PCI DSS

PCI DSS支付卡產業數據安全標準是一個被開發支持和提高持卡人數據安全和卡組織採用的全球化一致性的數據安全措施。提供了一套保護持卡人數據的技術和操作的基線要求。PCI DSS信息安全標準有6大目標，12個大類要求，整個PCI安全標準基本就圍繞這些項目進行的，正在或準備有意向要做PCI合規審查的組織可以作為參考。 ^[1] 

現行標準版本為PCI DSS v4.0 ^[1] 

PCI DSS標準從信息安全管理體系、網絡安全、物理安全、數據加密等方方面面提出了諸多的安全基線要求。雖然沒有任何一個信息安全標準或者安全建設可以保障實現百分之百的抵禦安全風險，然而根據業界的積累，能夠實現PCI DSS並且嚴格按照PCI DSS的要求持續實施針對持卡人數據環境的安全防護，安全事件發生的可能性將大大降低。 ^[1] 

1、安裝於維護防火牆設定以保護持卡人資料。

2、對於系統密碼及其他安全參數，不能使用供應商提供的預設值（默認密碼）。

3、保護存儲的持卡人資料。

4、加密通過開放的公用網絡傳輸的持卡人資料。

5、使用並定期更新殺毒軟件或程序。

6、開發並維護安全系統和應用程序。

7、限制為只有業務需要的人才能存取持卡人資料。

8、為具有電腦存取權的每個人指定唯一的ID。

9、限制對持卡人資料的實際存儲。

10、追蹤並監控對網絡資源及持卡人資料的所有存取。

11、定期測試安全系統和程序。

12、維護滿足所有人員信息安全需求的政策。

· 該PCI DSS文檔討論了應用環境身份驗證測試方面的要求—這是滲透測試中經常被忽視但非常重要的組成部分。

· 該PCI DSS文檔還介紹了什麼被認為是對系統的“重大改變”--以便在對持卡人數據環境中任何系統進行代碼或相關更新後可以進行後續滲透測試。

· 該PCI DSS文檔提到了做這項工作的安全專業人員獲得的證書以及過往的經驗的重要性—與其他領域一樣，更多經驗往往更好，當然還需要漏洞掃描儀、網絡分析儀和漏洞利用工具包等工具，他們還應該知道如何有效地使用它們。

· 另外，滲透測試特定規則經常被忽視，這可能在滲透測試過程中或測試後製造問題，例如漏洞利用需要多麼深入以及如何處理在測試中發現的敏感數據等。筆者非常高興該文檔解決了可能阻止測試（WAF和IPSes等）的安全控制，很多人以為他們有這些控制就不會發現漏洞或出現漏洞利用，一切都很好。對於白名單或禁用這些積極保護措施，該滲透測試指南明確指出它可“幫助確保服務本身得到正確配置，並在主動保護系統出現故障或以某種方式被擊敗或被攻擊者繞過時控制漏洞利用的風險。”

· 該PCI DSS文檔中還提供了圍繞社會工程學的建議，包括網絡釣魚測試，以檢測持卡人數據環境是否能從這個角度被利用。

· 企業還應該保留測試詳細信息的證據（包括具體的調查結果），確保可根據要求提供。

在部署VMware虛擬化環境的過程當中，可以考慮使用PCI DSS加強虛擬機的數據安全性。

隨着越來越多的個人信息被存放到PCI DSS網絡當中，未經授權的PCI DSS用户嘗試訪問這些數據的情況也在不斷增加。伴隨個人PCI DSS信息丟失而產生的可疑行為或者欺詐消費會導致用户的信用卡被強制註銷，這是一件令人十分沮喪的事情。不僅如此，對於遭遇到個人PCI DSS信息泄露的用户來説，通常會產生一種被個人隱私被侵犯的感覺。

由此引發的一個問題是：PCI DSS情況到底有多嚴重？司法統計局曾經公佈了一些和個人信息泄露相關的PCI DSS數據，當前面臨的情況令人擔憂。現在能夠獲取到的PCI DSS最新數據是2012年，7%的16歲及以上的美國人在這一年當中遇到過至少一次PCI DSS個人信息被竊事件。這種PCI DSS情況所導致的後果非常嚴重，大約造成了247億美元的損失。相比之下，由國家犯罪受害者PCI DSS調查報告統計得出的數據顯示其他方面的財產犯罪所導致的損失為140億美元。這一系列數據表明存儲PCI DSS私人信息的系統在安全方面確實存在漏洞，並且一直沒有得到解決。

在認識到保護PCI DSS個人信息和財務數據（特別是信用和債務賬户）安全的重要性之後，支付卡行業（PCI，Payment Card Industry）安全標準委員會制定了數據安全標準（DSS，Data Security Standard），最新版本為3.1。PCI DSS安全標準委員會是一個負責推動PCI DSS標準不斷髮展的開放式論壇，其最初建立者包括American Express、Discover Financial Services、JCB International、MasterCard 和Visa等機構。儘管之前你可能從未聽説過PCI DSS，但是其中所包含的宗旨和準則幾乎會影響所有使用卡片進行消費的PCI DSS用户。這個委員會向商家、廠商和安全諮詢公司提出相關要求，以防止發生PCI DSS個人信息泄露和信用卡詐騙等行為。

對於已經達到PCI DSS標準的支付公司來説，PCI DSS最大的好處就是能夠為其最有價值資產——消費者提供良好的PCI DSS安全保障。良好的PCI DSS聲譽能夠幫助公司贏得源源不斷的商業機會，而較差的PCI DSS聲譽一經形成，卻很難得到改變。

PCI DSS被設計用來幫助支付機構實現敏感數據安全性最佳實踐，尤其PCI DSS針對於這個行業當中特有的數據類型。但是，如果我們僅僅因為所在的PCI DSS組織或企業並不需要處理PCI DSS支付數據或者相關事務就直接忽略這個標準，那麼無疑是一種失職。事實上，PCI DSS當中所包含的各種準則針對虛擬化技術進行了調整，對於任何想要保護PCI DSS敏感數據的企業來説都可以起到很大幫助作用。

使用PCI DSS和其他針對特定行業的標準進行合規審查，可以在很大程度上保證私有信息處於最佳PCI DSS安全實踐的保障之下。安全的PCI DSS信息環境對於企業、客户和員工來説都是至關重要的。

幸運的是，我們可以在和PCI DSS業務相關的環境當中將PCI DSS作為虛擬化技術的使用準則之一。比如，在PCI DSS第2.2.1章節當中指出一個虛擬系統組件或者設備只能實現一項主要功能。

PCI DSS準則當中詳細解釋了包含多項主要功能的系統可能面臨哪些風險，任何PCI DSS功能的最低安全等級都有可能導致其他功能受到攻擊。我們可以將PCI DSS這種情況類比於一條項鍊的結實程度取決於最為薄弱的那一環，這樣可以幫助我們理解PCI DSS的實際作用。比如，在一台PCI DSS虛擬機當中同時運行web服務器和關鍵數據庫服務，那麼無疑是在自找麻煩。而最好的方式是遵循PCI DSS的規定，將這些PCI DSS功能分別放置在不同的服務器當中，之後在特定的PCI DSS服務器上針對不同功能自定義安全等級。此外，PCI DSS服務器之間的網絡連接必須禁止一台服務器將低安全級別功能遷移到另外一台PCI DSS服務器當中。如你所見，部署單台PCI DSS服務器、單個功能需求意味着需要對服務器、其他相關設備和網絡連接進行整體規劃。

PCI DSS這些準則在發佈之前已經經過深思熟慮，可以應用在任何需要加強PCI DSS系統安全性的行業當中。PCI DSS虛擬化技術提高了硬件資源使用效率，不必再為所有功能分配單獨的硬件PCI DSS服務器，降低了PCI DSS準則的實現難度。在對服務器資源進行規劃的過程當中遵循PCI DSS準則可以加強系統安全性，在實現PCI DSS系統主要功能之後，還能夠提升安全控制靈活性。

PCI DSS安全是一個不斷變化的概念，需要進行持續關注PCI DSS。PCI DSS為我們提供了一個很好的思路，一個行業當中的安全標準PCI DSS可以適用於特定行業、客户以及其他領域的IT部門。遵循PCI DSS標準在服務器上實現主要功能分離是一個所有企業都應該採用的好主意。 ^[2]