托管it服務巨頭verizon指出了導緻商家未能滿足pci dss合規的兩個關鍵問題領域。
日前,verizon透露了其備受期待的年度報告中的内容,這份報告對verizon enterprise solutions在過去三年期間執行的數千次pci dss合規性評估的結果進行了分析。
“照常營業”pci合規被證明很困難
根據verizon表示,2015年的資料表明大多數商家都在艱難地維持全年pci合規性。該公司稱,在通過稽核後的不到一年時間内,隻有不到三分之一的企業保持完全的pci合規性。
這與pci安全标準委員會所提倡的“持續合規性”口号形成鮮明對比。專家稱,pci dss 3.0版的主要目标之一是要求企業保持足夠的安全控制來在所有時候保護支付卡資料,不隻是為了通過年度評估。
醫療裝置、服務和照明解決方案國際制造商的pci合規項目經理nancy rodriguez表示,pci合規性嵌入到“照常營業”業務流程并不容易。
她表示,這個系統性的工作需要與全公司業務流程所有者召開會議,了解流程如何運作以及資料流向何處,然後再确認如何在不影響業務的前提下整合pci合規性。rodriguez補充說,這種工作很難做到,因為即使在大型企業,pci合規團隊通常隻有極少數人。
“我很幸運的是,當我進入現在這家公司時,該公司正處于起步階段,當時公司正在基于核心、标準元素重新定義所有流程,”rodriguez稱,“我們建立了核心領域(資訊安全、pci、隐私等),并對其流程以及控制進行了描述。然後我們評估彼此的流程和控制,以确定我們的領域是否應該參與,以及如何參與。”
這是一個費力費時的過程,即使是對于相當大規模的企業,對于很多小型商家,在單個時間點的其餘時間内保持合規性更加困難。前安全評估員兼獨立安全顧問steven weil表示,他開始看到越來越多的企業對pci合規采取全年的做法,但這是一個挑戰,因為企業必須有成熟的資訊安全和合規計劃。
weil表示:“不幸的是,還有很多不太成熟的企業隻是專注于每年一次的pci合規性;對于這些企業而言,這樣做的風險越來越大。”
防火牆合規性、安全測試是主要問題
根據verizon表示,企業未能滿足pci合規要求的兩個主要領域涉及第11條要求,對安全系統和流程進行定期測試;以及第1條要求,其中主要是對防火牆的維護。
該公司隻透露了部分細節資訊,另外,在一份聲明中,verizon enterprise solutions的合規和管理專業服務主管rodolphe simonetti表示,不斷變化的網絡安全環境需要企業改變他們的安全做法。
“企業需要采用我們稱之為‘有彈性’的模式,這意味着他們必須接受他們永遠不可能完全安全,”simonetti表示,“對于資料保護,并沒有萬全之策。”
weil推測,verizon已經看到防火牆規則審查沒有得到充分執行,或者說,沒有按照pci dss要求的至少每六個月執行一次。
“在大型或複雜企業中,受pci監管的關鍵防火牆可能有數百條規則必須進行審查,”weil表示,“但對于繁忙的安全專業人員而言,了解哪些規則仍然有效以及哪些規則需要删除/禁用,是很困難和非常耗時的工作。此外,防火牆管理者擔心關閉防火牆規則可能會帶來影響。”
rodriguez表示同意,他說,盡管對于幾乎所有全面的資訊安全計劃而言,防火牆維護都是基本工作,但pci dss圍繞防火牆的要求是“規定性的”,特别是對所有允許的服務、協定和端口的使用的文檔記錄和業務理由。
“還有很多人沒有意識到pci dss要求,”rodriguez表示,“是以他們沒有建構這些控制到其流程和程式。”
同時,第11條要求還包含了高難度任務,從無線網絡安全到定期網絡安全掃描和第三方滲透測試。
有些企業仍然在艱難地滿足第11條要求,這并不足為奇;verizon去年報告稱,在最符合要求的企業(即滿足95%pci dss控制的企業)中,超過半數沒有滿足第11條要求。雪上加霜的是,pci 3.0版中的新要求規定,企業需要部署正式的滲透測試方法,這被認為是更新版本标準中最難以遵守的變化之一。
aberdeen group研究公司副總裁兼研究員derek brink表示,滿足pci要求所帶來的挑戰變得更加艱巨,這也說明現在的it基礎設施比幾年前更加複雜。
“對于所有企業而言,真正的目标應該是将風險降低到可以接受的水準,”brink表示,“這意味着減少資料洩露事故的可能性—通過部署和維持普遍接受的安全控制和流程,以及減少不可避免要發生的資料洩露事故帶來的影響。”
brink感歎說,有些人肯定會利用verizon令人沮喪的報告結果來“抨擊pci标準”,他主張商家應該努力實作和維持pci合規性,因為隻有這樣做,這些企業才将會比他們想象的更加安全。
brink補充說:“對于我來說,verizon報告的巨大價值在于,它提供了關于關鍵問題的可能性和影響的事實和趨勢,這應該是企業必須了解的有關風險的事實。”
verizon證明,下個月的pci報告結果将會包含基于30多個國家的财富500強企業和大型跨國公司的資料。除了審查企業如何以及在哪裡未符合pci要求,該報告還會提供對12個pci要求的深度剖析,以及第一次評估3.0版本的合規性工作。
作者:eric parizo
來源:51cto