在接下来不到一年的时间里,将有越来越多的企业要遵守支付卡行业数据安全标准 (PCI DSS) 4.0 版的多项新要求。
PCI DSS 包含 12 项保护支付卡数据的要求,在过去十年中都没有更新。但经过三年的商讨,现在已经进行了重大改革。
最新版本4.0于 2022 年3月发布,目前与3.2.1版本共存。它具有63项更改,其中13项在2024年4月3.2.1 版本停用时已强制性更改,公司需要在2025年3月之前完成所有更改。
根据Verizon 2022年支付安全报告,V4.0更强调建立作为业务正常文化一部分的流程,而不是以通过年度评估为目标。但在实践中,新要求意味着什么,企业如何开始转型?
PCI DSS 4.0 有四大变化:
第一,更新了网络安全控制的防火墙术语,以支持更广泛的技术,用于满足防火墙传统上满足的安全目标。
这反映了从传统的基于服务器和参数化网络向分布式架构的转变,例如云和无服务器技术以及零信任网络架构 (ZTNA),还能看到该标准需要适应新环境特定的控制机制,支持如移动设备和物联网的支付。也就是说,该标准的更新侧重于满足支付行业不断变化的安全需求,将安全性作为一个连续的过程进行推广,提高使用不同方法实现安全目标的组织灵活性,以及增强验证方法和程序。
第二,扩展“第8项要求”,以便为对持卡人数据环境的所有访问实现多因素身份验证(MFA)
在没有额外身份验证因素的情况下基本不能访问系统组件,因为所有帐户都必须启用MFA,而不仅仅是那些管理帐户。NIST 数字身份指南中概述的密码指南如今也同样适用这一要求。密码的长度必须至少为 12 个字符,必须达到最低水平复杂程度,且每年进行更改以防密码泄露。此外,组织必须记录和审查他们在持卡人数据环境中使用的密码套件和协议。
这些身份验证和访问步骤都指向朝着零信任概念发展的标准,即网络以“从不信任,始终验证”的原则运行。在 ZTNA 中,每个访问请求都被视为潜在的恶意请求,因此需要进行身份验证、授权和持续验证,这意味着MFA等保护机制将成为标准。
第三,提高了企业的灵活性,以展示他们如何使用不同的方法来实现企业安全目标
企业现在可以使用“已定义”或“定制化”方法,或结合两种方法来适应他们的环境。他们可以拆分需求条款,这样子在满足需求的情况下,部分需求通过定义的方法就能完成安全目标,而其他需求则通过定制的方法也能完成安全目标。
虽然不是所有的需求都可以用定制的方法来满足,但这确实可以为企业提供更多的灵活性和自主权。有些企业以前不得不使用补偿性控制,并证明其合理性,如今这种方法这可能会更加有用。定制方法已经有效地取代了补偿性控制,这是一种进步,因为这些控制往往被认为是一个短期的解决方案。那些选择定制方法的人将需要一个合格的安全评估师(QSA)来签署他们控制的可持续性。
企业主要使用已定义的方法,而且这种情况可能会继续下去,因为很少有人能投入时间和资源来设计定制化控制。尽管以前使用已定义的方法的企业强调其控制系统是有效和可持续的却不管控制结果如何,但是现在已经反过来了,更加强调控制结果了。
在以前,如果他们采取了必要的步骤,即使结果不令人满意,该企业也会被认为达到了安全的要求。现在,这一切在4.0 下都发生了变化,现在企业可以使用标准中指定的安全方法之外的其他不同的安全方法,前提是企业可以证明方法符合安全意图,并解决与要求相关的风险。通过这种方式,安全流程变得更加以结果为导向。
第四,增加有针对性的风险分析,使企业能够灵活地定义其执行某些活动的频率,以适合其业务需求和风险敞口。
例如,如果企业可以动态分析帐户的安全状况,并且现在可以构建自己的身份验证机制,只要这些符合要求,就不再需要每 90 天更改一次密码或口令。
当涉及到适用于服务提供商的要求和适用于商家的要求时,也有一些交叉。
服务提供商现在还必须遵守关于加密、密码管理、多租户提供商的外部渗透的具体控制措施,并被迫使用入侵检测/预防(IDS/IPS)系统。他们必须每六个月重新评估这些系统,在重大的企业变化后进行审查,并满足客户对信息的要求,以满足维持一个监测服务提供商合规性的计划的要求。
相反,以前只适用于服务提供商的规定现在已经扩大到包括商家,即需要及时应对任何关键安全控制的失败。所有组织都必须有事件响应程序,以处理PAN泄露的检测。
由于有这么多的变化需要考虑,企业现在必须开始解决合规性问题,进行差距评估,以确定他们在哪些方面不符合规定。然后,看要采用已定义的、定制的或混合方法三种中哪种方法,依据这个来决定是否符合组织的利益。
当然,这在很大程度上取决于企业拥有的时间和资源,但也取决于其安全复杂性,因为如果采用定制化方法时,将需要进行更多评估,以确定结果已经达到,且控制是可持续的。
支付卡行业安全标准委员会(PCI SSC)已经为 "优先级方法 "制定了最新的指南,这或许是有效的。最初的设计是为了解决最主要的风险问题,使用六个里程碑后,它可以有效地确定哪些要求应该首先来变更。
关于新要求,企业应根据他们认为实现合规所需的时间来确定变更的优先级。因此,关注加密(3.3.2和3.3.3)、保护人员免受网络钓鱼攻击(5.4.1)、客户浏览器中支付脚本的管理(6.4.3)、密码长度(8.3.6)和90天的刷新率(8.3.10.1)是值得优先关注的。
要求11还包含一些新的内容,如带有认证的内部漏洞扫描(11.3.1.2),多租户服务提供商的外部渗透测试支持(11.4.7),以及IDS/IPS技术(11.5.1.1)。此外,还包括检测面向客户的HTTP头和支付页面的变化的机制(11.6.1),同样,要求12要求进行有针对性的风险评估(12.3),并至少每年或在任何重大变化时记录和确认PCI DSS范围(12.5.2)。
Verizon的报告(如上文所述)还揭示了2020年企业所经历的前20大控制差距,这也应有助于指导工作和配置资源。前四大差距都与要求11有关,涉及检查和实施渗透测试的变化、每季度运行内部和外部扫描、审查和解决内部漏洞扫描以及检查防火墙和路由器配置。因此,这些领域可能也值得优先考虑。
所有的变化可能都是苛刻的,需要大量的项目管理,所以现在企业逐月计划这些,以完成最后的目标是有意义的。今天实施符合要求的安全控制将使企业能够通过一个评估周期,通过向内部安全评估员(ISA)和QSA提交控制设计,有效地实践符合性,然后获得符合性报告(ROC),如果通过,则获得符合性证明(AOC)。
重要的是,PCI DSS v4.0进一步强调,合规性是一个持续的过程,需要持续的监控和评估。它力求使这些过程不是由合规性驱动的,而是像平常一样的业务,并嵌入到企业的日常流程中。
正如Verizon的报告所显示的,企业仍然没有进行PCI DSS日常管理,所以他们需要从文化和技术的角度来达到v4.0的要求。也许这标志着,与最初的标准最大的不同在于:需要采用一种新的思维方式来关注数据安全,而不是简单地以合规为导向。
https://www.helpnetsecurity.com/2023/04/26/are-you-ready-for-pci-dss-4-0/