險範圍的增加;
(14)通過管理體系職責明確,可以與相關人員分擔安全工作。
7.符合性建設和認證具有市場價值,在同行業同領域對手面前占據絕對的優勢,提高自身競爭力。
8.符合性建設和認證可以為全球信息交流建立國際信任且認可的平台,是機構在世界舞台上展現自己的 重要因素,也很有可能是先決條件。
最後想說的是,PCI DSS是面向支付產業鏈上所有機構的基線要求,需要這個產業鏈上所有涉及到持卡人數據(比如信用卡主賬號等信息)的存儲、交易和傳輸的各個機構的共同參與,只有全面廣泛的實現了合規才能真正做到保護持卡人數據降低信用卡盜用的風險。
合規的重點和難點
PCI DSS是一個技術基線標準,它和ISO/IEC 27001及其系列關注在信息安全管理體系建設的標準有較大程度的相容和互通性,然而PCI DSS更加專注在持卡人數據的保護,要求會更加具體化和細節化。故而,可能從某種意義上來看,實現PCI DSS的合規建設工作也不是非常容易的事情,因為需要做到每條要求的明確的合規。
致力於PCI DSS合規工作的第一步也是比較重要的環節就是範圍的確定。PCI DSS標準鼓勵機構採用合理的方式精簡持卡人數據環境,這不僅僅是為了降低審核的難度和時間,更是為了降低機構處理持卡人數據的風險。
根據以往項目經驗和業界積累,依據實現PCI DSS合規建設目標的優先權將整個PCI DSS合規建設分為六個里程碑。每一個里程碑所要達到的目的如下:
第一個里程碑的目標為刪除敏感認證數據並限制不必要位置和非業務必須的持卡人數據的存儲;
第二個里程碑的目標為保護邊界、內部和無線網路;
第三個里程碑的目標為安全的支付卡套用;
第四個里程碑的目標為監控和控制系統的訪問;
第五個里程碑的目標為保護存儲的持卡人數據;
第六個里程碑的目標為完成所有的剩餘合規工作,並確保所有的控制措施到位。
從數據安全的角度,對於敏感數據和持卡人數據,機構應該做到有效的管理,存儲的位置越少越好,這樣它帶來的風險就會越低,實現合規的整體難度也會越小。
第一個里程碑的目標為刪除敏感認證數據並限制不必要位置和非業務必須的持卡人數據的存儲;
第二個里程碑的目標為保護邊界、內部和無線網路;
第三個里程碑的目標為安全的支付卡套用;
第四個里程碑的目標為監控和控制系統的訪問;
第五個里程碑的目標為保護存儲的持卡人數據;
第六個里程碑的目標為完成所有的剩餘合規工作,並確保所有的控制措施到位。
從數據安全的角度,對於敏感數據和持卡人數據,機構應該做到有效的管理,存儲的位置越少越好,這樣它帶來的風險就會越低,實現合規的整體難度也會越小。
首先針對收單機構而言,敏感的認證數據在授權完成後,是必須要安全刪除的。敏感的認證數據包括完整的磁條信息、CVC2/CVV/CID/CAV2,PIN或者PIN block。對於發卡機構,敏感的認證數據是可以存儲的,然而必須進行保護,比如強加密機制和密鑰管理技術的引入是一個非常有效和常見的做法。
持卡人數據是指信用卡持卡人主賬號(PAN)、持卡人姓名、有效期、服務碼。對於持卡人數據,如果沒有必要存儲的位置儘量不要進行存儲,必要時可以考慮進行截斷(僅僅存儲保留卡號的前六位和後四位)、基於強加密算法的單向哈希或令牌化技術(Tokenization)(使用令牌的方式可以參考PCI關於令牌解決方案的指導Tokenization_Guidelines_Info_Supplement)。對於必須存儲的持卡人數據,較為普遍和常見的做法是進行強加密,並針對密鑰進行嚴格的密鑰管理。
PCI DSS認可的強加密算法總體來講和NIST所頒發的密碼領域最為權威的標準FIPS140相一致。目前強加密算法包括但不限於(該密鑰強度和認可算法會根據業界積累不斷更新):
對稱算法:
⚪ AES 128 bit以上(建議使用256bit)
⚪ TDES 128 bit (建議使用256bit 3 key)
⚪ AKIPJACK / ESS 128 bit(建議使用256bit)
非對稱算法:
⚪ RSA 1024 bit (建議使用2048bit 以上)
⚪ DSA 1024 bit (建議使用2048bit 以上)
如果採用強加密算法對持卡人數據進行保護,機構需要首先考慮密鑰管理體系的構建,以下是密鑰管理體系建設的思路:
⚪ 使用幾個密鑰來構建密鑰管理體系?
⚪ 使用對稱算法還是非對稱算法以及加密密鑰的長度?
⚪ 密鑰的存儲保護(防止密鑰非授權訪問和更改)
⚪ 密鑰的安全分發(確保密鑰在傳輸過程當中的安全)
⚪ 密鑰泄露或者弱化的操作流程
⚪ 密鑰到期後的變更流程
目前國內大部分銀行對於存儲在它們系統里的持卡人數據大都沒有進行加密處理,導致這種現狀的原因可能是因為業務的需要,早期系統對於數據加密支持程度不高,或者是外部開發商在前期系統設計之初並沒有對安全方面有太多的考慮。在這種現狀之下,如果客戶從業務連續性角度和生產運行工作的效率來考慮,可能比較避諱使用加密的方式進行持卡人數據的保護,又或者使用加密的方式來實現對持卡人數據的加密保護的難度非常大,這時候補償控制性措施是一個備選的解決方案。機構可以和PCI QSA一起探討並開發補償控制性措施。對於存儲的持卡人數據的補償控制性措施可以考慮同時滿足如下條件:(1) 內部網路分割; (2) IP位址或者MAC地址的過濾;(3) 來自內部網路的雙因素認證。
此外,根據筆者項目的經驗,期待在如下層面較為關注,也可能是一些實際實施整改階段的難點:
⚪ 重要的功能要做到單一功能單一伺服器;
⚪ 對數據的存取實施強加密,或者採取補償控制措施(參見上述說明)
⚪ 敏感數據存儲(收單業務在授權完成之後不能進行敏感數據的存儲;發卡業務可以存儲,但要進行強加密保護)
⚪ 公用網路的數據加密(如果存在公共開放網路的話,比如網際網路、GPRS、無線)
⚪ 安全測試環節,比如OWASP TOP 10的參考
⚪ 重大補丁及時安裝(建議先測試後安裝,可以考慮引入風險管理理念)
⚪ 密碼複雜度要求
⚪ 日誌記錄信息的全面性和存儲的要求
⚪ 入侵檢測和檔案完整性監控的部署
⚪ 機房環境的物理安全
⚪ 信息安全管理體系(策略和流程等),特別是許可權分配等相關環節
合規評估流程
如下圖所示,PCI DSS整體項目大體可以分為三個階段。第一個階段是準備評估階段,可以協助機構進行明確持卡人數據環境範圍,並共同識別差距,提出詳細的整改建議和解決方案。第二個階段是基於差距的整改階段,這個階段的周期通常根據機構現狀差距和整改的工作量等因素有所不同。第三個階段是正式評估階段,具有資質的評估人員QSA將開展全面的合規評估,之後出具合規報告和合規證明。
圖:整體項目參考示意
圖:整體項目參考示意支付產業的參與和發展
PCI DSS的標準制定和更新過程中,不僅包含標準委員會的成員,而且眾多支付產業鏈的相關機構如協會、POS廠商、服務提供商、商戶、金融機構、處理機構或者其他組織也都參與其中,截至2013年初致力到PCI工作中的機構和組織有600餘家。
目前來講,諸多全球的大型金融機構已經加入了PCI SSC的參與機構,包括但不限於:Austrialia andNew Zealand Banking Group Limited、Bank of America、BMO、BNZ、Bank of the West、Deutsche Card Services、First National Bank、HSBC、Merrick Bank、Royal Bank of Scotland、Scotiabank、Swedban Card ServicesAB、TD Bank、US Bank、USAA等。
而參與組織提供的意見和建議對於PCI無疑是非常重要且具有價值的。筆者鼓勵更多的中國機構,特別是收單機構和發卡機構共同參與到PCI的工作中。參與機構可以針對標準本身提出反饋意見,也可以更好的展示自己致力於PCI安全工作的貢獻。
PCI委員會將針對參與組織給予以下特權:
⚪ 在PCI安全標準委員會顧問團為參與組織代表投票。
⚪ 提名選入PCI安全標準委員會顧問團的候選人代表。
⚪ 對 DSS 規範的所有修訂版的草案和新規範(公開發布之前)發表意見。
⚪ 參加PCI安全標準委員會主辦的一年一度的標準團體會議。
⚪ 為PCI安全標準委員會需要考慮的事項建議新方法。
怎樣選擇合適的合規評估機構
上述內容簡單介紹了PCI DSS合規評估中的經驗分享,以及合規建設和評估項目的一般流程,然而在實際執行PCI DSS合規工作的時候,應該如何選擇合適的PCI合規評估機構QSA或者評估人員提供協助並執行安全合規工作呢?以下的參考因素能夠為機構在合規過程當中可能會面臨的安全風險提供很好的安全保障。
⚪ 專業性,QSA公司和團隊人員資質,以及相關金融行業經驗,作為行業領導者,提供標準和相關領域的協助和支持;
⚪ 專注性,信息安全評估是否是該公司的主營的業務,且專注在該業務領域;
⚪ 獨立性,QSA公司是否獨立於廠商,可以提供不帶有任何偏見的實施整改建議和解決方案;
⚪ 誠信;
⚪ 該公司自身是否切實建立並執行質量管理和安全管理體系,具有最佳化的策略流程;
⚪ 該評估機構是否能夠提供除安全評估以外其他能夠提高客戶流程等有價值的服務;
⚪ 該評估機構是否能夠在很多不同的技術領域提供專業知識和經驗;
⚪ 該評估機構是否為客戶提供足夠的保險和合理的法律協定保障。
各支付卡品牌大力推動
隨著PCI數據安全標準的倍受關注,各支付品牌也繼續加強推動該項工作。基於統一公認的QSA評估結果,每個支付品牌都根據自己的安全風險管理策略,開發並維護了各自的PCI DSS符合體系。包括如下:
Ø American Express: Data SecurityOperating Standard (DSOP)
Ø Discover: Discover InformationSecurity Compliance (DISC)
Ø JCB: Data Security Program
Ø MasterCard: Site Data Protection(SDP)
Ø Visa USA: Cardholder InformationSecurity Program (CISP)
Ø Other Visa Regions: AccountInformation Security (AIS) Program
各支付卡品牌所維護的體系分別規定了強制執行要求,罰金、費用和最後期限,驗證流程和角色,符合性機構的批准和發布,商戶和服務提供商級別定義等等細節。支付品牌也負責當出現帳戶數據安全事件時的取證以及回響。可以說各個支付品牌所要求的體系都基於統一的PCI數據安全標準及其QSA評估體系,但又根據自身風險管理策略各有不同。
VISA國際組織在中國以及亞太地區使用帳戶信息安全(AIS)體系,而在北美使用持卡人信息安全體系(CISP)。
萬事達卡的站點數據保護程式(SDP)也要求所有接受信用卡支付的商戶都必須符合PCI DSS標準。2007年下半年,萬事達國際組織向亞太、中東與非洲地區的指定商戶提供幫助,使他們符合支付卡行業數據安全標準的相關要求。
