随着各种银行卡或者信用卡持卡人及其交易量的不断增多,持卡人账户的存储和交易相关的信息安全问题备受关注。而面对即将商用的巨大市场和产业发展的关键时期,2009年7月24日在北京召开了“2009中国移动支付产业高峰论坛”。通过本届产业论坛,支付产业链各界同仁进行了初步的协商与研讨,为今后的合作打下了良好的基础。但与此同时,持卡人的帐户安全问题、频频发生的支付安全事件也不得不让我们敲响警钟。
本文将通过介绍目前最为专业的支付卡安全标准(PCI DSS:Payment Card Industry Data Security Standard)及其相应体系规范的维护方式。结合国内现状提出笔者的一些建议。希望通过本文的讨论,使得支付卡产业链的各个角色在未来更加重视信息安全工作,从而更为有效、全面、标准化地保护持卡人的机密信息。结合中国的现实国情,制定出符合中国支付安全领域的行业规范和标准。
PCI安全标委会机构设置
PCI SSC是由美国运通(American Express)、美国发现金融服务(Discover Financial Services)、JCB、万事达(MasterCard Worldwide)和Visa国际组织五家支付品牌在06年秋共同筹办设立的统一且专业的信息安全标准委员会。此外整个产业链中的商户、支付设备和服务厂商、处理机构和金融机构都可以成为PCI安全标准委员会的参与组织,因为支付安全问题不仅仅是支付品牌的责任,保护持卡人利益对于任何参与角色都是至关重要的。
PCI安全标准委员会(PCI SSC)的最高级别执行委员会(Executive Committee)是由上述五家支付卡品牌中负责风险管理或相关服务技术的副总裁组成。执行委员会下设管理委员会(Management Committee),也由五家支付卡品牌的相关负责人组成,负责该安全标委会的重大决策。委员会设有总经理(General Manager),并设立专门的DSS工作组、PED工作组、QSA体系管理、ASV体系管理、PA体系管理等部门,分别负责各自领域的标准开发和体系维护等技术工作,此外还设有市场工作组和立法委员会。
标准的历史和发展
目前,支付卡产业安全标准委员会(PCI SSC:Payment Card Industry Security Standards Council)承担了VISA等信用卡品牌组织早先的信息安全工作,统一地推广和采用PCI安全标准,从而推动和提高全球范围的支付账户安全。
PCI安全标准包括广泛的工作内容范围,而过去这些工作是由各个支付品牌自行开展或者由非正式的支付品牌联盟管理维护的。为了更好的适应全球技术的发展和使用,PCI安全标准推出的重要意义在于它是面向所有支付卡产业链参与者的统一且正式的标准体系,它涉及到支付卡产业链中所有的参与者,比如商户、金融机构、处理机构、服务提供商等。
PCI数据安全标准(DSS:Data Security Standard)提供了保障敏感信息安全性的产业工具和方法的通用集合。标准的原型来自于VISA的客户信息安全(AIS:Account Information Security)/ 持卡人信息安全(CISP:Cardholder Information Security)体系和MasterCard的站点数据保护(SDP:Site Data Protection)体系,该安全标准提供了可靠性较高的、适合操作的数据安全流程框架结构,包括安全事件的阻止、检测和反应。目前所采用的标准1.2版本是由PCI安全标准委员会编制修订发布的。最新版本的标准更具有可实施性,因为制定过程得到了合作伙伴和客户的积极反馈。
PCI DSS包括技术基础描述、需求,以及测评方法。标准提出了持卡人数据的安全存储、处理和传输的详尽的技术需求。标准同时提出了面向测评的通用的审计流程和扫描流程,以及通用的安全自评估问卷。PCI DSS描述了6个逻辑相关组“控制目标”的12项安全需求,他们分别是建设和维护安全网络(build and maintain a secure network)、保护持卡人数据(protect cardholder data)、确保脆弱性管理体系的维护(ensure the maintenance of vulnerability management programs)、实施强访问控制(implement strong access control measures)、经常性地监控和测试网络(regularly monitor and test networks)、确保信息安全策略的维护(ensure the maintenance of information security policies)。标准涉及的安全需求应用于所有的“系统组件”。系统组件是指任何被包含或者连接到持卡人数据环境的网络组件、服务器、或者应用系统。持卡人数据环境是处理持卡人数据或者敏感认证数据的网络组成部分。适当的网络分割使存储、处理或传输持卡人数据的系统与其他系统独立出来,从而可以简化持卡人数据范围。网络组件包括但不限于防火墙、交换机、路由器、无线访问点、网络设备、以及其他持卡人数据环境范围内的设备。服务器类型包括但不限于如下:网页、数据库、认证、邮件、代理、网络时间协议(NTP)、和域名服务器(DNS)。应用包括所有购买的和客户定制的应用,包括内部和外部(互联网)的应用。
PCI标准委员会根据各个参与方的反馈和实施情况负责标准的更新修订,但一般来讲更新的频率不会多于一年一次。如果必要,最新标准符合性完成的生效期限将被规定,从而确保实施符合性建设能够平稳过渡且及时达到最新要求。
标准的参与机构以及标准的实施
支付卡产业的各个参与机构均应该考虑实施符合性工作,即使是中小型的商户也应该考虑标准的符合性建设,特别是所有的商户(merchants)和服务提供商(Service providers)需要符合该标准的要求。各支付品牌(如VISA)各自维护其符合性验证体系,如何向支付品牌证明符合性,不同的支付品牌有各自明确的准则和要求。
如果机构完成了很多其他业务领域或者法规的符合性要求,比如SOX、GLB、FFIEC等,他们与PCI DSS的关系是相辅相成、互相促进的。PCI DSS更加专业地关注于保护存储的支付帐户信息,并最大限度的减少未授权的入侵或者帐户安全事件发生的风险。机构应该致力于PCI DSS的符合性,从而降低由于潜在的支付账户危害所带来的品牌、声誉以及财政的风险。
除了完成PCI DSS的符合性,各机构应根据支付品牌的审核验证策略和流程,通过第三方中立且经授权的合格评估机构(QSA:Qualified Security Assessor)和安全扫描供应商(ASV:Approved Scanning Vendor)进行符合性验证,审核和验证应该根据不同的支付品牌的特定策略和流程来进行。基于目前的体系,PCI SSC不涉及出现账户安全事件后的取证调查,以及相关授权认可工作,各支付品牌将继续使用已有的过程和流程。
PCI安全标准委员会在其官方网站上维护QSA的列表,该列表中的QSA是经过SSC(以及相应的支付品牌)授权认可开展评估工作。而另一方面,PCI SSC并不负责维护获得符合性认证的商户或者服务提供商,因为各支付品牌自行接受QSA和ASV所完成符合性评估和审核。PCI标准委员会严格地维护和管理第三方中立的评估机构QSA和ASV。PCI SSC负责认可和授权世界范围内的QSA和ASV机构,及其重新验证流程;培训和考核相应的审核人员并执行每年一次的人员重新资格评定,培训和考核工作针对PCI DSS的相关需求以及针对特定复杂需求和操作环境修补控制的评估。目前各支付品牌已经不再自行维护和管理QSA和ASV,统一由PCI SSC负责。
一般来讲,处理大量交易或者已经被发现缺陷的支付卡产业参与角色都需要独立的第三方评估,因为他们存在较高的风险。不同的支付品牌针对评估有不同的要求。比如典型的方法是根据商户的交易量确定商户的特定“级别”,不同的支付品牌可能要求特定级别的符合性评估由独立的合格的安全评估机构QSA来执行。比如在中国atsec信息安全是经过PCI授权认可的QSA,同时可以提供专业的信息安全咨询,协助理解标准和体系要求;机构也可以联系收单银行(acquiring bank)或者直接联系支付品牌(payment brand),从而了解要求的评估方式。
评估工作的开展遵从于支付卡产业数据安全标准(PCI DSS)安全审计流程,该流程提供了检查清单(checklist)和测评流程。典型的模式是合格的安全评估机构(QSA)首先审核环境和流程的文档。文档审核之后,进行现场评估(Onsite review)验证文档体系实现的正确性,以及敏感数据的处理和存储是否符合标准的要求。最终QSA提供(以及在适当的情况提供给支付品牌)符合性证书(CoC:Certificate of Compliance)证明满足了标准的要求,或者在满足CoC颁发要求之前提供需要解决的问题清单。
所有涉及存储、处理和传输主账户号码(PAN:Primary Account Numbers),也即信用卡号码和与其在同一逻辑网络的所有系统,他们必须符合PCI数据安全标准。通过减少涉及交易或者有可能进入相关数据的系统数量、实施网络分割(比如通过防火墙)、以及其他的有效方法都建议被使用,从而有效的减少符合性评估工作的工作量。
如果机构怀疑或者已经确认安全漏洞事件导致了支付卡数据的泄露,应该启动应急响应流程并按照支付品牌的特定流程进行通知。包括在规定时间内通知受影响的支付品牌和适当的法律执行机构。对于上述工作,作为拥有多年国际声誉和信息安全测评、管理和技术咨询经验的atsec信息安全可以为相关机构提供符合性的支持和策略制定的指导。而对于评估验证的时间和成本,根据范围的不同存在差异。比如一些小型商户可能只是包括一台单独的PC;而某大规模数据中心可能涉及更广泛的范围。一般情况可以与评估机构取得初步联系进行时间和成本的确定。
PCI标准委员会不负责管理符合性体系,而各支付品牌拥有各自的符合性要求。如果出现了安全事件,没有符合标准的商户或者服务提供商可能面对支付品牌的经济处罚和相关操作处理。各个商户应该联系其收单金融机构(acquiring financial institutions)决定针对他们的符合性验证要求。服务提供商也应该联系支付品牌获得更多的信息。各个支付品牌均已经建立了各自的验证和时间要求,符合性体系中的罚金管理也由各支付品牌自行负责。
PCI符合性状态
根据Forrester Research在2007年7月对于美国和欧洲PCI符合性研究报告显示[3],很多的商户和服务提供商存储了过多的信用卡号码之外的机密数据信息。在被统计的机构当中,81%的机构存储了信用卡号码,73%的机构存储了信用卡过期时间,71%存储了验证码(Verification codes),而且超过50%的机构都表示存储了信用卡磁条(magnetic stripe)上的用户数据。很多处理大批量交易的机构都暴露出了极其错误的行为,特别是一些金融服务、医疗、保险和高等教育行业,相当比例的机构存储了绝对禁止进行存储的数据。这些机构存储信用卡数据的动机也不尽相同,基本上可以归纳为使用这些信息进行防止欺骗的分析、用户唯一识别、业务智能分析、退款、与合作伙伴信息共享等。相当多的机构还需要在信息存储上进行优化和改进,以符合PCI信息安全标准中针对存储的规定。
报告还显示,密码和访问控制是PCI安全工作的重中之重,也是实际审计中发现最多的问题所在。数据泄露风险的减免是最高优先级的任务,而且交易量越大,其优先级就相应越高。机构中的IT部门将负责信用卡数据的保护,其直接负责人可能为CIO、CISO或者CTO等相应的职能角色。
通常,机构如果首次进行PCI的信息安全建设,其投资力度可能需要占据相当部分的IT预算(通常会占整个IT预算的2%-5%),某机构CIO认为其投资甚至可能会超过SOX法案的符合性和审计工作。不过,笔者认为任何的信息安全工作都不是互不相干、独立为营的,比如ISO/IEC 27001的信息安全管理体系框架将会直接平稳的应用于PCI的符合性建设;Cobit和ITIL标准框架也对PCI符合有所帮助。
通过近期的PCI符合工作状态分析,可以看到大量机构需要重新构建业务流程,从而实现信用卡数据的保护;符合性体系应整体考虑,建立一套适合机构自身特点的风险管理模型,需要将PCI符合性建设融入到风险管理策略之中,而不是完全孤立的去考虑它;PCI符合性建设工作还需要加大资金和时间投入;另外应更多地优化保护信用卡数据的存储和传输,而不是仅仅着眼于其运行环境。
很多的欧美的机构已经通过PCI的符合性建设提高了其信息安全水平,近一半的欧美机构于2008年内全面的完成PCI的符合性工作并通过认证,而30%左右的机构计划2年内完成该项工作;目前主要的关注行业集中在零售业、金融服务、媒体和娱乐、保险行业等等。
中国支付安全标准现状
PCI在中国所受的关注程度还具有提高的空间,但是目前信用卡支付和电子商务的交易量越来越大,出现的安全隐患也与日俱增,中国与国际的经济往来越来越紧密,对于支付安全的需求也必然越来越高。
目前,中国尚未制定相关行业标准,各国家主管部门虽然意识到制定中国自己的支付行业标准是刻不容缓的,但是标准的统一尤其是相关安全标准的统一,是一个漫长和曲折的过程。有了行业标准之后,为了将标准充分应用和切实落实,还需要相关国家主管部门出台一套完整的合规评估体系,包括相关的制度、流程以及合规评估机构的规范和统一。
结合现状提出建议
atsec作为中立的第三方机构,经过多年来在信息安全领域的实践经验,结合目前国内的支付安全现状就未来支付行业的发展提出以下建议:
◆可由国家相关政府职能部门和主管部门共同建立支付行业标准委员会。
◆PCI DSS标准已经得到世界范围广泛的专业认可,可通过该标准中对于审核对象的要求和最佳实践结合中国国情制定适合于我国的支付行业标准。
◆在合规评估体系的建设工作中,可借鉴国际上对于标准评估认证的管理办法。比如,由政府职能部门联合中国银联、银行、卡商以及中立的第三方评估机构共同合作开展合规评估规范工作。采用维护评估实验室的方式,加强审核方管理办法,制定严谨的评估体系,严格依据标准进行规范化审核。
◆授权专业的支付信息安全评估实验室,实验室应该为第三方中立的咨询和评估机构,而非大型产品代理商或者厂商。被授权的评估实验室应具备多年信息安全工作经验。
◆支付标准委员会只负责维护评估实验室和扫描机构,并对执行的审核结果进行核查和监管。
◆为了确保被授权机构的中立,便于维护,被授权的实验室可定期向授权机构缴纳年金。对于被授权机构所执行的审核项目,应由被审核机构向授权机构提交实验室评定。授权机构定期整理,取消不符合要求的实验室资质。