PCI标准及其应用的现状分析
2008-03-26atsec 刘岩 2007年12月
本文为atsec和作者技术共享类文章,旨在共同探讨信息安全业界的相关话题。转载请注明:atsec和作者名称。
关键词:PCI、QSA、支付卡、信息安全
2007年是支付卡产业安全标准委员会(PCI SSC:Payment card industry Security Standards Council)在世界范围内推行PCI数据安全标准(DSS:Data Security Standard)的第一个年头。
本文简要的介绍PCI标委会,及其标准与支持文档2007年底的开发现状,并重点分析世界范围PCI所涉及的商户、收单银行和服务提供商等角色目前的符合性工作情况。希望通过本文的讨论,使得支付卡产业链的各个角色在未来更加重视信息安全工作,从而更为有效、全面、标准化地保护持卡人的机密信息。
PCI安全标委会机构设置
PCI SSC是由美国运通(American Express)、美国发现金融服务(Discover Financial Services)、JCB、万事达(MasterCard Worldwide)和Visa国际组织五家支付品牌在06年秋共同筹办设立的统一且专业的信息安全标准委员会。
PCI安全标准委员会(PCI SSC)的最高级别执行委员会(Executive Committee)是由上述五家支付卡品牌中负责风险管理或相关服务技术的副总裁组成。执行委员会下设管理委员会(Management Committee),也由五家支付卡品牌的相关负责人组成,负责该安全标委会的重大决策。委员会设有总经理(General Manager),并设立专门的DSS工作组、PED工作组、QSA体系管理、ASV体系管理、PA体系管理等部门,分别负责各自领域的标准开发和体系维护等技术工作,此外还设有市场工作组和立法委员会。
ASV和QSA
PCI安全标准委员会严格的维护了授权扫描机构(ASV:Approved Scanning Vendors)和合格安全性评估机构(QSA:Qualified Security Assessors)的授权评估体系,面向收单银行、商户、服务提供商等支付产业相关机构提供安全扫描和评估服务,并出具符合性报告。所有的ASV和QSA都需要经过严格审核后才能得到授权,并要进行每年一度的重新审核;QSA的相关全职评估人员需要参加PCI SSC组织的资格培训和考核,并也要进行每年一次的重新资格培训。
五个支付品牌完全认可PCI SSC所授权的ASV和QSA,原先由各支付品牌(如VISA)自行维护的ASV或QSA体系也已经完全由PCI SSC接管负责。
atsec作为PCI SSC授权的QSA,可以在中国和美国提供安全评估工作,并为成功通过评估的机构出具符合性证书;同样atsec也可以根据需要为机构提供帮助和顾问咨询,从而使其符合PCI安全标准的要求。
参与机构
截至2007年底全球共有375家机构成为PCI标准委员会的参与机构(Participating Organizations),为PCI数据安全标准的进一步发展提供反馈意见。
参与机构包括但不限于:
- 协会组织或商业机构,如IATA、American Bankers Association、European Payment Council AISBL、RSA、MACUBO等;
- 金融机构,如Bank of America、Citibank、Commerce Bank、Merrick Bank等;
- 各类商户,如AT&T Services、Hertz、Dell、Ikea、Marriott、微软、摩托罗拉、麦当劳、T-mobile等;
- POS厂商,如Breach、InterCard、Micros等;
- 支付处理机构,如Bastion、Star等;
- 其他机构,如CSC、Oracle等。
由此可以看出,PCI安全标准备受全球各类机构关注;另一方面,这些机构对于标准的反馈和意见将直接推动标准的进一步发展。
标准及其支持文档发布中文版
目前,PCI数据安全标准(DSS)是2006年9月所发布的V1.1版本,2006年12月31日之后PCI安全标委会已经不再认可2005年1月发布的旧版本。此外,PCI安全标委会配套公开发表了如下的支持文档,并在其官方网站免费下载。
- 术语和缩略语(Glossary),定义了DSS和其他ASV、QSA资源中涉及的术语。
- 自我评估问卷表(SAQ:Self-Assessment Questionnaire),用于小型商户和服务提供商符合性论证的重要验证工具。
- 安全审计程序(Security Audit Procedures),用于评估人员对商户和服务提供商进行现场审核
- 安全扫描程序(Security Scanning Procedures),本文档阐述了针对商户和服务提供商进行PCI安全扫描的目的和范围。
(PCI DSS V1.1及其以上支持文档均提供了官方的中文版本。) - 变更摘要(Summary of Changes),PCI DSS V1.1和2005年1月份的旧版本的变更对比。
- QSA验证需求(Validation Requirements for Qualified Security Assessors),作为PCI SSC认可的合格安全性评估机构(QSA:Qualified Security Assessors),QSA必须满足或者超过本文档中所规定的要求,并履行本文档附录A中提出的与PCI SSC的合同。
- ASV验证需求(Validation Requirements for Approved Scanning Vendors),作为PCI SSC认可的授权扫描机构(ASV:Approved Scanning Vendors),ASV的员工和ASV扫描方案必须满足或者超过本文档中规定的要求,并履行文档附录A中提出的与PCI SSC的合同"PCI ASV Compliance Test Agreement"。
- ASV技术和操作需求(Technical and Operational Requirements for Approved Scanning Vendors),本文档提出了在PCI DSS和相关支付品牌数据保护体系框架下,适用于ASV的指导和需求。在PCI体系下的安全扫描机构必须符合本文档中规定的需求,并必须成功地完成PCI安全扫描机构测试和授权流程。
- 其他ASV文档:
ASV符合性测试合同(ASV Compliance test agreement)
ASV反馈表格-品牌和其他(ASV Feedback Form - Brands and Others)
ASV反馈表格-客户(ASV Feedback Form - Client) - 其他QSA文档:
QSA合同(Qualified Security Assessor (QSA) Agreement)
QSA反馈表格-品牌和其他(QSA Feedback Form - Brands and Others)
QSA反馈表格-客户(QSA Feedback Form - Client)
目前的标准主要是针对金融机构、商户和服务提供商等涉及支付交易机构的扫描和评估,PCI SSC已经开始完全负责ASV和QSA体系工作。笔者在(atsec)工作过程中,发现相当多的PED(Pin Entry Device)厂商,如密码键盘、ATM和POS(Point of Sale)设备供应商关注PCI的安全符合性评测,但目前的PED评测体系和评测实验室授权还是由Visa组织所维护,笔者认为在不久的将来也将会统一过渡到PCI安全标准委员会来负责。
各支付卡品牌大力推动
随着PCI数据安全标准的倍受关注,各支付品牌也继续加强推动该项工作。基于统一公认的ASV和QSA评估结果,每个支付品牌都根据自己的安全风险管理策略,开发并维护了各自的PCI DSS符合体系。包括如下:
- American Express: Data Security Operating Standard (DSOP)
- Discover: Discover Information Security Compliance (DISC)
- JCB: Data Security Program
- MasterCard: Site Data Protection (SDP)
- Visa USA: Cardholder Information Security Program (CISP)
- Other Visa Regions: Account Information Security (AIS) Program
各支付卡品牌所维护的体系分别规定了强制执行要求,罚金、费用和最后期限,验证流程和角色,符合性机构的批准和发布,商户和服务提供商级别定义等等细节。支付品牌也负责当出现帐户数据安全事件时的取证以及响应。可以说各个支付品牌所要求的体系都基于统一的PCI数据安全标准及其ASV和/或QSA评估体系,但又根据自身风险管理策略各有不同,atsec可以为不同国家地区不同的机构提供帮助,更好的理解和实现PCI符合性。
VISA国际组织在中国以及亚太地区使用帐户信息安全(AIS)体系,而在北美使用持卡人信息安全体系(CISP)。
万事达卡的站点数据保护程序(SDP)也要求所有接受信用卡支付的商户都必须符合PCI DSS标准。2007年下半年,万事达国际组织向亚太、中东与非洲地区的指定商户提供帮助,使他们符合支付卡行业数据安全标准的相关要求。
PCI符合性状态
根据Forrester Research在2007年7月对于美国和欧洲PCI符合性研究报告显示[3],很多的商户和服务提供商存储了过多的信用卡号码之外的机密数据信息。在被统计的机构当中,81%的机构存储了信用卡号码,73%的机构存储了信用卡过期时间,71%存储了验证码(Verification codes),而且超过50%的机构都表示存储了信用卡磁条(magnetic stripe)上的用户数据。很多处理大批量交易的机构都暴露出了极其错误的行为,特别是一些金融服务、医疗、保险和高等教育行业,相当比例的机构存储了绝对禁止进行存储的数据。这些机构存储信用卡数据的动机也不尽相同,基本上可以归纳为使用这些信息进行防止欺骗的分析、用户唯一识别、业务智能分析、退款、与合作伙伴信息共享等。相当多的机构还需要在信息存储上进行优化和改进,以符合PCI信息安全标准中针对存储的规定。
报告还显示,密码和访问控制是PCI安全工作的重中之重,也是实际审计中发现最多的问题所在。数据泄露风险的减免是最高优先级的任务,而且交易量越大,其优先级就相应越高。机构中的IT部门将负责信用卡数据的保护,其直接负责人可能为CIO、CISO或者CTO等相应的职能角色。
一般地,机构如果首次进行PCI的信息安全建设,其投资力度可能需要占据相当部分的IT预算(通常会占整个IT预算的2%-5%),某机构CIO认为其投资甚至可能会超过SOX法案的符合性和审计工作。不过,笔者认为任何的信息安全工作都不是互不相干、独立为营的,比如ISO/IEC 27001的信息安全管理体系框架将会直接平稳的应用于PCI的符合性建设;Cobit和ITIL标准框架也对PCI符合有所帮助。
通过近期的PCI符合工作状态分析,可以看到大量机构需要重新构建业务流程,从而实现信用卡数据的保护;符合性体系应整体考虑,建立一套适合机构自身特点的风险管理模型,需要将PCI符合性建设融入到风险管理策略之中,而不是完全孤立的去考虑它;PCI符合性建设工作还需要加大资金和时间投入;另外应更多地优化保护信用卡数据的存储和传输,而不是仅仅着眼于其运行环境。
很多的欧美的机构已经通过PCI的符合性建设提高了其信息安全水平,近一半的欧美机构计划于2008年内全面的完成PCI的符合性工作并通过认证,而30%左右的机构计划2年内完成该项工作;目前主要的关注行业集中在零售业、金融服务、媒体和娱乐、保险行业等等。
中国PCI所受的关注程度还比较小,但是目前信用卡支付和电子商务的交易量越来越大,出现的安全隐患也与日俱增。2008年将是中国的奥运年,中国与国际的经济往来更加紧密,对于支付安全的需求也必然越来越高。希望所有支付卡产业链的参与角色能够尽早关注PCI数据安全标准,投入进行PCI安全建设,也希望能够得到相关立法的支持,以尽可能的减小支付过程的安全风险,保护持卡人权益。
参考文献
[1] PCI SSC https://www.pcisecuritystandards.org
[2] atsec information security. http://www.atsec.com
[3] The State of PCI Compliance, A commissioned study conducted by Forrester Consulting on behalf of RSA, the Security Division of EMC. September 2007