PCI DSS

一、简介

PCI DSS支付卡产业数据安全标准是一个被开发支持和提高持卡人数据安全和卡组织采用的全球化一致性的数据安全措施。提供了一套保护持卡人数据的技术和操作的基线要求。

PCI DSS信息安全标准有6大目标，12个大类要求，整个PCI安全标准基本就围绕这些项目进行的，正在或准备有意向要做PCI合规审查的组织可以作为参考。 

现行标准版本为PCI DSSv3.2.1 

二、PCI DSS合规性评估

PCI DSS标准从信息安全管理体系、网络安全、物理安全、数据加密等方方面面提出了诸多的安全基线要求。

虽然没有任何一个信息安全标准或者安全建设可以保障实现百分之百的抵御安全风险，然而根据业界的积累，能够实现PCI DSS并且严格按照PCI DSS的要求持续实施针对持卡人数据环境的安全防护，安全事件发生的可能性将大大降低。

三、安全概要

建立并维护安全的网络

1、安装于维护防火墙设定以保护持卡人资料。

2、对于系统密码及其他安全参数，不能使用供应商提供的预设值（默认密码）。

保护持卡人信息

3、保护存储的持卡人资料。

4、加密通过开放的公用网络传输的持卡人资料。

维护漏洞管理程序

5、使用并定期更新杀毒软件或程序。

6、开发并维护安全系统和应用程序。

实施严格的存储控制措施

7、限制为只有业务需要的人才能存取持卡人资料。

8、为具有电脑存取权的每个人指定唯一的ID。

9、限制对持卡人资料的实际存储。

定期监控并测试网络

10、追踪并监控对网络资源及持卡人资料的所有存取。

11、定期测试安全系统和程序。

维护信息安全政策

12、维护满足所有人员信息安全需求的政策。

四、PCI DSS重要方面

该PCI DSS文档讨论了应用环境身份验证测试方面的要求—这是渗透测试中经常被忽视但非常重要的组成部分。

该PCI DSS文档还介绍了什么被认为是对系统的“重大改变”--以便在对持卡人数据环境中任何系统进行代码或相关更新后可以进行后续渗透测试。

该PCI DSS文档提到了做这项工作的安全专业人员获得的证书以及过往的经验的重要性—与其他领域一样，更多经验往往更好，当然还需要漏洞扫描仪、网络分析仪和漏洞利用工具包等工具，他们还应该知道如何有效地使用它们。

另外，渗透测试特定规则经常被忽视，这可能在渗透测试过程中或测试后制造问题，例如漏洞利用需要多么深入以及如何处理在测试中发现的敏感数据等。

笔者非常高兴该文档解决了可能阻止测试（WAF和IPSes等）的安全控制，很多人以为他们有这些控制就不会发现漏洞或出现漏洞利用，一切都很好。

对于白名单或禁用这些积极保护措施，该渗透测试指南明确指出它可“帮助确保服务本身得到正确配置，并在主动保护系统出现故障或以某种方式被击败或被攻击者绕过时控制漏洞利用的风险。”

该PCI DSS文档中还提供了围绕社会工程学的建议，包括网络钓鱼测试，以检测持卡人数据环境是否能从这个角度被利用。

企业还应该保留测试详细信息的证据（包括具体的调查结果），确保可根据要求提供。 

五、PCI DSS提升虚拟环境安全性

在部署VMware虚拟化环境的过程当中，可以考虑使用PCI DSS加强虚拟机的数据安全性。

随着越来越多的个人信息被存放到PCI DSS网络当中，未经授权的PCI DSS用户尝试访问这些数据的情况也在不断增加。

伴随个人PCI DSS信息丢失而产生的可疑行为或者欺诈消费会导致用户的信用卡被强制注销，这是一件令人十分沮丧的事情。

不仅如此，对于遭遇到个人PCI DSS信息泄露的用户来说，通常会产生一种被个人隐私被侵犯的感觉。

由此引发的一个问题是：PCI DSS情况到底有多严重？司法统计局曾经公布了一些和个人信息泄露相关的PCI DSS数据，当前面临的情况令人担忧。

现在能够获取到的PCI DSS最新数据是2012年，7%的16岁及以上的美国人在这一年当中遇到过至少一次PCI DSS个人信息被窃事件。这种PCI DSS情况所导致的后果非常严重，大约造成了247亿美元的损失。

相比之下，由国家犯罪受害者PCI DSS调查报告统计得出的数据显示其他方面的财产犯罪所导致的损失为140亿美元。

这一系列数据表明存储PCI DSS私人信息的系统在安全方面确实存在漏洞，并且一直没有得到解决。

在认识到保护PCI DSS个人信息和财务数据（特别是信用和债务账户）安全的重要性之后，支付卡行业（PCI，Payment Card Industry）安全标准委员会制定了数据安全标准（DSS，Data Security Standard），最新版本为3.1。

PCI DSS安全标准委员会是一个负责推动PCI DSS标准不断发展的开放式论坛，其最初建立者包括American Express、Discover Financial Services、JCB International、MasterCard 和Visa等机构。尽管之前你可能从未听说过PCI DSS，但是其中所包含的宗旨和准则几乎会影响所有使用卡片进行消费的PCI DSS用户。

这个委员会向商家、厂商和安全咨询公司提出相关要求，以防止发生PCI DSS个人信息泄露和信用卡诈骗等行为。

对于已经达到PCI DSS标准的支付公司来说，PCI DSS最大的好处就是能够为其最有价值资产——消费者提供良好的PCI DSS安全保障。

良好的PCI DSS声誉能够帮助公司赢得源源不断的商业机会，而较差的PCI DSS声誉一经形成，却很难得到改变。

PCI DSS被设计用来帮助支付机构实现敏感数据安全性最佳实践，尤其PCI DSS针对于这个行业当中特有的数据类型。但是，如果我们仅仅因为所在的PCI DSS组织或企业并不需要处理PCI DSS支付数据或者相关事务就直接忽略这个标准，那么无疑是一种失职。

事实上，PCI DSS当中所包含的各种准则针对虚拟化技术进行了调整，对于任何想要保护PCI DSS敏感数据的企业来说都可以起到很大帮助作用。

使用PCI DSS和其他针对特定行业的标准进行合规审查，可以在很大程度上保证私有信息处于最佳PCI DSS安全实践的保障之下。

安全的PCI DSS信息环境对于企业、客户和员工来说都是至关重要的。

六、PCI DSS消除薄弱环节

幸运的是，我们可以在和PCI DSS业务相关的环境当中将PCI DSS作为虚拟化技术的使用准则之一。

比如，在PCI DSS第2.2.1章节当中指出一个虚拟系统组件或者设备只能实现一项主要功能。

PCI DSS准则当中详细解释了包含多项主要功能的系统可能面临哪些风险，任何PCI DSS功能的最低安全等级都有可能导致其他功能受到攻击。

我们可以将PCI DSS这种情况类比于一条项链的结实程度取决于最为薄弱的那一环，这样可以帮助我们理解PCI DSS的实际作用。

比如，在一台PCI DSS虚拟机当中同时运行web服务器和关键数据库服务，那么无疑是在自找麻烦。

而最好的方式是遵循PCI DSS的规定，将这些PCI DSS功能分别放置在不同的服务器当中，之后在特定的PCI DSS服务器上针对不同功能自定义安全等级。

此外，PCI DSS服务器之间的网络连接必须禁止一台服务器将低安全级别功能迁移到另外一台PCI DSS服务器当中。

如你所见，部署单台PCI DSS服务器、单个功能需求意味着需要对服务器、其他相关设备和网络连接进行整体规划。

PCI DSS这些准则在发布之前已经经过深思熟虑，可以应用在任何需要加强PCI DSS系统安全性的行业当中。

PCI DSS虚拟化技术提高了硬件资源使用效率，不必再为所有功能分配单独的硬件PCI DSS服务器，降低了PCI DSS准则的实现难度。

在对服务器资源进行规划的过程当中遵循PCI DSS准则可以加强系统安全性，在实现PCI DSS系统主要功能之后，还能够提升安全控制灵活性。

PCI DSS安全是一个不断变化的概念，需要进行持续关注PCI DSS。PCI DSS为我们提供了一个很好的思路，一个行业当中的安全标准PCI DSS可以适用于特定行业、客户以及其他领域的IT部门。

遵循PCI DSS标准在服务器上实现主要功能分离是一个所有企业都应该采用的好主意。