网络安全 频道

小公司如何在局域网内保存信用卡号码

  小公司通常如何在局域网内保存信用卡号码?它们是保存在NTFS安全服务器硬盘上的电子表格中吗?还是有应用程序可以对这些号码进行加密并保护安全?

  答:这个问题的关键在于支付卡行业数据安全标准(Payment Card Industry Data Security Standard,PCI DSS)。PCI DSS在信用卡数据的处理、存储、保护和加密方面都有具体的规定,无论公司的大小。

  PCI DSS由五家大型的信用卡公司协会控制,这五家公司是:Visa、万事达、美国运通、Discover和JCB。不遵守标准规定可能会面临罚款或被禁止使用五个协会成员签发的卡。鉴于他们占有了很大的市场份额,这五家信用卡公司有很大的影响力。被禁止使用他们的信用卡会严重阻碍通过信用卡进行的商业活动。

  尽管遵守PCI DSS被认为是一个行业标准而不是一种安全程序规定,但是该标准的建议对公司而言是处理信用卡数据的有益开始。

  PCI DSS要求3是与保存信用卡号码或个人账户号码(personal account numbers,PAN)最相关的一节,涵盖了对持卡人信息的保护。3.4节特别要求,无论PAN保存在哪里,都应该被加密。可以使用下列四种加密方法:强单向散列函数、截断、指数表征及衬垫,或基于密钥管理过程的强加密算法。

  要么使用全盘加密,要么使用文件级或列级数据库加密。但在所有这些情况中,PAN都是需要加密的最少的那一部分信息。

  当使用NTFS安全服务器硬盘时,企业应确保通过本地操作系统控制——如本地系统或活动目录(Active Directory)账户——分离逻辑访问权限。只要NTFS硬盘没有被这些账户直接访问,那么该企业就是符合PCI DSS规范的。

  PCI DSS没有规定加密强度,但却在3.5节和3.6节中指定了对密钥的处理方法。在这两节中,密钥被要求安全地保存和分发。只要能达到这些要求,任何免费的、商业的硬盘或文件加密工具都是足够的。

  尽管有这些严格的规定,PCI DSS还是考虑到一系列被称之为“补偿控制”的手段,供那些无法提供加密的公司使用。这些补偿控制包括将持卡人信息保存在单独的网段,或限制可以访问的IP地址,访问控制或对数据类型进行包过滤。

  在这种情况下,不能对信用卡号码加密的小公司可以通过将信用卡号码从网络中隔离,勉强说自己符合PCI的补偿控制。因此,如果是使用NTFS安全硬盘上的电子表格,一个组织需确保PAN被安全地从网络隔离开,并且不能被用户访问。

0
相关文章