PCI SSC 10周年:看支付卡行业数据安全标准的成功与挑战

本文涉及的产品
数据安全中心,免费版
简介:

2016年9月,支付卡行业安全标准委员会( PCI SSC )迎来10周年纪念。这个由主流信用卡品牌创建的组织,成立目的就是为强化支付卡信息的安全保护。PCI SSC 管理着支付卡行业数据安全标准( PCI DSS ),也就是任何存储、处理或传输支付卡信息的组织都必须遵守的要求。PCI SSC 一直基于最新威胁和企业环境中不断增加的复杂性,持续修订 PCI DSS 。

适逢 PCI SSC 里程碑式的10周年之际,探讨一下这一标准的成功之处和所遭遇的问题,或许会带来一定的启发作用。没有哪个标准能毫发无损地通过行业审查;事实上,标准几乎总是落后于创新。然而,PCI DSS 却是极少见的,超前于潮流的标准之一。

要让一个行业能够评估自身状况,一个可供做出判断的客观基准是必须的。PCI DSS 就设定了那个基准。

PCI DSS 为寻求保护客户支付卡信息的公司提供了有效的起始点。发现支付卡数据存储地、锁定可能造成泄露的漏洞、修复这些漏洞并告知相关银行和信用卡商的过程,是强力信息安全项目的一个基本方面。

PCI SSC 经常更新 PCI DSS 以便企业可以领先最新威胁一步,在他们的业务环境越来越复杂的情况下,也能更好地保护客户的支付卡数据。自2006年 PCI DSS 第一版发布以来,PCI SSC 已对该标准更新了7次。频繁的改变,对紧跟技术和业务环境的发展而言十分必要。但是,它同时也提出了重大挑战,尤其是对勉力跟上的小商户而言。

PCI DSS 要求企业进行季度漏洞扫描,并向审计者报告修复情况。而且这些扫描是不算在年度 PCI DSS 全面评估当中的。无论有没有这些要求,企业都应该持续遵循最佳实践。对那些不这么做的企业来说,至少客户能够确保每年有几次会有最低限度的注意力投放到发现和修复漏洞上。

成功之处:检查薄弱环节
最新一版的 PCI DSS 3.2,添加了对第三方服务提供商的要求。正如过去几年激增的重大数据泄露事件表露出来的,第三方一直是信息安全中的薄弱环节。PCI DSS 3.2 要求服务提供商进行季度审查,确保人员遵从安全策略和操作规程。提供商还被要求至少每半年对分段控制进行渗透测试。

挑战:常被视为走过场
太多公司将 PCI DSS 合规视为一路打勾下去的走过场,而不是实践良好的整体网络安全。企业应从基于风险的视角看待网络安全,让网络风险管理享受到与其他操作性风险同等的持续性优先对待。

挑战:大企业很难保持领先
有分布式遗留环境(比如在上百个商场的自营终端上部署的多代销售终端系统)的大型企业,在保持对不断变化的 PCI DSS 的合规上举步维艰。只要标准进行了更新,企业就得努力确保他们的技术和安全控制也更新到合规的程度,而当企业环境遍布全球时,这项工作推行起来就十分棘手了。如果企业从一开始就实现强力网络安全防护,那他们就能在 PCI DSS 合规工作中领先一步。

挑战:必须用自动化替代人工过程
对很多公司而言,季度和年度合规报告,是一项耗时耗力的手工工作,要将数据抽取到一连串的电子表格中呈现给审计者看。人工将网络风险信息编译进各种各样的电子表格,是一项恐怖的、分散精力的、资源密集型的任务,往往迫使安全团队将视线从安全防护上调离开来。网络风险报告必须自动化,不仅仅是为了 PCI DSS 审计,更重要的,是让安全高管、业务线应用程序所有者,以及董事会,能够理解安全团队在保护公司资产上所做的努力。

挑战:错误和偏差不可避免地进入到了过程中
除了人工编译 PCI DSS 合规报告的精力消耗,错误和偏差也会不可避免地混入到数据中。某些情况下,企业没时间收集数据,于是就使用了以前报告中的过时信息。人工企业采用了自动化收集、分析和报告网络风险信息的做法,那么所有利益相关者就能工作在同步的数据集上了。

挑战:企业内部过程协调的必要性
PCI DSS 合规过程需要在合规、安全、IT和业务线应用程序所有者之间进行协调。然而,这几方往往是各自为战,造成四处灭火和垂死挣扎的窘状。为保持领先,业务线应用程序所有者应该成为程序和数据防卫战中不可或缺的一部分,而不仅仅是流程末端无足轻重的一个签名。

本文转自d1net(转载)

相关文章
|
10天前
|
存储 监控 安全
PCI DSS v4.0 |卓豪 Log360 实现PCI DSS v4.0数据安全合规要求
PCI DSS 是一项由主要信用卡公司支持的网络安全标准,旨在保护信用卡和借记卡数据安全。最新版本 v4.0 强调灵活的安全控制、强化身份管理及全面的网络活动监测。SIEM 解决方案在实现 PCI DSS 合规性中扮演关键角色,Log360 作为全面的 SIEM 工具,帮助企业轻松达成安全合规目标。
|
6月前
|
存储 数据采集 安全
瓴羊Dataphin数据安全能力再升级,内置分类分级模板、上线隐私计算模块
瓴羊Dataphin数据安全能力再升级,内置分类分级模板、上线隐私计算模块
201 0
|
4月前
|
安全 Java Apache
Java中的数据安全与隐私保护技术
Java中的数据安全与隐私保护技术
|
6月前
|
存储 人工智能 算法
数据安全与隐私保护在人工智能时代的挑战与应对
随着人工智能技术的快速发展,数据安全和隐私保护问题日益凸显。本文将探讨在人工智能时代下,数据安全面临的挑战以及如何有效应对,为保护用户数据和维护信息安全提供新思路。
1101 13
|
6月前
|
监控 安全 网络安全
云端防御策略:在云计算中确保数据安全与隐私
【4月更文挑战第6天】 随着企业和个人日益依赖云服务,数据安全性和隐私保护成为不容忽视的挑战。本文探讨了云计算环境中面临的主要网络安全威胁,并提出了综合性的安全措施来加强防护。我们将从云服务的基础知识出发,分析安全风险,并深入讨论如何通过加密技术、身份验证、访问控制以及持续监控等手段来提高数据的安全性。文章的目标是为读者提供一套实用的策略框架,以便在享受云计算带来的便利时,能够有效地保障信息安全。
|
6月前
|
存储 边缘计算 安全
边缘计算中的数据安全与隐私保护:挑战与应对策略
边缘计算中的数据安全与隐私保护:挑战与应对策略
|
6月前
|
存储 安全 数据安全/隐私保护
云计算中的数据安全与隐私保护:技术与挑战
云计算中的数据安全与隐私保护:技术与挑战
818 0
|
6月前
|
数据采集 人工智能 安全
加码数据安全,瓴羊隐私计算能力获多奖项认可!
加码数据安全,瓴羊隐私计算能力获多奖项认可!
|
运维 算法 安全
带你读《构建企业级好数据(Dataphin智能数据建设与治理白皮书)》——4. 特色研发能力
带你读《构建企业级好数据(Dataphin智能数据建设与治理白皮书)》——4. 特色研发能力
355 1