托管IT服务巨头Verizon指出了导致商家未能满足PCI DSS合规的两个关键问题领域。
日前,Verizon透露了其备受期待的年度报告中的内容,这份报告对Verizon Enterprise Solutions在过去三年期间执行的数千次PCI DSS合规性评估的结果进行了分析。
“照常营业”PCI合规被证明很困难
根据Verizon表示,2015年的数据表明大多数商家都在艰难地维持全年PCI合规性。该公司称,在通过审核后的不到一年时间内,只有不到三分之一的企业保持完全的PCI合规性。
这与PCI安全标准委员会所提倡的“持续合规性”口号形成鲜明对比。专家称,PCI DSS 3.0版的主要目标之一是要求企业保持足够的安全控制来在所有时候保护支付卡数据,不只是为了通过年度评估。
医疗设备、服务和照明解决方案国际制造商的PCI合规项目经理Nancy Rodriguez表示,PCI合规性嵌入到“照常营业”业务流程并不容易。
她表示,这个系统性的工作需要与全公司业务流程所有者召开会议,了解流程如何运作以及数据流向何处,然后再确认如何在不影响业务的前提下整合PCI合规性。Rodriguez补充说,这种工作很难做到,因为即使在大型企业,PCI合规团队通常只有极少数人。
“我很幸运的是,当我进入现在这家公司时,该公司正处于起步阶段,当时公司正在基于核心、标准元素重新定义所有流程,”Rodriguez称,“我们建立了核心领域(信息安全、PCI、隐私等),并对其流程以及控制进行了描述。然后我们评估彼此的流程和控制,以确定我们的领域是否应该参与,以及如何参与。”
这是一个费力费时的过程,即使是对于相当大规模的企业,对于很多小型商家,在单个时间点的其余时间内保持合规性更加困难。前安全评估员兼独立安全顾问Steven Weil表示,他开始看到越来越多的企业对PCI合规采取全年的做法,但这是一个挑战,因为企业必须有成熟的信息安全和合规计划。
Weil表示:“不幸的是,还有很多不太成熟的企业只是专注于每年一次的PCI合规性;对于这些企业而言,这样做的风险越来越大。”
防火墙合规性、安全测试是主要问题
根据Verizon表示,企业未能满足PCI合规要求的两个主要领域涉及第11条要求,对安全系统和流程进行定期测试;以及第1条要求,其中主要是对防火墙的维护。
该公司只透露了部分细节信息,另外,在一份声明中,Verizon Enterprise Solutions的合规和管理专业服务主管Rodolphe Simonetti表示,不断变化的网络安全环境需要企业改变他们的安全做法。
“企业需要采用我们称之为‘有弹性’的模式,这意味着他们必须接受他们永远不可能完全安全,”Simonetti表示,“对于数据保护,并没有万全之策。”
Weil推测,Verizon已经看到防火墙规则审查没有得到充分执行,或者说,没有按照PCI DSS要求的至少每六个月执行一次。
“在大型或复杂企业中,受PCI监管的关键防火墙可能有数百条规则必须进行审查,”Weil表示,“但对于繁忙的安全专业人员而言,了解哪些规则仍然有效以及哪些规则需要删除/禁用,是很困难和非常耗时的工作。此外,防火墙管理员担心关闭防火墙规则可能会带来影响。”
Rodriguez表示同意,他说,尽管对于几乎所有全面的信息安全计划而言,防火墙维护都是基本工作,但PCI DSS围绕防火墙的要求是“规定性的”,特别是对所有允许的服务、协议和端口的使用的文档记录和业务理由。
“还有很多人没有意识到PCI DSS要求,”Rodriguez表示,“所以他们没有构建这些控制到其流程和程序。”
同时,第11条要求还包含了高难度任务,从无线网络安全到定期网络安全扫描和第三方渗透测试。
有些企业仍然在艰难地满足第11条要求,这并不足为奇;Verizon去年报告称,在最符合要求的企业(即满足95%PCI DSS控制的企业)中,超过半数没有满足第11条要求。雪上加霜的是,PCI 3.0版中的新要求规定,企业需要部署正式的渗透测试方法,这被认为是更新版本标准中最难以遵守的变化之一。
Aberdeen Group研究公司副总裁兼研究员Derek Brink表示,满足PCI要求所带来的挑战变得更加艰巨,这也说明现在的IT基础设施比几年前更加复杂。
“对于所有企业而言,真正的目标应该是将风险降低到可以接受的水平,”Brink表示,“这意味着减少数据泄露事故的可能性—通过部署和维持普遍接受的安全控制和流程,以及减少不可避免要发生的数据泄露事故带来的影响。”
Brink感叹说,有些人肯定会利用Verizon令人沮丧的报告结果来“抨击PCI标准”,他主张商家应该努力实现和维持PCI合规性,因为只有这样做,这些企业才将会比他们想象的更加安全。
Brink补充说:“对于我来说,Verizon报告的巨大价值在于,它提供了关于关键问题的可能性和影响的事实和趋势,这应该是企业必须了解的有关风险的事实。”
Verizon证实,下个月的PCI报告结果将会包含基于30多个国家的财富500强企业和大型跨国公司的数据。除了审查企业如何以及在哪里未符合PCI要求,该报告还会提供对12个PCI要求的深度剖析,以及第一次评估3.0版本的合规性工作。