最近,支付卡行业数据安全标准(PCI DSS)更新到新版本——PCI DSS 3.0。在某些领域,新要求可能会影响支持该标准的商家和服务提供商(云计算及其他服务)的合规计划。其中,与云计算相关的受影响***的领域是,持卡人数据环境(CDE)与云计算交互使用的情况。
商家将会发现,云计算中的PCI DSS合规一直是很复杂且具有挑战性的话题,以至于PCI安全标准委员会发布了一整份文档来描述如何在PCI环境下使用云计算。然而,PCI 3.0有几个方面可能让这个已经很复杂的情况变得更加复杂。这并不是因为3.0版本有新语言或专门应对云计算情况的新要求(事实并非如此),或者因为它取代了上面提到的指导文件(并不存在)。相反,这种混乱是因为一些新要求所产生的影响,对于云计算来说很难解决和维护。
PCI DSS 3.0有什么不同?
对于在PCI监管的基础设施中的云计算的使用,PCI DSS 3.0有三个新要求与之最为相关:
Req. 2.4:“对PCI DSS范围内的系统组件进行库存管理。”
Req. 1.1.3:“显示跨系统和网络所有持卡人数据流的当前视图。”
Req. 12.8.5:“明确哪些PCI DSS要求由每个服务提供商管理以及哪些由企业实体管理。”
值得注意的是,这些并不是唯一的新要求,它们也不是对在PCI环境中使用云计算的唯一要求。然而,对于正在使用云计算并已经建立了PCI合规来解决CDE内的使用的企业而言,这三个要求可能在未来几个月中会造成很大的混乱。了解这里的原因需要更深入到每一个要求。
盘点和IaaS
利用云计算的企业必须要注意的***个要求是盘点系统组件。PCI DSS标准在PCI 3.0文档的第10页描述了“系统组件”的含义,但我们想要强调的关键点是它包括了虚拟机。对任何虚拟环境进行过彻底盘查的企业都知道这有多么困难,但请记住,在云计算部署(特别是基础设施即服务)中,这可能比企业直接控制的虚拟环境更加复杂,尤其是当由服务供应商提供支持时。试想一下,服务提供商支持人员决定克隆一个实例来帮助测试补丁兼容性,或者动态地重新定位镜像来响应性能瓶颈问题。这意味着客户现在必须更加勤奋地追踪CDE内实例的创建和销毁,以保持库存的更新。
为了做好准备,企业有几种选择。最坏的情况下,大多数IaaS供应商将会提供其环境中镜像的原始清单以便进行计费,或者通过其控制面板提供清单。虽然这个清单可能不是企业想要的(例如,它并不会显示镜像的目的或者其中有何软件),但至少这是一个开始。如果你的企业有来自服务提供商的专门技术人员来支持你的账户(例如你是特定供应商的大客户),在创建库存清单时考虑列出供应商的帮助支持。如果你不是大客户或者你的云服务提供商不合适(或成本太高),考虑采用自动化功能;例如,在你的虚拟“黄金镜像”预配置盘查代理,可能有助于捕捉你不知道的新实例或克隆。
数据流和SaaS
下一个挑战涉及在某些云计算环境中映射数据流,特别是软件即服务(SaaS)。与平台即服务(PaaS)和IaaS不同,在SaaS中,应用本身是一个“黑盒子”,这意味着SaaS客户被故意从应用运行的底层机制屏蔽。例如,当你登录到LinkedIn或Facebook时,你知道你的用户ID穿行在哪台服务器或者多少不同的数据库连接到内部后端环境?你关心吗?或许你不在乎,只要你能正确登录。现在,镜像能解决这个要求,它不仅能了解如何进行整个过程,而且还能记录数据采用的确切路径。
现在,请记住,该标准中并没有说数据流图要“知道不可知的情况”,当企业对远程基础设施没有充分可视性,达到这种详细程度并不总是现实的。在另一方面,图表上有箭头指向互联网称,“PAN发送到远程计费供应商”,并不能达到评估员的标准,所以需要寻找一个中间立场,来彻底满足评估,同时没有那么繁琐,让企业可以实现。对此,你可以从记录你所知道的并让供应商完成测试开始。如果他们不能(或者不愿意)帮助向下钻取以及更详细,请确保记录这个事实。你应该向评估者提供证据证明你已经作出***努力来收集具体数据,这可以让评估人员了解你已经完全考虑过这个要求。
服务提供商矩阵
PCI总是要求企业检查其服务供应商的PCI合规状态,但现在它还要求企业记录哪些PCI要求由供应商负责,哪些由企业自己负责。
这可能听起来像是一件容易的事,但请记住,云供应商(无论是SaaS、PaaS或者IaaS)以及更传统的服务供应商都属于这一类。这意味着企业现在必须确定谁负责特定的PCI DSS控制:企业还是供应商。虽然一些服务提供商(特别是经常服务于商家社区的提供商)已经有他们所提供的控制的现成的清单,其他提供商可能并不会完全认同特定企业对责任划分的观点。这意味着企业需要与服务提供商反复协商来建立一个双方都同意的清单。
结论
要注意的是,这三个要求并不是PCI DSS为部署云计算的商家带来的唯一变化。然而,对于这些要求,精明的安全和合规从业人员需要做一些准备和前期规划以迎接新标准。