支付卡行业数据安全标准 (PCI DSS) 提出了许多合规性挑战,尤其是对于大型复杂组织而言。这些挑战包括贯穿整个标准的各种定期(例如,每月、每季度、每半年)的控制要求。实现和保持 PCI 合规性需要持续的管理方法来成功执行这些控制要求,然后在年度评估期间展示执行情况。在一年的过程中,这是典型的评估期,组织忽视其中一个或多个要求的执行情况并不少见。这可能需要延长评估期以弥补被忽视的任务,或者在最坏的情况下可能导致评估不合规。由于指定人员的离职或其他组织因素,这些定期要求的执行经常被忽视,并且不能归因于单纯的疏忽。无论如何,PCI DSS 要求根据规定的时间表执行这些定期任务,并且遗漏一个或多个实例会导致评估人员发现实体不合规。

与风险遗漏定期控制要求相比,主体必须主动监控这些要求的完成情况。首先,每个控制的所有权必须正式分配给负责的个人或团队。其次,必须落实资源,提醒业主执行控制,记录执行结果,促进管理监督。常用资源范围从简单的日历提醒到更复杂的治理、风险和合规 (GRC) 应用程序套件。实体必须负责确保这些任务的成功执行,因为在这段时间过后,展示执行的机会可能很少(如果有的话)。

以下是 PCI DSS 版本 3.2.1 中定期控制要求的摘要,以及一些用于执行和证明每个评估要求的有用指南。根据实体的合规范围和相关报告义务,某些要求可能不适用。鼓励实体联系其收单银行并咨询 PCI 合格安全评估员 (QSA),以确认其报告和证明义务。

日常控制要求

要求 10.6.1:执行日志审查

  • 这可以通过手动或自动审查方法来满足。
  • 必须针对所有持卡人数据环境 (CDE) 系统组件审查规定的安全事件类型。
  • 还必须审查执行安全功能的服务器和系统组件的日志。

每周控制要求

要求 11.5:执行关键文件比较

  • 这可以通过诸如文件完整性监控 (FIM) 软件之类的更改检测机制来满足。
  • 必须对所有 CDE 系统执行比较。
  • 必须便于识别对关键系统文件、配置文件或内容文件的未经授权的修改(包括更改、添加和删除)。

月度控制要求

要求 6.2:安装关键安全补丁

  • 必须为所有 CDE 系统组件和软件应用程序执行此操作。
  • 实体必须有正式的漏洞管理计划来定义和识别关键的安全漏洞。

季度控制要求

要求 3.1:识别并安全删除存储的持卡人数据 (CHD)

  • 实体必须首先定义一个 CHD 保留期。这通常是通过数据分类策略来实现的。
  • 然后实体必须审查数据存储库,以确保存储的 CHD 不超过定义的保留期。
  • 必须使用安全删除机制来确保数据不可恢复。

要求 8.1.4:至少每 90 天删除/禁用不活动的用户帐户

  • 必须对用于控制对 CDE 的访问的所有帐户目录(无论是内部的还是外部的)执行此操作。
  • 这可以通过自动审查和禁用机制来完成。

要求 11.1:测试是否存在无线接入点

  • 可以使用手动或自动机制来检测和识别所有授权和未授权的无线接入点。
  • 无论是否在 CDE 中使用任何无线网络和/或在合规范围内,此要求都适用。

要求 11.2:执行内部和外部网络漏洞扫描

  • 所有 CDE 系统都必须接受漏洞扫描。
  • 对于外部 ASV 扫描,必须修复和重新扫描漏洞,直到每个季度都通过扫描为止。
  • 通过 ASV 报告的日期不得超过 90 天。
  • 扫描 报告,而不是原始扫描结果,必须为每个季度的内部漏洞扫描生成。

要求 12.11:(仅限服务提供商)执行审核以确认人员遵守安全政策和操作程序

  • 此要求不会取代其他定期要求,而是旨在作为监督以下过程的附加要求:
    • 每日日志审查
    • 防火墙规则集评论
    • 将配置标准应用于新系统
    • 响应安全警报
    • 变更管理流程

要求 12.11.1:(仅限服务提供商)维护季度审查过程的文档

  • 实体应将监督活动的执行与活动本身分开记录。
  • 必须包括指定负责 PCI DSS 合规计划的人员对结果的审查和签署。

半年度控制要求

要求 1.1.7:审查防火墙和路由器规则集

  • 必须包括审查所有 CDE 防火墙和路由器的规则集。
  • 记录应包括审查结果和任何由此产生的补救活动。

要求 11.3.4.1:(仅限服务提供商)测试分段控制

  • 如果使用分段将 CDE 与其他网络隔离,则必须执行。
  • 也必须在对分段控制/方法进行任何更改后执行。
  • 此要求不会取代年度渗透测试要求。

年度控制要求

范围识别和验证:如 PCI DSS v.3.2.1 第 10 页所述

  • “至少每年一次和在年度评估之前,被评估实体应通过识别持卡人数据的所有位置和流来确认其 PCI DSS 范围的准确性,并识别所有连接到或如果受到损害可能影响 CDE 的系统(例如身份验证服务器)以确保它们包含在 PCI DSS 范围内。”
  • 评估员将验证定义的范围作为评估的一部分。

要求 6.5:发展培训

  • 开发人员必须接受最新的安全编码技术培训,包括如何避免常见的编码漏洞。
  • 培训可通过内部或外部计划提供。
  • 应保留培训记录,最好是结业证书。

要求 6.6:审查面向公众的 Web 应用程序

  • 这必须针对用于卡支付活动的所有面向公众的 Web 应用程序进行。
  • 可以使用手动或自动应用程序漏洞安全评估工具或方法。
  • 如果 Web 应用程序防火墙用于持续监控,则此要求不适用。

要求 9.5.1:检查媒体备份位置的安全性

  • 这仅适用于在场外设施中存储 CHD(以任何媒体格式)。
  • 亲自审查虽然最有效,但没有规定。

要求 9.7.1:正确维护所有介质的库存日志并进行介质库存

  • 这仅适用于 CHD 的存储(任何媒体格式)。
  • 应记录清单审查的结果并提供给评估员。

要求 11.3:执行外部和内部渗透测试

  • 测试必须按照文件化的方法进行。
  • 如果适用,内部渗透测试人员必须能够证明资格,例如通过教育、培训和/或认证记录。
  • 测试记录必须证明后续测试以验证初始发现的更正。

要求 11.3.4:执行分段验证测试

  • 如果使用分段将 CDE 与其他网络隔离,则必须执行。
  • 也必须在对分段控制/方法进行任何更改后执行。

要求 12.1.1:审查和更新安全策略

  • 这可以通过一次性或持续审查 CDE 政策来实现。
  • 记录应包括审查结果,最好记录在每项政策的正文中。

要求 12.2:执行风险评估

  • 这必须是对组织风险的正式审查,包括影响 CDE 的风险。
  • PCI DSS 评估本身不具备风险评估的资格。

要求 12.6:确保人员参加安全意识培训

  • 培训可通过内部或外部计划提供。
  • 实体必须能够提供所有 CDE 人员成功完成的记录。

要求 12.6.2:人员必须确认安全策略

  • 确认可以作为年度培训的一部分或单独征求。
  • 确认可以通过电子方式或通过签名获得。

要求 12.8.4:维护程序以监控服务提供商的 PCI DSS 合规状态

  • 这仅适用于与持卡人数据共享或可能影响持卡人数据安全的服务提供商。
  • 实体应审查服务提供商证明的适用性、完整性和有效性。

要求 12.10.2:测试事件响应计划

  • 这应该是正式的测试活动,例如主动模拟或桌面练习。
  • 实体应能够向评估员提供测试记录。

杂项定期要求

一些要求包括定期执行的规定。在每种情况下,都没有规定期限,但实体应在政策和程序中定义这些期限,并能够相应地展示执行情况。

要求 3.6.4:加密密钥更改

  • 实体应定义用于更改用于加密 CHD 的密钥的加密期。
  • 策略还应强制要求在发生可疑泄露时更改密钥。

要求 5.1.2:评估不断演变的恶意软件威胁

  • 实体必须审查威胁形势,以确定是否应在 CDE 中使用的任何非 Windows 系统上安装防病毒软件。
  • 这些审查的记录应可供评估员使用。

要求 5.2:防病毒扫描

  • 必须配置防病毒软件以执行定期扫描。
  • 理想情况下,扫描应该是完整的系统扫描,而不仅仅是有针对性的文件扫描。

要求 9.8:媒体销毁

  • 此要求适用于存储 CHD 的所有媒体格式。
  • 应为评估员提供销毁记录

要求 9.9.2:支付设备篡改检查

  • 理想情况下,检查应由负责人员或可信赖的支持供应商进行。
  • 被指派检查职责的人员必须接受培训。
  • 检查记录应可供评估员使用。

要求 12.10.4:安全违规响应培训

  • 事件响应人员必须接受最新的违规响应技术培训,包括事件分析和取证。
  • 培训可通过内部或外部计划提供。
  • 应保留培训记录,最好是结业证书。

提供必要的证据

积极管理这些定期控制要求可以消除组织在评估期间没有准备好证明合规性的情况。上面列出的每项活动(适用于实体和 CDE)都将由评估员在 PCI 评估期间进行审查。所有组织都会经历员工流动,不幸的是,这些离职会对安全运营和合规计划的连续性产生负面影响。但是,主体必须能够证明控制在整个评估期间得到维护和运行,并允许评估者验证控制的有效性。此外,尽管在大多数情况下都定义了控制期和目标,但满足要求的方法可能不止一种。经验丰富且知识渊博的评估员可以在实施控制策略和策略时对其进行审查,以验证是否满足了要求的意图和定期执行义务。

无论您是想加强整个网络安全计划还是专门的 PCI 合规计划,什么软件买球 LBMC 信息安全团队都可以提供帮助。请随时查看什么软件买球资源和播客库,其中提供了可用于增强网络安全各个领域的具体见解。与什么软件买球团队联系,详细了解我们如何帮助制定有效的 PCI 合规计划。

参考:支付卡行业,安全标准委员会。合规性报告,v3.2.1。 //www.pcisecuritystandards.org/document_library.