配置錯誤、訪問控制過失和確定范圍問題位居常見PCI錯誤榜首。在2012年,企業(yè)將繼續(xù)努力完成PCI合規(guī)工作,安全專家警告說,為了更具成本效益地實(shí)現(xiàn)合規(guī)和安全目標(biāo),企業(yè)需要想辦法避免這些常見合規(guī)錯誤。以下是總結(jié)出來的十大PCI合規(guī)錯誤:
1、不遵守最小特權(quán)原則
根據(jù)Viewfinity首席執(zhí)行官Leonid Shtilman表示,企業(yè)對于“PCI 2.2.3: 配置系統(tǒng)安全性參數(shù)以防止誤用”并沒有嚴(yán)格執(zhí)行。正如他所說,企業(yè)應(yīng)該深入到用戶角色以確保他們在PCI法規(guī)適用的任何地方遵守了最小特權(quán)原則。
“允許任何特權(quán)用戶訪問所有數(shù)據(jù)是不能接受的,即使是給服務(wù)器管理員的特權(quán)也應(yīng)該根據(jù)其具體角色和職責(zé)來授予或調(diào)整,管理員的角色和職責(zé)是直接與履行其工作職責(zé)需要使用的應(yīng)用程序和流程緊密聯(lián)系的,”他表示,“不要多,也不能少,只需要最小特權(quán)!
然而,在大多數(shù)企業(yè),這并沒有嚴(yán)格執(zhí)行,HyTrust創(chuàng)始人兼總裁Eric Chiu表示。
“企業(yè)很多員工擁有數(shù)據(jù)訪問權(quán),包括那些不需要這些訪問權(quán)來完成其工作職能的員工,這種情況并不罕見,”他表示。
2、忽略虛擬化合規(guī)
COAlfire Systems公司專業(yè)服務(wù)執(zhí)行副總裁Tom McAndrew表示,很多企業(yè)往往忽略了虛擬化合規(guī),這可能導(dǎo)致很多審計(jì)項(xiàng)目不達(dá)標(biāo)。
“PCI DSS 2.0規(guī)定即使只有一臺虛擬機(jī)包含持卡人數(shù)據(jù),你的整個虛擬基礎(chǔ)設(shè)施都必須遵守該規(guī)定。挑戰(zhàn)在于:PCI DSS中對于虛擬化的措辭很含糊,這一切都取決于審計(jì)員的理解,”他表示,“所以企業(yè)需要確保他們一開始就遵守了這個原則,完全理解風(fēng)險(xiǎn),并且部署了控制以避免‘最后一分鐘的驚喜’。”
3、沒有更改供應(yīng)商默認(rèn)配置
在涉及遵守PCI 2.0規(guī)定的2.1條(要求供應(yīng)商默認(rèn)密碼和配置需要更改)時,虛擬化又給企業(yè)設(shè)了一個圈套。
“使用供應(yīng)商提供的默認(rèn)配置,虛擬機(jī)可以很容易地被復(fù)制和部署,”HyTrust公司的Chiu表示,“在傳統(tǒng)IT環(huán)境防止這種情況發(fā)生而部署的控制(例如掃描網(wǎng)絡(luò)中的新系統(tǒng))在虛擬環(huán)境變得沒什么作用了,所以審計(jì)員可能不會注意到默認(rèn)配置,因?yàn)橐粋實(shí)體需要從虛擬環(huán)境本身來管理虛擬機(jī)。”
4、沒有正確定義范圍
網(wǎng)絡(luò)分段以在較小范圍內(nèi)加強(qiáng)安全合規(guī)是智能PCI合規(guī)的重要組成部分。
“雖然技術(shù)上來看,并不是PCI要求,任何了解PCI的人都知道這都與范圍有關(guān),”Coalfire公司的McAndrew表示,“范圍是對所有PCI規(guī)定的定義!
然而,很多企業(yè)都沒有正確定義范圍。
“最常見的錯誤是缺少‘連接到’范圍內(nèi)系統(tǒng)的系統(tǒng),”McAndrew表示,“確定系統(tǒng)是否在‘范圍內(nèi)’的基本途徑是問你自己‘這個范圍外系統(tǒng)是否可能影響持卡人數(shù)據(jù)的安全性?’如果答案是肯定的,那么這個系統(tǒng)就是范圍內(nèi)系統(tǒng)!
5、注重將事情歸到范圍外
雖然將事情歸到范圍外很重要,但是如果企業(yè)更注重范圍外過程,而不是解決真正的風(fēng)險(xiǎn),這將給企業(yè)造成嚴(yán)重影響。
“很多商家試圖將系統(tǒng)放到范圍外,而忘了管理稍后可能給企業(yè)帶來嚴(yán)重問題的風(fēng)險(xiǎn)。例如,一個商家使用頁面重定向到電子商務(wù)網(wǎng)站來支付,以減小范圍,”Voltage Security公司數(shù)據(jù)保護(hù)專家和副總裁Mark Bower表示,“該商家的電子商務(wù)服務(wù)器可能受到攻擊,攻擊者可能利用假冒的重定向頁面來竊取持卡人數(shù)據(jù)。范圍外并不意味著不需要關(guān)心,也不意味著不會被攻擊者瞄上,如果系統(tǒng)或數(shù)據(jù)可能受到攻擊,范圍外也將受到攻擊。減小風(fēng)險(xiǎn)應(yīng)該擺在第一位。這也是PCI擺在首位的事情。”
6、過度使用補(bǔ)償控制
根據(jù)Voltage公司的Bower表示,如果你認(rèn)為補(bǔ)償控制能夠緩解合規(guī)壓力,那么,你完全理解錯了PCI的作用。
“在沒有辦法直接符合要求時,我們會使用補(bǔ)償控制,例如,一些企業(yè)會認(rèn)為,因?yàn)樗麄兊膫鹘y(tǒng)系統(tǒng),他們不能加密或令牌化存儲在數(shù)據(jù)庫或應(yīng)用程序的的卡數(shù)據(jù),”他表示,“現(xiàn)在,完全有可能做到這一點(diǎn),即使是在MainFrame和HP Nonstop這樣的傳統(tǒng)系統(tǒng)上,減少數(shù)據(jù)泄露風(fēng)險(xiǎn)的同時,遵守合規(guī)要求!
除此之外,他警告說,補(bǔ)償控制可能在書面審計(jì)和業(yè)務(wù)流程和工具方面增加企業(yè)成本。
7、認(rèn)為PA DSS認(rèn)證軟件不需要遵守合規(guī)
“只是因?yàn)槟阗徺I了一些PA DSS認(rèn)證軟件來處理信用卡數(shù)據(jù)并不意味著你幸免于合規(guī)問題了,”Incapsula公司聯(lián)合創(chuàng)始人Marc Gaffan表示。
“PA DSS認(rèn)證的軟件必須在PCI兼容環(huán)境中運(yùn)行和操作以滿足PCI DSS合規(guī),”他表示,“這意味著你需要確保你的IT環(huán)境和所有相關(guān)服務(wù)供應(yīng)商也同樣是PCI兼容的,以保持你的認(rèn)證軟件和電子商務(wù)平臺的整體合規(guī)!
8、沒有職責(zé)分離
PCI DSS規(guī)定3.4.1和3.5都提到職責(zé)分離是企業(yè)的義務(wù),然而很多企業(yè)仍然沒有進(jìn)行適當(dāng)?shù)穆氊?zé)分離,Vormetric公司產(chǎn)品營銷高級主管Todd Thiemann表示。
“為了正確進(jìn)行職責(zé)分離,企業(yè)需要有足夠的人員,”Thiemann表示,“一個常見錯誤是允許開發(fā)人員或數(shù)據(jù)庫管理員看到生產(chǎn)數(shù)據(jù),這通常是因?yàn)镮T部門人員不足造成的!
9、加密密鑰管理不當(dāng)
PCI DSS規(guī)定3.5.1規(guī)定企業(yè)需要在盡可能少的地方和形式安全地存儲加密密鑰。問題是,大多數(shù)企業(yè)對于密鑰管理都感到恐懼。
“企業(yè)不應(yīng)該將加密密鑰和加密數(shù)據(jù)存儲在一起。這就好像,你把門鎖上,然后把鑰匙貼在門上一樣,”Thiemann表示,“太多加密解決方案不包括適當(dāng)?shù)拿荑管理,而當(dāng)涉及妥當(dāng)管理加密密鑰時,企業(yè)總是容易出現(xiàn)偷工減料的情況!
10、沒有跟蹤持卡人數(shù)據(jù)流
總部設(shè)在華盛頓特區(qū)的必百瑞律師事務(wù)所John Nicholson表示,企業(yè)并沒有為持卡人數(shù)據(jù)做足夠的工作,以幫助找出什么、哪里、如何和為什么存儲數(shù)據(jù)。
“通過這個過程,企業(yè)可以識別持卡人數(shù)據(jù)以及其他可能遭受數(shù)據(jù)泄露的數(shù)據(jù)集,然后進(jìn)行加密,”Nicholson表示,“很多企業(yè)發(fā)現(xiàn)他們將持卡人數(shù)據(jù)存儲在Excel電子表格或者其他難以控制和保護(hù)的格式中,通過進(jìn)行上述提到的數(shù)據(jù)流分析,企業(yè)可以正確處理這些數(shù)據(jù)!
想想,現(xiàn)在應(yīng)該沒有人還將持卡人數(shù)據(jù)存儲在電子表格中了吧?不過確實(shí)還有,Co3 Systems公司首席營銷官Ted Julian表示。
“真實(shí)故事:一家中等規(guī)模的公司找到我們,因?yàn)樗麄冃枰粋更好更方便的解決方案在進(jìn)行在線注冊,他們當(dāng)時的解決方案是他們的托管服務(wù)供應(yīng)商發(fā)給他們的Excel電子表格,包括所有信用卡信息---包含CVV代碼,”Julian表示,“而這個事情并不是發(fā)生在2009年,而是剛剛發(fā)生在2012年,我想到這個事情就覺得不寒而栗!
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:2012年CIO最應(yīng)關(guān)注的十大PCI合規(guī)錯誤
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083953425.html