到目前為止，大多數(shù)安全人士可能已經(jīng)意識(shí)到完全遵從支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）將會(huì)在技術(shù)方面和操作層面上遇到極大的挑戰(zhàn)。

因?yàn)檫_(dá)成和驗(yàn)證法規(guī)遵從需要大量的費(fèi)用和努力，許多貿(mào)易商和服務(wù)提供商通過限制在機(jī)構(gòu)內(nèi)部存儲(chǔ)、處理或傳輸持卡人數(shù)據(jù)的范圍來設(shè)法限定PCI DSS法規(guī)遵從的范疇。像直接把持卡人數(shù)據(jù)轉(zhuǎn)交給收單銀行（從而使得貿(mào)易商環(huán)境中涉及數(shù)據(jù)處理的范圍最小化）或者利用標(biāo)記化技術(shù)（替代主帳戶號(hào)或帶有保密處理數(shù)值的“PAN”）的策略能幫助持卡人數(shù)據(jù)遠(yuǎn)離網(wǎng)絡(luò)環(huán)境。這限定了需要控制的范圍并減少了那些被要求實(shí)施年度審計(jì)的公司的審計(jì)面。

不管怎么樣，那只是理論

但是就像經(jīng)常引用的理論一樣——黃蜂從空氣動(dòng)力學(xué)來講是無法飛行的，有時(shí)理論上成立的事，在實(shí)踐中的并不一定成立。就拿PCI DSS來說，這個(gè)差距能讓企業(yè)處于風(fēng)險(xiǎn)之中， PCI DSS評(píng)估的結(jié)果發(fā)現(xiàn)信用卡數(shù)據(jù)常常位于不安全的網(wǎng)絡(luò)中。在網(wǎng)絡(luò)中的信用卡數(shù)據(jù)沒有文檔記載或受到正確防護(hù)，這不僅對(duì)組織來說不好，對(duì)于網(wǎng)絡(luò)安全團(tuán)隊(duì)也無益。在本文中，我們將討論這種情況發(fā)生的原因，并提供一個(gè)簡(jiǎn)化的PCI合規(guī)網(wǎng)絡(luò)檢測(cè)檢查列表來辨識(shí)信用卡數(shù)據(jù)。

墨菲定律：什么會(huì)出差錯(cuò)

在實(shí)踐中，操作上的失誤可能會(huì)造成持卡人數(shù)據(jù)被無意泄漏到網(wǎng)絡(luò)上，這種情況是很多的。這些問題的出現(xiàn)是因?yàn)閱T工沒有遵守已定義好的業(yè)務(wù)流程，因?yàn)楹弦?guī)策略沒有解決那些“不引人注目”的情況，還有就是在處理支付事務(wù)的技術(shù)組件中的錯(cuò)誤。

到目前為止與人員相關(guān)的最常見的情形是：個(gè)別員工無意地把持卡人數(shù)據(jù)帶入到網(wǎng)絡(luò)環(huán)境。在***線處理客戶支付的人員（例如幫助客戶的客服人員）甚至可能不知道PCI DSS是什么，更別提理解通過減少/消除持卡人數(shù)據(jù)出現(xiàn)在環(huán)境中來限定PCI DSS范圍的重要性了。當(dāng)一個(gè)這樣的員工收到客戶的某些請(qǐng)求時(shí)，例如，就錯(cuò)誤的收費(fèi)表示爭(zhēng)議或希望跨多個(gè)信用卡完成交易，原本打算限定范圍的員工可能會(huì)以違反策略的方式處理請(qǐng)求。某人可能會(huì)匆忙記下信用卡號(hào)、過期時(shí)間或CVV，并隨后把這些數(shù)值寄給主管，或者把它們添加到調(diào)用日志應(yīng)用的注釋字段。

另一種情況是由于偶然地忽視組織內(nèi)的一個(gè)或多個(gè)支付“渠道”而導(dǎo)致問題的出現(xiàn)。例如，一個(gè)大型在線零售商可能會(huì)花費(fèi)幾百萬來實(shí)施標(biāo)記化以便限制客戶提交的數(shù)據(jù)（目前為止***的風(fēng)險(xiǎn)），但是自助餐廳或停車場(chǎng)該怎么辦呢？那些看起來小的問題可能會(huì)避開監(jiān)督，要么是因?yàn)橥硪粋€(gè)收單方和處理者的不同尋常的關(guān)系，或者是因?yàn)樵陂_始的規(guī)劃中沒有加以考慮。

***，技術(shù)上的問題同樣能造成數(shù)據(jù)流入到網(wǎng)絡(luò)環(huán)境中。在調(diào)查操作上的問題時(shí)可能會(huì)留下調(diào)試和錯(cuò)誤日志，常常會(huì)記錄在線的PAN或者其它持卡人數(shù)據(jù)。

因此，我們需要意識(shí)到在很多情形下實(shí)際操作方面的深思熟慮比起我們***的計(jì)劃能搶先一步來防止信用卡數(shù)據(jù)穿越網(wǎng)絡(luò)，那么能做什么呢？

***步是組織內(nèi)的合規(guī)意識(shí)培訓(xùn)，并且安全團(tuán)隊(duì)需要知道這些問題。在滿足合規(guī)的過程中對(duì)這些問題進(jìn)行監(jiān)督有助于每個(gè)利益相關(guān)者，如網(wǎng)絡(luò)安全管理員保持對(duì)這些事情的警覺性。但是還有一些策略可以用來發(fā)現(xiàn)和消除這些狀況以便減少合規(guī)面。

首要的是，使用自動(dòng)數(shù)據(jù)發(fā)現(xiàn)工具是有幫助的。即使你發(fā)現(xiàn)的比你預(yù)期的多很多，花費(fèi)一些時(shí)間來驗(yàn)證理論是值得的，而不是隨后驚訝于意料之外的數(shù)據(jù)。如果你的企業(yè)已經(jīng)部署了數(shù)據(jù)防泄漏（DLP）產(chǎn)品，你已經(jīng)領(lǐng)先了一步：簡(jiǎn)單地開啟產(chǎn)品的發(fā)現(xiàn)功能來定位持卡人數(shù)據(jù)。如果你沒有這樣的工具，考慮使用像ccsrch這樣的開源工具來尋找。當(dāng)你找到一個(gè)或多個(gè)關(guān)注點(diǎn)時(shí)，你要糾正問題并進(jìn)行根源分析以防止再次發(fā)生。

同樣對(duì)于處于網(wǎng)絡(luò)中的我們來說，維護(hù)一個(gè)系統(tǒng)及過程的列表或清單也是有幫助的。它們有專門的用途如涉及到存儲(chǔ)、處理或傳輸信用卡數(shù)據(jù)，從這里你能發(fā)現(xiàn)信用卡數(shù)據(jù)。從記錄下完成這些功能的所有系統(tǒng)和過程開始。當(dāng)你讓某些系統(tǒng)“退役”時(shí)，從列表中去掉它們以保持內(nèi)容***。當(dāng)你檢查數(shù)據(jù)發(fā)現(xiàn)過程時(shí)，添加你新發(fā)現(xiàn)的到清單中。PCI DSS要求你維護(hù)這個(gè)清單并記載你的數(shù)據(jù)流的文檔，這樣可以讓你的審計(jì)或自評(píng)估的過程流水化。但是當(dāng)你建造它時(shí)，對(duì)于CDE真實(shí)的范圍有一個(gè)全面的了解會(huì)有幫助，而不僅是理論上你認(rèn)為的范圍。

限定在你的網(wǎng)絡(luò)環(huán)境范圍內(nèi)收集和處理的數(shù)據(jù)只是***步——并且是一個(gè)好的理論方法——限定你的合規(guī)范圍。但是記住這需要采取可靠的后續(xù)過程——自始至終對(duì)該理論保持警惕性并且在實(shí)踐中應(yīng)用。

作者：Ed Moyle

【編輯推薦】

1. 怎樣避免企業(yè)移動(dòng)設(shè)備的數(shù)據(jù)泄漏
2. 阻止數(shù)據(jù)泄漏危害的簡(jiǎn)單方法
3. 企業(yè)的寶貴數(shù)據(jù)泄漏的現(xiàn)狀及影響以及保護(hù)方案
4. 防止人為因素造成企業(yè)數(shù)據(jù)泄漏的描述