2014年Verizon PCI合規(guī)報告對世界各地的PCI DSS合規(guī)狀態(tài)進行了評估。令人驚訝的是，該報告發(fā)現(xiàn)“要求11”的合規(guī)率最低，盡管很多安全專業(yè)人士認為這是該報告中最直接的規(guī)定之一，該要求規(guī)定企業(yè)應對安全系統(tǒng)和流程定期進行測試。

接下來我們將探討被Verizon列為‘合規(guī)絆腳石’的兩個具體領域，以及企業(yè)應該如何將它們構建到PCI DSS合規(guī)計劃中。

滲透測試

安全專業(yè)人士都知道，PCI DSS要求企業(yè)環(huán)境的滲透測試需采用行業(yè)公認的方法，例如NIST SP 800-115。并且，這些測試必須至少每年進行一次，而且在持卡人數(shù)據(jù)環(huán)境作出任何重大變更之后必須重復測試。

Verizon發(fā)現(xiàn)的第一個問題是，60%的企業(yè)未能提供證據(jù)證明他們在過去的一年中執(zhí)行了滲透測試。當涉及PCI合規(guī)時，維護滲透測試的文檔幾乎和實際執(zhí)行測試同樣重要。審計員不會相信你的一面之詞，他們希望看到證據(jù)。

企業(yè)可能會遇到的第二個問題出現(xiàn)在處理滲透測試結(jié)果的過程中。PCI要求企業(yè)對滲透測試發(fā)現(xiàn)的結(jié)果采取行動。具體來說，如果測試發(fā)現(xiàn)任何可利用的漏洞，企業(yè)必須修復問題，然后重復測試。滲透測試周期要到漏洞被修復才完成，滲透測試需要提供系統(tǒng)已修復漏洞的證明書。根據(jù)Verizon PCI合規(guī)報告，只有44%的企業(yè)滿足這一要求。

通過確保以符合PCI法律條文的方式執(zhí)行滲透測試，企業(yè)可以避開這些滲透測試的雷區(qū)。企業(yè)并沒有必要聘請QSA或者ASV來執(zhí)行測試。如果企業(yè)使用內(nèi)部人員，應該確保這些人員符合要求并且獨立于工作人員維護系統(tǒng)，同時企業(yè)還應該保留滲透測試的證據(jù)。企業(yè)內(nèi)符合要求的工作人員應該是內(nèi)部審計團隊的人員。

漏洞掃描

漏洞掃描是很多企業(yè)在PCI合規(guī)中容易出錯的另一個領域。例如，該報告發(fā)現(xiàn)，不到一半的企業(yè)會執(zhí)行內(nèi)部漏洞掃描或由認可的掃描供應商進行外部掃描，這兩者都是PCI的必要條件。這些掃描必須在持卡人環(huán)境中執(zhí)行，并可由外部評估人員或者內(nèi)部員工(不負責維護被掃描系統(tǒng)的人員)進行管理。

對于掃描文檔，企業(yè)應該保存記錄，這些記錄需要清楚地展示每三個月的掃描結(jié)果。只保留最新的掃描紀錄是不夠的，因為這只能說明某個時間點的合規(guī)率，而不是所要求的全年掃描計劃。此外，掃描結(jié)果必須清楚明確，必須每個季度進行管理。任何檢測到的高風險漏洞都必須盡快修復，并且應該進行后續(xù)掃描，直到所有問題得到順利解決。

Verizon報告并沒有詳細說明企業(yè)未能執(zhí)行這種測試的具體原因，但這可能是因為記錄保存不足;不恰當?shù)厥褂镁S護安全控制的人員來進行掃描;或者在問題解決前沒有反復進行掃描?，F(xiàn)在是一個很好的時機，企業(yè)應該檢查其掃描程序來確保其中包含關于內(nèi)部和外部掃描的文檔記錄。

盡管存在這些問題，在過去一年中，PCI合規(guī)世界已經(jīng)走過了很長的路。Verizon的研究中樂觀地指出，企業(yè)PCI DSS平均合規(guī)水平從2011年的52.9%上升到2013年的85.2%。這是重大的一步，這也是個好兆頭，通過強化企業(yè)安全狀態(tài)以及降低代價高昂的數(shù)據(jù)泄露事故的可能性，PCI DSS正在成為日常操作中的一部分。