【IT168 专稿】配置错误、访问控制过失和确定范围问题位居常见PCI错误榜首。在2012年,企业将继续努力完成PCI合规工作,安全专家警告说,为了更具成本效益地实现合规和安全目标,企业需要想办法避免这些常见合规错误。以下是总结出来的十大PCI合规错误:
1、不遵守最小特权原则
根据Viewfinity首席执行官Leonid Shtilman表示,企业对于“PCI 2.2.3: 配置系统安全性参数以防止误用”并没有严格执行。正如他所说,企业应该深入到用户角色以确保他们在PCI法规适用的任何地方遵守了最小特权原则。
“允许任何特权用户访问所有数据是不能接受的,即使是给服务器管理员的特权也应该根据其具体角色和职责来授予或调整,管理员的角色和职责是直接与履行其工作职责需要使用的应用程序和流程紧密联系的,”他表示,“不要多,也不能少,只需要最小特权。”
然而,在大多数企业,这并没有严格执行,HyTrust创始人兼总裁Eric Chiu表示。
“企业很多员工拥有数据访问权,包括那些不需要这些访问权来完成其工作职能的员工,这种情况并不罕见,”他表示。
2、忽略虚拟化合规
Coalfire Systems公司专业服务执行副总裁Tom McAndrew表示,很多企业往往忽略了虚拟化合规,这可能导致很多审计项目不达标。
“PCI DSS 2.0规定即使只有一台虚拟机包含持卡人数据,你的整个虚拟基础设施都必须遵守该规定。挑战在于:PCI DSS中对于虚拟化的措辞很含糊,这一切都取决于审计员的理解,”他表示,“所以企业需要确保他们一开始就遵守了这个原则,完全理解风险,并且部署了控制以避免‘最后一分钟的惊喜’。”
3、没有更改供应商默认配置
在涉及遵守PCI 2.0规定的2.1条(要求供应商默认密码和配置需要更改)时,虚拟化又给企业设了一个圈套。
“使用供应商提供的默认配置,虚拟机可以很容易地被复制和部署,”HyTrust公司的Chiu表示,“在传统IT环境防止这种情况发生而部署的控制(例如扫描网络中的新系统)在虚拟环境变得没什么作用了,所以审计员可能不会注意到默认配置,因为一个实体需要从虚拟环境本身来管理虚拟机。”
4、没有正确定义范围
网络分段以在较小范围内加强安全合规是智能PCI合规的重要组成部分。
“虽然技术上来看,并不是PCI要求,任何了解PCI的人都知道这都与范围有关,”Coalfire公司的McAndrew表示,“范围是对所有PCI规定的定义。”
然而,很多企业都没有正确定义范围。
“最常见的错误是缺少‘连接到’范围内系统的系统,”McAndrew表示,“确定系统是否在‘范围内’的基本途径是问你自己‘这个范围外系统是否可能影响持卡人数据的安全性?’如果答案是肯定的,那么这个系统就是范围内系统。”
5、注重将事情归到范围外
虽然将事情归到范围外很重要,但是如果企业更注重范围外过程,而不是解决真正的风险,这将给企业造成严重影响。
“很多商家试图将系统放到范围外,而忘了管理稍后可能给企业带来严重问题的风险。例如,一个商家使用页面重定向到电子商务网站来支付,以减小范围,”Voltage Security公司数据保护专家和副总裁Mark Bower表示,“该商家的电子商务服务器可能受到攻击,攻击者可能利用假冒的重定向页面来窃取持卡人数据。范围外并不意味着不需要关心,也不意味着不会被攻击者瞄上,如果系统或数据可能受到攻击,范围外也将受到攻击。减小风险应该摆在第一位。这也是PCI摆在首位的事情。”
6、过度使用补偿控制
根据Voltage公司的Bower表示,如果你认为补偿控制能够缓解合规压力,那么,你完全理解错了PCI的作用。
“在没有办法直接符合要求时,我们会使用补偿控制,例如,一些企业会认为,因为他们的传统系统,他们不能加密或令牌化存储在数据库或应用程序的的卡数据,”他表示,“现在,完全有可能做到这一点,即使是在MainFrame和HP Nonstop这样的传统系统上,减少数据泄露风险的同时,遵守合规要求。”
除此之外,他警告说,补偿控制可能在书面审计和业务流程和工具方面增加企业成本。
7、认为PA DSS认证软件不需要遵守合规
“只是因为你购买了一些PA DSS认证软件来处理信用卡数据并不意味着你幸免于合规问题了,”Incapsula公司联合创始人Marc Gaffan表示。
“PA DSS认证的软件必须在PCI兼容环境中运行和操作以满足PCI DSS合规,”他表示,“这意味着你需要确保你的IT环境和所有相关服务供应商也同样是PCI兼容的,以保持你的认证软件和电子商务平台的整体合规。”
8、没有职责分离
PCI DSS规定3.4.1和3.5都提到职责分离是企业的义务,然而很多企业仍然没有进行适当的职责分离,Vormetric公司产品营销高级主管Todd Thiemann表示。
“为了正确进行职责分离,企业需要有足够的人员,”Thiemann表示,“一个常见错误是允许开发人员或数据库管理员看到生产数据,这通常是因为IT部门人员不足造成的。”
9、加密密钥管理不当
PCI DSS规定3.5.1规定企业需要在尽可能少的地方和形式安全地存储加密密钥。问题是,大多数企业对于密钥管理都感到恐惧。
“企业不应该将加密密钥和加密数据存储在一起。这就好像,你把门锁上,然后把钥匙贴在门上一样,”Thiemann表示,“太多加密解决方案不包括适当的密钥管理,而当涉及妥当管理加密密钥时,企业总是容易出现偷工减料的情况。”
10、没有跟踪持卡人数据流
总部设在华盛顿特区的必百瑞律师事务所John Nicholson表示,企业并没有为持卡人数据做足够的工作,以帮助找出什么、哪里、如何和为什么存储数据。
“通过这个过程,企业可以识别持卡人数据以及其他可能遭受数据泄露的数据集,然后进行加密,”Nicholson表示,“很多企业发现他们将持卡人数据存储在Excel电子表格或者其他难以控制和保护的格式中,通过进行上述提到的数据流分析,企业可以正确处理这些数据。”
想想,现在应该没有人还将持卡人数据存储在电子表格中了吧?不过确实还有,Co3 Systems公司首席营销官Ted Julian表示。
“真实故事:一家中等规模的公司找到我们,因为他们需要一个更好更方便的解决方案在进行在线注册,他们当时的解决方案是他们的托管服务供应商发给他们的Excel电子表格,包括所有信用卡信息---包含CVV代码,”Julian表示,“而这个事情并不是发生在2009年,而是刚刚发生在2012年,我想到这个事情就觉得不寒而栗。”