【IT168技术】无论是搞实体还是选择在线业务,商家们都发现支付卡行业(简称PCI)已经成了他们不可或缺的商业伙伴,但由此带来的信用卡数据保护工作却充满挑战且令人困惑。
相信每位零售商都会有这样的感受,自己需要了解如何保护来自在线交易的信用卡及其它客户数据,因为这世界上有一大帮紧盯着这块肥肉打算渔利的犯罪分子。零售商目前已经成为第二大数据泄露受害者(仅次于酒店服务业),根据Verizon公司2012数据泄露调查报告,有20%的违规事件发生在零售行业。而且虽然在美国人口普查局公布的研究结果中,全美只有5%的公民拥有电子商务账户,但这一数字显然正在稳健地逐年递增。
“现在这个世界充满新鲜与诱惑,但在商家眼中却又暗藏着无数杀机,因为从我们步入商业领域的第一天开始就已经被恶意人士给盯上了,”支付业务企业Hearland支付系统公司首席安全官John South表示。
在这个危机四伏的网络世界中生存的零售商大部分只是小型企业,而他们的安全漏洞也最为严重:几乎95%的数据泄露事故发生在员工数量低于100人的小公司,Verizon报告指出。他们显然不像大企业那样养得起安全及风险管理团队。
“我们几乎看不到什么大规模数据泄露事件,反倒是小型违规状况时有发生,”PCI安全标准委员会总经理Bob Russo告诉我们,该委员会是专门制定PCI数据安全标准(即PCI DSS)的政府主管部门。“这些标准对于拥有完善安全部门的大型企业而言非常适用,但我们正在想办法让小商家也能获得可供实施的精简方案。”
在线零售商对于安全性的要求极高,这一点与传统的实业型企业有所区别,因为大部分交易都是以双方不碰面的刷卡形式完成的。由于客户在网络购物过程中不需要使用真正的支付卡,因此整个付款流程要求商户接受经过审批的安全厂商的定期(每季度)网络扫描。这类扫描的目的在于检测安全漏洞与错误配置。
许多在线零售商并不知道PCI的要求哪些安全机制、也不了解该如何打理这些机制。但即使如此,在保护客户数据方面稍做改进也能够带来极大的安全性提升。Verizon公司的调查报告发现,96%的网络攻击受害者并没有严格遵循PCI管理规则,而且97%的数据泄露只要通过简单或中等强度的保护手段即可避免。
下面我为大家总结了十种方式,希望它们能帮助大家了解自己企业所需要的控制方案,以保护持卡人的利益免受分割、PCI规则得到确切执行。
1.了解自己的基础架构
网络商家最需要了解的内容就是自己的在线交易系统与日常业务网络的集成方式。大家可以尝试亲自访问基础架构,了解哪些系统用于处理交易流程及持卡人数据。
网络扫描及日志分析工具能够帮助我们识别触及支付卡数据的系统类别,安全管理服务供应商Trustwave公司认证安全评估师Greg Rosenberg指出。这些涉及敏感信息的系统必须严格遵循PCI DSS安全标准。
“其实很多系统在不知不觉中成为了攻击活动的跳板,通过检测与定位我们发现了大量普通消费者所不了解的安全漏洞,”Rosenberg表示。
他认为让一位经过认证的安全评估师参与测试非常必要。“我要寻找的并不是能帮自己快速通过审计工作的家伙,专家的职责在于帮商家了解潜在风险,”Rosenberg告诉我们。“别把PCI标准看成是麻烦的形式主义流程,认真完成会显著降低大家可能遭遇的安全风险。”
2. 查找数据
企业保留支付卡数据一般出于三大原因:更好地掌握客户服务需求、方便客户重复使用信用卡以及处理退款事务,波尼蒙研究所在其2011年PCI DSS合规性趋势研究报告中总结道。“目前绝大多数公司仍然在以信用卡号码作为客户的主要识别手段,”互联网服务企业Akamai公司安全部门发言人Martin McKeay指出。
无论出于何种目的,一旦选择保留客户数据,企业就应该对业务系统中的每一个运行实例展开监控,包括Web服务器、客户服务应用以及销售人员的笔记本电脑。了解数据驻留在何处、谁在对其进行访问以及访问者是否拥有明确的访问理由。
举例来说,营销团队就可能希望保留这些信息,“因为他们能够在时机合适时向客户发送优惠券或其它促销建议,”PCI SSC的Russo解释道。“但如果大家确信自己并不需要这些数据,请尽快丢掉这块烫手的山芋。”
疑难杂症
2011年企业在处理PCI安全要求中的三大首要难题:
保护客户数据(42%)
制定管理政策、确保信息安全(39%)
定期检测系统及业务流程安全性(37%)
3.数据处理系统越少越好
任何一款需要访问交易数据或支付卡数据的系统都要由PCI DSS来把关,而由此带来的评估及检测成本非常高昂。因此将网络划分成不同区块,并将员工指派给与个人工作相关的网络区域就显得非常重要,这能够有效控制访问支付卡数据的员工及系统数量。一旦与敏感信息扯上关系,PCI安全需求也将接踵而至,因此削减涉入系统的数量能够提高安全性、降低合规性成本。“回避交易流程能够帮我们大幅降低基础设施构建难度,这类方案效果明显、深受商家欢迎,”应用程序安全企业Veracode公司副总裁Chris Eng表示。
要想实施此类方案,关键在于记录交易流程的同时不能触及信用卡号码。“记录是绝对必要的,记录信息越详尽交易双方的权益就越有保障,”Web应用安全供应商WhiteHat安全公司静态代码分析部门副总裁Jerry Hoff指出。“但请确保敏感数据本身没有被记录进来。”
4. 把数据交给他人打理
网络商家也可以选择对基础架构进行外包处理,让第三方服务商来接手这些麻烦的支付流程细节并承担安全责任,这也是一种不错的方式。“举例来说,如果大家在网上做滑雪板销售生意,那么确保信用卡数据安全根本就不应该成为咱们的关注重点,拿出精力好好做生意才是正事,”Hoff评论称。
根据波尼蒙研究所的调查,选择放弃支付卡数据的企业往往在安全性方面更为积极,也较少遭受数据泄露的分割。在一份针对670位美国本土及跨国公司IT管理者的调查当中,放弃保留持卡人信息的企业有85%在近两年内没有遭受到数据泄露事件。而在保留该数据的企业中只有40%表示近两年自己未受泄露困扰。
虽然很多企业仍然在这么做,但需要注意的是,有一类数据大家千万不要保留:这就是支付卡验证码,简称CVV。“由于不必再次输出验证码,所以很多商家认为保留这类信息能够促进消费者的购物欲望,”Trustwave公司的Rosenberg说,“然而问题在于作为商家,我们根本没有资格在交易结束之后继续保留这类数据。”
从数据的负担中解脱出来,让PCI认证成为别人的工作。这样比起遵守12条安全规范,我们就能把关注重点缩小到其中的两条上:阻断数据的访问渠道(第九条)与制定管理政策、确保信息安全(第十二条)。
大家还必须对数据存储方案的合规性保持关注,并填写一份自我评估问卷。但总体而言,这种宏观上的工作还是要轻松得多,Hearland公司的South认为。
仅仅进行网络划分与放弃支付卡数据并不足以让你的企业满足PCI安全要求,安全服务企业Accuvant公司PCI解决方案架构师Evan Tegethoff声称。没有哪位商家能够完全跳出PCI安全要求之外,而只能想办法尽量减少它所带来的影响。如果把公司数据交给第三方供应商打理,我们仍然有责任考核其实际表现及信息保护成效。
这一点在技术方面也同样适用。采购一套PCI数据合规保护产品并不能让企业高枕无忧。“商家常常会认为‘买套PCI合规产品不就结了’,”PCI SCC的Russo无奈地表示。其实根本没这么简单,数据安全技术只有经过针对企业需求的调整与严格监管才能实现数据保护功能。
5. 严格检验你的合作伙伴
对于那些将业务外包给供应商,却保留一部分交易检查权限的商家而言,他们在PCI合规性方面的责任范围并没有因此减小,PCI SSC CTO Troy Leach提醒道。“目前的挑战在于,这种访问权限常常会涉及到持卡人数据,如此一来商家自己的非安全性环境就被整个牵扯进来了。”
除了管好自己,我们还需要收集信息、了解合作伙伴在PCI合规性方面的执行水平。管理服务供应商手中掌握着大量支付卡数据,这也使他们成为众多攻击者的首要目标。去年在第三方管理下的系统有76%遭受过数据泄露侵扰,而当违约情况发生时,大部分责任还是得由商家自己来承担。
了解第三方合作伙伴的PCI合规性状态,包括自我评估问卷。以下几个关键领域需要着重监督:
>>托管服务必须符合PCI规定,特别是供应商需要具备严格的漏洞修复机制,包括定期安装补丁并升级服务器软件等。
>>任何商家用户在交易中使用的支付应用必须遵循独立的安全标准,即PCI支付应用数据安全标准。除基本安全措施外,交易日志、不保留全部交易数据、提供安全验证机制以及加密公共网络中的通信内容也必须纳入到日常流程当中。
>> Web应用扫描服务供应商必须经过PCI合规性审核,并位列pcisecuritystandards.org网站的放心合作对象名单之中。
恶意人士窃取的数据来自哪里?
63%来自数据传输过程;
28%来自商家的信息存储机制;
5%来自数据重定向行为;
4%来自其它途径。
以上数据引自Trustwave公司在《2012全球安全报告》中所列举的300个数据泄露案例。
6.使用安全有保障的软件产品
信用卡数据大多数情况下要由软件而非人工来处理,因此使用安全有保障的软件产品就显得极为关键。
几年之前,软件开发公司只需要符合PCI的相关审核标准,并确保应用程序中不包含开放Web应用安全项目中所列出的十大严重漏洞即可。而在去年这些管理标准被大大提高,PCI SSC将安全要求修订为“应用程序中不得包含SANS所列出的二十五种高危软件错误。”
难怪企业总是被麻烦所困扰,Veracode公司的Eng无奈地指出。大多数在线商务公司目前还对SANS名单上的头两大常见安全威胁——SQL注入式攻击与跨站点脚本——毫无防备,更不用说其它23项相对冷门的攻击方式了。
7.保护好Web服务器
在线零售商运营工作中最重要的环节在于Web服务器及网络商店的维护与保养。电子商务从业者必须按季度提交安全漏洞调查表,而在涉及PCI的软件方面还需要在30天内进行更新并安装致命漏洞的修复补丁。但在专业人士看来,一个月的反应周期实在是太长。
商家可以通过以下三种方式保护自己的在线商店并保障PCI规范:扫描代码漏洞、修复开发过程中的遗留问题;动态扫描网站,检测安全漏洞并及时修复;利用Web应用程序防火墙阻断攻击途径。但仅仅使用防火墙还远远不够,我们还需要对其进行正确配置。“大多数商家对防火墙的设定实在太过松散,”Eng指出。“不少公司干脆选择完全放开的监控模式,这跟不装防火墙根本没什么区别。”
企业还需要从攻击者的角度思考问题。就以跨站点脚本攻击为例,大家不妨扮演攻击者,尝试通过向有漏洞的网站注入恶意代码来使其显示目标站点的信息。跨站点脚本攻击也许不会直接影响到商家自己的网站,但攻击者完全能够利用这种技术将客户诱导到外观相同的其它站点,进而窃取支付卡数据。
“如果我是黑客,我会采取重新定向的方式欺骗消费者,那么商家有什么办法来阻止我的阴谋?”Trustwave公司的Rosenberg提出这样的假设。电子商务供应商必须在开发或安全扫描过程中发现这些漏洞,并尽快加以修复。另外,还需要利用防火墙来阻断此类攻击活动,他提醒道。
8.严格掌控用户权限
PCI规范中有三条与授权相关。限制无关人士以物理方式访问持卡人数据可能是其中最容易实现的一条。因为只有传统的实体型企业才需要不断培训并监督员工远离自己所经手的信用卡,电子商务公司的职员们根本看不到消费者的支付卡实体。但在线零售商还面临着另一大问题,就是如何限制支付卡数据的访问行为,因为很多员工都有合法的途径接触到处理数据的业务系统。
员工与业务合作伙伴可能会在不经意间以设定低强度密码等形式削弱公司的数据访问管理策略。Trustwave公司在其2012年全球安全报告中指出,高达80%的违规活动源自系统管理员所使用的低强度甚至默认密码。在许多情况下,第三方供应商会在多位客户间使用相同或者相近的密码内容,这样免不了要一家出事、全体遭殃。
9.认真加密、保管好密钥
对于选择保留持卡人数据的企业,这类敏感信息必须在存储及传输过程中获得严格加密。数据安全企业Voltage公司副总裁Mark Bower认为,这样做的意义在于将攻击者眼中炙手可热的持卡人数据转化成毫无价值的零散片断。
目前大多数商家都喜欢采取这样的加密技术:对交易数据加密之后,工具将自动生成一套解密密钥,进而在使用时将乱码重组成有价值信息。通过使用终端到终端的加密方案,大家能够削减需要遵循的PCI规范,同时降低由数据泄露带来的恶性后果。由于解密密钥的存在,攻击者即使截获了信息,也无法将其转化为可读内容,Bower指出。
但加密并不能解决所有的安全问题。许多大规模数据泄露事件的发生正是由于攻击者取得了解密密钥。
10. 有了PCI并不等于万无一失
PCI并不代表着全部信息安全要求。它只是一种“最低限度的强制性方案,”Hoff提醒道。“它比较像立在游泳池边的‘请勿奔跑’指示牌。即使严格遵守,它也无法保证我们获得绝对安全。”
企业还应该为超出PCI DSS指导范围之外的潜在威胁做好心理准备。举例来说,攻击者可能会利用HTML注入方式在商家的网站中设定一个原本并不存在的谷歌网页排名。“在这种情况下,我们要问的是:我为什么会遭到攻击?”Trustwave公司的Rosenberg表示。
最重要的是,在线商家必须了解自己的义务、明确自己在保护客户数据方面应该做出的努力,Hearland公司的South指出。“他们要明白,既然投入这个产业,他们就有责任为客户的交易保驾护航。这与PCI规范并没有关系,PCI只是实现这一目的的辅助工具。”
PCI SCC中的研究小组正在针对电子商务安全撰写指导材料,相信到时候我们会得到更多有价值的帮助信息。他们十二月刚刚刊发了第一份报告,未来帮助零售商保障客户数据的道路还很漫长,同志仍需继续努力。