有文章談及：“而PCI顧問James Huguelet則指出：PCI標(biāo)準(zhǔn)最大的安全問題在于，該標(biāo)準(zhǔn)雖然要求對靜態(tài)數(shù)據(jù)加密，但是并不要求企業(yè)對數(shù)據(jù)傳輸加密，也就是在整個(gè)交易流程鏈中，數(shù)據(jù)都未被要求加密。”這個(gè)專家的評論無疑是錯(cuò)誤的。

PCI DSS數(shù)據(jù)保護(hù)分為數(shù)據(jù)存儲的保護(hù)和傳輸?shù)募用?，PCI DSS第4章的要求均是面向公共開放網(wǎng)絡(luò)(包括但不限于互聯(lián)網(wǎng)、無線、GSM、GPRS)的持卡人數(shù)據(jù)傳輸加密的要求，其中強(qiáng)加密是必須的。

關(guān)于傳輸加密，標(biāo)準(zhǔn)部分原文參見如下：

4.1 Use strong cryptography and security protocols (for example, SSL/TLS, IPSEC, SSH, etc.) to safeguard sensitive cardholder data during transmission over open, public networks.

通常atsec除了審核證據(jù)和訪談，也會通過外部授權(quán)的掃描供應(yīng)商(ASV：Approved Scanning Vendor)通過掃描的方式進(jìn)行進(jìn)一步的驗(yàn)證(參見PCI DSS要求11.2)。

3、關(guān)于目錄遍歷漏洞

事件中提及的目錄遍歷漏洞，是OWASP top 10中的漏洞之一。在上個(gè)版本標(biāo)準(zhǔn)PCI DSS v2.0的要求6.5.8中已明確要求杜絕該漏洞的存在。此外，PCI DSS標(biāo)準(zhǔn)要求在支付應(yīng)用上線前的代碼審核階段(涉及要求6.3.2)、安全性測試階段(涉及要求6.4.5.3)以及上線后的定期安全性檢查階段(涉及要求6.6)的軟件生命周期過程中，通過有效的代碼評審、支付應(yīng)用上線前的安全性測試以及支付應(yīng)用上線后的定期代碼審核或通過實(shí)施阻止針對Web應(yīng)用的監(jiān)測和防護(hù)機(jī)制等措施確保支付應(yīng)用中不存在OWASP top 10漏洞。標(biāo)準(zhǔn)原文參見如下：

6.5.8 Improper Access Control (such as insecure direct object references, failure to restrict URL access, and directory traversal)

4、在美國上市是否就默認(rèn)達(dá)到了PCI DSS標(biāo)準(zhǔn)的合規(guī)要求?

這是不準(zhǔn)確的。PCI DSS早在多年前已經(jīng)成為新商戶、服務(wù)提供商，以及收單機(jī)構(gòu)和發(fā)卡機(jī)構(gòu)處理支付相關(guān)業(yè)務(wù)的強(qiáng)制要求，目前并沒有明顯的證據(jù)顯示PCI DSS的合規(guī)要求是來自于上市管理機(jī)構(gòu)的強(qiáng)制要求。

執(zhí)行PCI DSS合規(guī)通常來自于卡品牌、收單機(jī)構(gòu)(如銀行)和支付合作客戶的要求。目前也有越來越多的機(jī)構(gòu)出于自身數(shù)據(jù)安全的考慮，致力于PCI合規(guī)建設(shè)和安全合規(guī)評估。

atsec官方PCI QSA合規(guī)評估列表參見：http://www.atsec.cn/cn/pci-compliance.html

5、關(guān)于數(shù)據(jù)泄露和PFI

在安全行業(yè)很多的機(jī)構(gòu)和廠商都會接受安全專家或者自行發(fā)現(xiàn)安全漏洞，和黑客利用漏洞攻擊的本質(zhì)區(qū)別在于漏洞的發(fā)布是為了更好的修復(fù)漏洞并解決信息安全問題。故而漏洞可能是客觀存在的，漏洞發(fā)布和問題修復(fù)之間的時(shí)間窗口就顯得尤為重要，使得漏洞被黑客利用導(dǎo)致數(shù)據(jù)泄露事件的可能性以及相關(guān)風(fēng)險(xiǎn)降到最低。

而漏洞的發(fā)布本身也不意味著發(fā)生了數(shù)據(jù)泄露的事件。在國際PCI產(chǎn)業(yè)，通常發(fā)生了疑似數(shù)據(jù)泄露之后，會邀請PCI安全標(biāo)準(zhǔn)委員會所授權(quán)的PCI取證調(diào)研機(jī)構(gòu)(PFI：PCI Forensic Investigator)執(zhí)行事后取證調(diào)研，進(jìn)一步確定事件發(fā)生的原因，提出建議改善信息安全。

PCI數(shù)據(jù)安全標(biāo)準(zhǔn)的生命周期為三年，每三年內(nèi)全球的產(chǎn)業(yè)專家均在致力于新標(biāo)準(zhǔn)的研討和制定，符合最新的安全發(fā)展要求;此外，各個(gè)領(lǐng)域的問題設(shè)置有專門的特別工作組(SIG：Special Interest Group)開發(fā)并維護(hù)特殊的相關(guān)安全技術(shù)指導(dǎo)，如加密、EMV、移動支付、云計(jì)算、滲透測試、安全意識教育等。PCI標(biāo)準(zhǔn)要求從制度流程、人員要求到網(wǎng)絡(luò)安全、系統(tǒng)加固、應(yīng)用開發(fā)過程、安全編碼、數(shù)據(jù)安全存儲和傳輸、物理安全、安全測試和漏洞管理等方方面面進(jìn)行了詮釋。致力于PCI合規(guī)且長期持續(xù)的合規(guī)是支付相關(guān)機(jī)構(gòu)的業(yè)務(wù)健康穩(wěn)定發(fā)展的基礎(chǔ)，也是保護(hù)廣大持卡人數(shù)據(jù)安全的最佳實(shí)踐。

參考資料;

[1] WooYun.org：http://www.wooyun.org/bugs/wooyun-2010-054302

[2] PCI SSC官方網(wǎng)站：https://www.pcisecuritystandards.org/

[3] atsec官方網(wǎng)站：http://www.atsec.cn/

[4] 攜程支付安全聲明：

http://pages.ctrip.com/commerce/promote/201403/other/xf/index.html