支付卡行业数据安全标准 (PCI-DSS) 是由PCI安全标准委员会的创始成员 (Visa, Mastercard, American Express, Discover Financial Services, JCB等) 制定, 意在使国际上采用一致的数据安全措施。2014年, 更新为3.0版本的PCI-DSS将正式实施, 力图通过规范的标准多方面地保障持卡人的信息安全。
PCI-DSS(Payment CardIndustry Data Security Standard,支付卡行业数据安全标准)3.0版本在2014年1月1日正式实施,PCI安全标准委员会的首席技术官特洛伊·利奇(Troy Leach)和总经理鲍勃·鲁索(Bob Russo)表示,需要开展相关合规项目。
3.0版本中的新要求是为了逐步减轻由第三方机构,比如云服务商和支付处理器等所带来的支付卡风险。利奇表示,新版本强调接受和(或)加工支付卡的企业或组织,有责任确保他们所依靠的第三方拥有足够的安全保障措施。PCI-DSS新规要求,企业、零售商和其他接受支付卡的实体机构以及第三方之间的合同必须写明支付卡安全保障义务。
1、更新的领域
3.0版本所更新的细则体现在许多方面,包括支付卡的安全凭证要求、对销售终端设备的硬件要求等。据鲁索介绍,PCI-DSS的8.5.1这一部分增加了多方面的要求,用于保证获得客户环境的服务提供者使用唯一的身份认证凭证,如给每一个客户特定一个密码或者密码短语。这一要求是专门为解决供应商支持多个商家以及与消费者之间的设备凭证而折衷的方案。
PCI安全标准委员会收集的反馈意见显示,过往用户都是使用同一个设备凭证,真正采用这一方案后可能会感到混乱,因此该方案中也增加了说明。
另一个更新领域则是关于非永久性存储。新的PCI-DSS为解决暂存内存的问题,在该版本的6.5部分中提出新的要求并专门在支付应用数据安全标准(PA DSS,PaymentApplication Data Security Standard)加入一些素材资料,用于开发者和安全发展生命周期的训练指导。
除此还有关于销售终端的安全要求。这一应用适用于通过直接的物理接触来获得支付卡数据的设备,要求确保数据没有被篡改或被其他虚假设备替代。面对发生在销售终端的风险挑战,3.0版本主要新增了9.9这一标准,它适用于在实卡交易中使用的读卡设备。这是指在每一个可能刷卡或窃卡的销售终端,而不是整个销售终端系统。
同时,3.0版本多次强调教育和意识,通过多种素材资料帮助一线员工建立安全意识。例如,丰富设备的图片,增加在设备上多余的卡复制器很容易被检查出来。另外就是检查内存条或者设备上的物理标识,最重要的是教育使用人员注意任何类型的可疑行为,清楚如何报告可疑行为、向谁报告以及建立报告机制。
2、安全性和合规性
PCI安全标准委员会从2006年已经开始了关于行业安全性和合规性问题的讨论。总的来说,企业认识到PCI-DSS在支持企业支付卡数据安全方面提供了强有力的基础保护的重要性和价值。但在PCI-DSS的维护和评估上则仍然存在挑战,而此次的调整主要也为帮助推动解决这两者问题。鲁索认为,提供更多的教育、更大的灵活性以及建立内部人员和外部合作伙伴之间的共识是这个部分的关键。
PCI人员一直将安全作为共同的责任,在3.0这一版本的标准说明中,主要专注于教育第三方以及做好他们在保护支付卡数据上的角色。新版中12部分这一标准引入了一些更新,帮助商户和服务提供商共同理解在PCI-DSS中的责任。例如,12.8.2要求企业必须用书面协议来说明服务提供商在保障持卡人数据的责任以及期望得到何种服务等。
3、关注支付卡安全
关于支付安全问题,利奇担心企业会过于注重技术,设想用一个方法满足所有的安全需求。随着许多新的支付方式的出现,比如刚刚兴起的移动支付和其他随之而来的复杂因素,企业必须认识到攻击面也随之变得更大,除非能够找到方法随时随地解决持卡人数据的安全问题。
面对移动支付的兴起,利奇认为PCI-DSS也适用于移动设备应对来自移动方面的挑战,譬如受理支付的时候。然而他同时指出,许多消费类的移动设备根本无法提供充分保护支付卡数据所需要的安全级别。换句话说,它们不能创造可信的、相当于PCI-DSS标准的环境。
PCI也正和行业的其他机构合作解决该问题,但不愿意通过制定标准来降低安全的边界以满足当前消费者移动支付设备的安全状态。利奇对此表明,现在不会制定关于移动方面的信任和财务交易等方面的标准,因为没有任何消费设备能够满足这样的标准。相反地,PCI已经创建了最佳的安全实践和指导,已经为提高下一代消费设备的安全性行动,希望能够引导该行业在支付卡安全方面得到用户的信任。
另一个担心来自对第三方支付的依赖性。利奇指出,对第三方和业务流程的依赖正在增长,从预测的数据显示,在过去几年内超过90%的损害与第三方违规有关。罪犯的主要目标是汇总服务供应商和持卡人信息的数据。当技术不断被利用,如云计算等,攻击面也会持续变大。
必须承认,有组织的犯罪团伙对于支付卡该如何交易有很好的认识,同时他们持续探索新的方式来损害支付的环境和系统,尤其是无人守值的地方,如ATM机和其他相类似的系统。因此对PCI-DSS和PADSS所做的更改将鼓励企业推动内部开发队伍的培训和教育,建立和第三方组织更好的关系以及表明他们有责任保护他们的客户。
4、QSA计划
利奇和鲁索都谈论了QSA(合格安全性评估机构,Qualified SecurityAssessors)在物理设备 安 全方面所扮演的角色以及其相关的更新。利奇表示,新版本强调测试的程序都要求通过QSA的检查成文政策和程序来验证,包括根据设备维修列表定期检查该列表中的设备,并寻找篡改或替代的迹象;
对相关人员进行培训,使他们能够对可疑行为随时保持警惕,并对篡改信息和替代设备的现象进行报告,同时了解这种常识性的攻击可能随时出现。QSA计划还包括检查设备列表以及对培训材料和人员面试的复审,以确保他们对相关政策的理解。
同时鲁索提到,QSA作为安全评估机构,它有助于确保企业清楚认识到正在进行的工作是否必要,在满足评估的同时符合安全标准。借此希望商家企业能通过PCI-DSS增加的标准清楚要求是什么,更重要的是,清楚安全的目标是什么。
最后,鲁索一直强调2014年1月1日起正式实施3.0版本,在此之前,PCI安全标准委员会鼓励所有相关支付企业反复学习并熟悉新版本,并指出企业越早熟悉并针对必要的更新制定计划,那么在面对使用3.0版本进行第一次评估的时候将处于更有利的地位。
