無論是搞實體還是選擇在線業(yè)務，商家們都發(fā)現(xiàn)支付卡行業(yè)（簡稱PCI）已經(jīng)成了他們不可或缺的商業(yè)伙伴，但由此帶來的信用卡數(shù)據(jù)保護工作卻充滿挑戰(zhàn)且令人困惑。

相信每位零售商都會有這樣的感受，自己需要了解如何保護來自在線交易的信用卡及其它客戶數(shù)據(jù)，因為這世界上有一大幫緊盯著這塊肥肉打算漁利的犯罪分子。零售商目前已經(jīng)成為第二大數(shù)據(jù)泄露受害者（僅次于酒店服務業(yè)），根據(jù)Verizon公司2012數(shù)據(jù)泄露調(diào)查報告，有20%的違規(guī)事件發(fā)生在零售行業(yè)。而且雖然在美國人口普查局公布的研究結(jié)果中，全美只有5%的公民擁有電子商務賬戶，但這一數(shù)字顯然正在穩(wěn)健地逐年遞增。

“現(xiàn)在這個世界充滿新鮮與誘惑，但在商家眼中卻又暗藏著無數(shù)殺機，因為從我們步入商業(yè)領域的第一天開始就已經(jīng)被惡意人士給盯上了，”支付業(yè)務企業(yè)Hearland支付系統(tǒng)公司首席安全官John South表示。

在這個危機四伏的網(wǎng)絡世界中生存的零售商大部分只是小型企業(yè)，而他們的安全漏洞也最為嚴重：幾乎95%的數(shù)據(jù)泄露事故發(fā)生在員工數(shù)量低于100人的小公司，Verizon報告指出。他們顯然不像大企業(yè)那樣養(yǎng)得起安全及風險管理團隊。

“我們幾乎看不到什么大規(guī)模數(shù)據(jù)泄露事件，反倒是小型違規(guī)狀況時有發(fā)生，”PCI安全標準委員會總經(jīng)理Bob Russo告訴我們，該委員會是專門制定PCI數(shù)據(jù)安全標準（即PCI DSS）的政府主管部門。“這些標準對于擁有完善安全部門的大型企業(yè)而言非常適用，但我們正在想辦法讓小商家也能獲得可供實施的精簡方案。”

在線零售商對于安全性的要求極高，這一點與傳統(tǒng)的實業(yè)型企業(yè)有所區(qū)別，因為大部分交易都是以雙方不碰面的刷卡形式完成的。由于客戶在網(wǎng)絡購物過程中不需要使用真正的支付卡，因此整個付款流程要求商戶接受經(jīng)過審批的安全廠商的定期（每季度）網(wǎng)絡掃描。這類掃描的目的在于檢測安全漏洞與錯誤配置。

許多在線零售商并不知道PCI的要求哪些安全機制、也不了解該如何打理這些機制。但即使如此，在保護客戶數(shù)據(jù)方面稍做改進也能夠帶來極大的安全性提升。Verizon公司的調(diào)查報告發(fā)現(xiàn)，96%的網(wǎng)絡攻擊受害者并沒有嚴格遵循PCI管理規(guī)則，而且97%的數(shù)據(jù)泄露只要通過簡單或中等強度的保護手段即可避免。

下面我為大家總結(jié)了十種方式，希望它們能幫助大家了解自己企業(yè)所需要的控制方案，以保護持卡人的利益免受分割、PCI規(guī)則得到確切執(zhí)行。

1.了解自己的基礎架構(gòu)

網(wǎng)絡商家最需要了解的內(nèi)容就是自己的在線交易系統(tǒng)與日常業(yè)務網(wǎng)絡的集成方式。大家可以嘗試親自訪問基礎架構(gòu)，了解哪些系統(tǒng)用于處理交易流程及持卡人數(shù)據(jù)。

網(wǎng)絡掃描及日志分析工具能夠幫助我們識別觸及支付卡數(shù)據(jù)的系統(tǒng)類別，安全管理服務供應商Trustwave公司認證安全評估師Greg Rosenberg指出。這些涉及敏感信息的系統(tǒng)必須嚴格遵循PCI DSS安全標準。

“其實很多系統(tǒng)在不知不覺中成為了攻擊活動的跳板，通過檢測與定位我們發(fā)現(xiàn)了大量普通消費者所不了解的安全漏洞，”Rosenberg表示。

他認為讓一位經(jīng)過認證的安全評估師參與測試非常必要。“我要尋找的并不是能幫自己快速通過審計工作的家伙，專家的職責在于幫商家了解潛在風險，”Rosenberg告訴我們。“別把PCI標準看成是麻煩的形式主義流程，認真完成會顯著降低大家可能遭遇的安全風險。”#p#

2. 查找數(shù)據(jù)

企業(yè)保留支付卡數(shù)據(jù)一般出于三大原因：更好地掌握客戶服務需求、方便客戶重復使用信用卡以及處理退款事務，波尼蒙研究所在其2011年P(guān)CI DSS合規(guī)性趨勢研究報告中總結(jié)道。“目前絕大多數(shù)公司仍然在以信用卡號碼作為客戶的主要識別手段，”互聯(lián)網(wǎng)服務企業(yè)Akamai公司安全部門發(fā)言人Martin McKeay指出。

無論出于何種目的，一旦選擇保留客戶數(shù)據(jù)，企業(yè)就應該對業(yè)務系統(tǒng)中的每一個運行實例展開監(jiān)控，包括Web服務器、客戶服務應用以及銷售人員的筆記本電腦。了解數(shù)據(jù)駐留在何處、誰在對其進行訪問以及訪問者是否擁有明確的訪問理由。

舉例來說，營銷團隊就可能希望保留這些信息，“因為他們能夠在時機合適時向客戶發(fā)送優(yōu)惠券或其它促銷建議，”PCI SSC的Russo解釋道。“但如果大家確信自己并不需要這些數(shù)據(jù)，請盡快丟掉這塊燙手的山芋。”

疑難雜癥

2011年企業(yè)在處理PCI安全要求中的三大首要難題：

保護客戶數(shù)據(jù)（42%）

制定管理政策、確保信息安全（39%）

定期檢測系統(tǒng)及業(yè)務流程安全性（37%）

3.數(shù)據(jù)處理系統(tǒng)越少越好

任何一款需要訪問交易數(shù)據(jù)或支付卡數(shù)據(jù)的系統(tǒng)都要由PCI DSS來把關(guān)，而由此帶來的評估及檢測成本非常高昂。因此將網(wǎng)絡劃分成不同區(qū)塊，并將員工指派給與個人工作相關(guān)的網(wǎng)絡區(qū)域就顯得非常重要，這能夠有效控制訪問支付卡數(shù)據(jù)的員工及系統(tǒng)數(shù)量。一旦與敏感信息扯上關(guān)系，PCI安全需求也將接踵而至，因此削減涉入系統(tǒng)的數(shù)量能夠提高安全性、降低合規(guī)性成本。“回避交易流程能夠幫我們大幅降低基礎設施構(gòu)建難度，這類方案效果明顯、深受商家歡迎，”應用程序安全企業(yè)Veracode公司副總裁Chris Eng表示。

要想實施此類方案，關(guān)鍵在于記錄交易流程的同時不能觸及信用卡號碼。“記錄是絕對必要的，記錄信息越詳盡交易雙方的權(quán)益就越有保障，”Web應用安全供應商WhiteHat安全公司靜態(tài)代碼分析部門副總裁Jerry Hoff指出。“但請確保敏感數(shù)據(jù)本身沒有被記錄進來。”#p#

4. 把數(shù)據(jù)交給他人打理

網(wǎng)絡商家也可以選擇對基礎架構(gòu)進行外包處理，讓第三方服務商來接手這些麻煩的支付流程細節(jié)并承擔安全責任，這也是一種不錯的方式。“舉例來說，如果大家在網(wǎng)上做滑雪板銷售生意，那么確保信用卡數(shù)據(jù)安全根本就不應該成為咱們的關(guān)注重點，拿出精力好好做生意才是正事，”Hoff評論稱。

根據(jù)波尼蒙研究所的調(diào)查，選擇放棄支付卡數(shù)據(jù)的企業(yè)往往在安全性方面更為積極，也較少遭受數(shù)據(jù)泄露的分割。在一份針對670位美國本土及跨國公司IT管理者的調(diào)查當中，放棄保留持卡人信息的企業(yè)有85%在近兩年內(nèi)沒有遭受到數(shù)據(jù)泄露事件。而在保留該數(shù)據(jù)的企業(yè)中只有40%表示近兩年自己未受泄露困擾。

雖然很多企業(yè)仍然在這么做，但需要注意的是，有一類數(shù)據(jù)大家千萬不要保留：這就是支付卡驗證碼，簡稱CVV。“由于不必再次輸出驗證碼，所以很多商家認為保留這類信息能夠促進消費者的購物欲望，”Trustwave公司的Rosenberg說，“然而問題在于作為商家，我們根本沒有資格在交易結(jié)束之后繼續(xù)保留這類數(shù)據(jù)。”

從數(shù)據(jù)的負擔中解脫出來，讓PCI認證成為別人的工作。這樣比起遵守12條安全規(guī)范，我們就能把關(guān)注重點縮小到其中的兩條上：阻斷數(shù)據(jù)的訪問渠道（第九條）與制定管理政策、確保信息安全（第十二條）。

大家還必須對數(shù)據(jù)存儲方案的合規(guī)性保持關(guān)注，并填寫一份自我評估問卷。但總體而言，這種宏觀上的工作還是要輕松得多，Hearland公司的South認為。

僅僅進行網(wǎng)絡劃分與放棄支付卡數(shù)據(jù)并不足以讓你的企業(yè)滿足PCI安全要求，安全服務企業(yè)Accuvant公司PCI解決方案架構(gòu)師Evan Tegethoff聲稱。沒有哪位商家能夠完全跳出PCI安全要求之外，而只能想辦法盡量減少它所帶來的影響。如果把公司數(shù)據(jù)交給第三方供應商打理，我們?nèi)匀挥胸熑慰己似鋵嶋H表現(xiàn)及信息保護成效。

這一點在技術(shù)方面也同樣適用。采購一套PCI數(shù)據(jù)合規(guī)保護產(chǎn)品并不能讓企業(yè)高枕無憂。“商家常常會認為‘買套PCI合規(guī)產(chǎn)品不就結(jié)了’，”PCI SCC的Russo無奈地表示。其實根本沒這么簡單，數(shù)據(jù)安全技術(shù)只有經(jīng)過針對企業(yè)需求的調(diào)整與嚴格監(jiān)管才能實現(xiàn)數(shù)據(jù)保護功能。#p#

5. 嚴格檢驗你的合作伙伴

對于那些將業(yè)務外包給供應商，卻保留一部分交易檢查權(quán)限的商家而言，他們在PCI合規(guī)性方面的責任范圍并沒有因此減小，PCI SSC CTO Troy Leach提醒道。“目前的挑戰(zhàn)在于，這種訪問權(quán)限常常會涉及到持卡人數(shù)據(jù)，如此一來商家自己的非安全性環(huán)境就被整個牽扯進來了。”

除了管好自己，我們還需要收集信息、了解合作伙伴在PCI合規(guī)性方面的執(zhí)行水平。管理服務供應商手中掌握著大量支付卡數(shù)據(jù)，這也使他們成為眾多攻擊者的首要目標。去年在第三方管理下的系統(tǒng)有76%遭受過數(shù)據(jù)泄露侵擾，而當違約情況發(fā)生時，大部分責任還是得由商家自己來承擔。

了解第三方合作伙伴的PCI合規(guī)性狀態(tài)，包括自我評估問卷。以下幾個關(guān)鍵領域需要著重監(jiān)督：

>>托管服務必須符合PCI規(guī)定，特別是供應商需要具備嚴格的漏洞修復機制，包括定期安裝補丁并升級服務器軟件等。

>>任何商家用戶在交易中使用的支付應用必須遵循獨立的安全標準，即PCI支付應用數(shù)據(jù)安全標準。除基本安全措施外，交易日志、不保留全部交易數(shù)據(jù)、提供安全驗證機制以及加密公共網(wǎng)絡中的通信內(nèi)容也必須納入到日常流程當中。

>> Web應用掃描服務供應商必須經(jīng)過PCI合規(guī)性審核，并位列pcisecuritystandards.org網(wǎng)站的放心合作對象名單之中。

惡意人士竊取的數(shù)據(jù)來自哪里？

63%來自數(shù)據(jù)傳輸過程；

28%來自商家的信息存儲機制；

5%來自數(shù)據(jù)重定向行為；

4%來自其它途徑。

以上數(shù)據(jù)引自Trustwave公司在《2012全球安全報告》中所列舉的300個數(shù)據(jù)泄露案例。#p#

6.使用安全有保障的軟件產(chǎn)品

信用卡數(shù)據(jù)大多數(shù)情況下要由軟件而非人工來處理，因此使用安全有保障的軟件產(chǎn)品就顯得極為關(guān)鍵。

幾年之前，軟件開發(fā)公司只需要符合PCI的相關(guān)審核標準，并確保應用程序中不包含開放Web應用安全項目中所列出的十大嚴重漏洞即可。而在去年這些管理標準被大大提高，PCI SSC將安全要求修訂為“應用程序中不得包含SANS所列出的二十五種高危軟件錯誤。”

難怪企業(yè)總是被麻煩所困擾，Veracode公司的Eng無奈地指出。大多數(shù)在線商務公司目前還對SANS名單上的頭兩大常見安全威脅——SQL注入式攻擊與跨站點腳本——毫無防備，更不用說其它23項相對冷門的攻擊方式了。

7.保護好Web服務器

在線零售商運營工作中最重要的環(huán)節(jié)在于Web服務器及網(wǎng)絡商店的維護與保養(yǎng)。電子商務從業(yè)者必須按季度提交安全漏洞調(diào)查表，而在涉及PCI的軟件方面還需要在30天內(nèi)進行更新并安裝致命漏洞的修復補丁。但在專業(yè)人士看來，一個月的反應周期實在是太長。

商家可以通過以下三種方式保護自己的在線商店并保障PCI規(guī)范：掃描代碼漏洞、修復開發(fā)過程中的遺留問題；動態(tài)掃描網(wǎng)站，檢測安全漏洞并及時修復；利用Web應用程序防火墻阻斷攻擊途徑。但僅僅使用防火墻還遠遠不夠，我們還需要對其進行正確配置。“大多數(shù)商家對防火墻的設定實在太過松散，”Eng指出。“不少公司干脆選擇完全放開的監(jiān)控模式，這跟不裝防火墻根本沒什么區(qū)別。”

企業(yè)還需要從攻擊者的角度思考問題。就以跨站點腳本攻擊為例，大家不妨扮演攻擊者，嘗試通過向有漏洞的網(wǎng)站注入惡意代碼來使其顯示目標站點的信息。跨站點腳本攻擊也許不會直接影響到商家自己的網(wǎng)站，但攻擊者完全能夠利用這種技術(shù)將客戶誘導到外觀相同的其它站點，進而竊取支付卡數(shù)據(jù)。

“如果我是黑客，我會采取重新定向的方式欺騙消費者，那么商家有什么辦法來阻止我的陰謀？”Trustwave公司的Rosenberg提出這樣的假設。電子商務供應商必須在開發(fā)或安全掃描過程中發(fā)現(xiàn)這些漏洞，并盡快加以修復。另外，還需要利用防火墻來阻斷此類攻擊活動，他提醒道。

8.嚴格掌控用戶權(quán)限

PCI規(guī)范中有三條與授權(quán)相關(guān)。限制無關(guān)人士以物理方式訪問持卡人數(shù)據(jù)可能是其中最容易實現(xiàn)的一條。因為只有傳統(tǒng)的實體型企業(yè)才需要不斷培訓并監(jiān)督員工遠離自己所經(jīng)手的信用卡，電子商務公司的職員們根本看不到消費者的支付卡實體。但在線零售商還面臨著另一大問題，就是如何限制支付卡數(shù)據(jù)的訪問行為，因為很多員工都有合法的途徑接觸到處理數(shù)據(jù)的業(yè)務系統(tǒng)。

員工與業(yè)務合作伙伴可能會在不經(jīng)意間以設定低強度密碼等形式削弱公司的數(shù)據(jù)訪問管理策略。Trustwave公司在其2012年全球安全報告中指出，高達80%的違規(guī)活動源自系統(tǒng)管理員所使用的低強度甚至默認密碼。在許多情況下，第三方供應商會在多位客戶間使用相同或者相近的密碼內(nèi)容，這樣免不了要一家出事、全體遭殃。#p#

9.認真加密、保管好密鑰

對于選擇保留持卡人數(shù)據(jù)的企業(yè)，這類敏感信息必須在存儲及傳輸過程中獲得嚴格加密。數(shù)據(jù)安全企業(yè)Voltage公司副總裁Mark Bower認為，這樣做的意義在于將攻擊者眼中炙手可熱的持卡人數(shù)據(jù)轉(zhuǎn)化成毫無價值的零散片斷。

目前大多數(shù)商家都喜歡采取這樣的加密技術(shù)：對交易數(shù)據(jù)加密之后，工具將自動生成一套解密密鑰，進而在使用時將亂碼重組成有價值信息。通過使用終端到終端的加密方案，大家能夠削減需要遵循的PCI規(guī)范，同時降低由數(shù)據(jù)泄露帶來的惡性后果。由于解密密鑰的存在，攻擊者即使截獲了信息，也無法將其轉(zhuǎn)化為可讀內(nèi)容，Bower指出。

但加密并不能解決所有的安全問題。許多大規(guī)模數(shù)據(jù)泄露事件的發(fā)生正是由于攻擊者取得了解密密鑰。

10. 有了PCI并不等于萬無一失

PCI并不代表著全部信息安全要求。它只是一種“最低限度的強制性方案，”Hoff提醒道。“它比較像立在游泳池邊的‘請勿奔跑’指示牌。即使嚴格遵守，它也無法保證我們獲得絕對安全。”

企業(yè)還應該為超出PCI　DSS指導范圍之外的潛在威脅做好心理準備。舉例來說，攻擊者可能會利用HTML注入方式在商家的網(wǎng)站中設定一個原本并不存在的谷歌網(wǎng)頁排名。“在這種情況下，我們要問的是：我為什么會遭到攻擊？”Trustwave公司的Rosenberg表示。

最重要的是，在線商家必須了解自己的義務、明確自己在保護客戶數(shù)據(jù)方面應該做出的努力，Hearland公司的South指出。“他們要明白，既然投入這個產(chǎn)業(yè)，他們就有責任為客戶的交易保駕護航。這與PCI規(guī)范并沒有關(guān)系，PCI只是實現(xiàn)這一目的的輔助工具。”

PCI SCC中的研究小組正在針對電子商務安全撰寫指導材料，相信到時候我們會得到更多有價值的幫助信息。他們十二月剛剛刊發(fā)了第一份報告，未來幫助零售商保障客戶數(shù)據(jù)的道路還很漫長，同志仍需繼續(xù)努力。