2014年Verizon PCI合規(guī)報(bào)告對世界各地的PCI DSS合規(guī)狀態(tài)進(jìn)行了評估。令人驚訝的是，該報(bào)告發(fā)現(xiàn)“要求11”的合規(guī)率最低，盡管很多安全專業(yè)人士認(rèn)為這是該報(bào)告中最直接的規(guī)定之一，該要求規(guī)定企業(yè)應(yīng)對安全系統(tǒng)和流程定期進(jìn)行測試。

接下來我們將探討被Verizon列為‘合規(guī)絆腳石’的兩個具體領(lǐng)域，以及企業(yè)應(yīng)該如何將它們構(gòu)建到PCI DSS合規(guī)計(jì)劃中。

滲透測試

安全專業(yè)人士都知道，PCI DSS要求企業(yè)環(huán)境的滲透測試需采用行業(yè)公認(rèn)的方法，例如NIST SP 800-115。并且，這些測試必須至少每年進(jìn)行一次，而且在持卡人數(shù)據(jù)環(huán)境作出任何重大變更之后必須重復(fù)測試。

Verizon發(fā)現(xiàn)的第一個問題是，60%的企業(yè)未能提供證據(jù)證明他們在過去的一年中執(zhí)行了滲透測試。當(dāng)涉及PCI合規(guī)時，維護(hù)滲透測試的文檔幾乎和實(shí)際執(zhí)行測試同樣重要。審計(jì)員不會相信你的一面之詞，他們希望看到證據(jù)。

企業(yè)可能會遇到的第二個問題出現(xiàn)在處理滲透測試結(jié)果的過程中。PCI要求企業(yè)對滲透測試發(fā)現(xiàn)的結(jié)果采取行動。具體來說，如果測試發(fā)現(xiàn)任何可利用的漏洞，企業(yè)必須修復(fù)問題，然后重復(fù)測試。滲透測試周期要到漏洞被修復(fù)才完成，滲透測試需要提供系統(tǒng)已修復(fù)漏洞的證明書。根據(jù)Verizon PCI合規(guī)報(bào)告，只有44%的企業(yè)滿足這一要求。

通過確保以符合PCI法律條文的方式執(zhí)行滲透測試，企業(yè)可以避開這些滲透測試的雷區(qū)。企業(yè)并沒有必要聘請QSA或者ASV來執(zhí)行測試。如果企業(yè)使用內(nèi)部人員，應(yīng)該確保這些人員符合要求并且獨(dú)立于工作人員維護(hù)系統(tǒng)，同時企業(yè)還應(yīng)該保留滲透測試的證據(jù)。企業(yè)內(nèi)符合要求的工作人員應(yīng)該是內(nèi)部審計(jì)團(tuán)隊(duì)的人員。

漏洞掃描

漏洞掃描是很多企業(yè)在PCI合規(guī)中容易出錯的另一個領(lǐng)域。例如，該報(bào)告發(fā)現(xiàn)，不到一半的企業(yè)會執(zhí)行內(nèi)部漏洞掃描或由認(rèn)可的掃描供應(yīng)商進(jìn)行外部掃描，這兩者都是PCI的必要條件。這些掃描必須在持卡人環(huán)境中執(zhí)行，并可由外部評估人員或者內(nèi)部員工(不負(fù)責(zé)維護(hù)被掃描系統(tǒng)的人員)進(jìn)行管理。

對于掃描文檔，企業(yè)應(yīng)該保存記錄，這些記錄需要清楚地展示每三個月的掃描結(jié)果。只保留最新的掃描紀(jì)錄是不夠的，因?yàn)檫@只能說明某個時間點(diǎn)的合規(guī)率，而不是所要求的全年掃描計(jì)劃。此外，掃描結(jié)果必須清楚明確，必須每個季度進(jìn)行管理。任何檢測到的高風(fēng)險(xiǎn)漏洞都必須盡快修復(fù)，并且應(yīng)該進(jìn)行后續(xù)掃描，直到所有問題得到順利解決。

Verizon報(bào)告并沒有詳細(xì)說明企業(yè)未能執(zhí)行這種測試的具體原因，但這可能是因?yàn)橛涗洷４娌蛔?不恰當(dāng)?shù)厥褂镁S護(hù)安全控制的人員來進(jìn)行掃描;或者在問題解決前沒有反復(fù)進(jìn)行掃描。現(xiàn)在是一個很好的時機(jī)，企業(yè)應(yīng)該檢查其掃描程序來確保其中包含關(guān)于內(nèi)部和外部掃描的文檔記錄。

盡管存在這些問題，在過去一年中，PCI合規(guī)世界已經(jīng)走過了很長的路。Verizon的研究中樂觀地指出，企業(yè)PCI DSS平均合規(guī)水平從2011年的52.9%上升到2013年的85.2%。這是重大的一步，這也是個好兆頭，通過強(qiáng)化企業(yè)安全狀態(tài)以及降低代價(jià)高昂的數(shù)據(jù)泄露事故的可能性，PCI DSS正在成為日常操作中的一部分。