PCI QSA

编辑:渡口网互动百科 时间:2020-01-23 12:59:53
编辑 锁定
本词条缺少概述信息栏名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!

PCI QSA什么是PCI QSA

编辑
近年来,信用卡用卡安全问题备受关注。众所周知,支付卡产业数据安全标准(PCI DSS:Payment Card IndustryData Security Standard)是该领域最为权威且全球广泛采用的信息安全合规建设以及安全评估的最佳实践。世界范围内,诸多信用卡收单机构和发卡机构、商户,以及支付服务提供商已经实现了合规评估,或者正在致力于合规建设。而在我国国内,服务提供商的PCI DSS合规评估工作已经比较广泛的被接受和认可,比如快钱、易宝支付、首信易支付、盛付通、Oncard Payments等诸多的支付服务机构已经通过了PCI DSS的合规建设并持续通过中立的第三方的评估;国内银行的信用卡收单机构和发卡机构的PCI DSS合规建设也在近两年得到了越来越多的关注,VISA作为卡组织,其风险管理的要求中对于收单和发卡机构的PCI DSS合规建设也是重中之重。多年以来,VISA组织在全球范围推行基于PCI相关要求的风险管理体系,比如亚太地区的帐户信息安全(AIS:Account InformationSecurity)。
PCI安全标准委员会严格的维护了授权扫描机构(ASV:Approved Scanning Vendors)和合格安全性评估机构(QSA:Qualified Security Assessors)的授权评估体系,面向收单银行、商户、服务提供商等支付产业相关机构提供安全扫描和评估服务,并出具符合性报告。所有的ASV和QSA都需要经过严格审核后才能得到授权,并要进行每年一度的重新审核;QSA的相关全职评估人员需要参加PCISSC组织的资格培训和考核,并也要进行每年一次的重新资格培训。
五个支付品牌完全认可PCISSC所授权的ASV和QSA,原先由各支付品牌(如VISA)自行维护的ASV或QSA体系也已经完全由PCISSC接管负责。
被授权的QSA和ASV(如atsec等),可以为世界范围的机构提供安全评估和弱点扫描工作,并为成功通过评估的机构出具符合性证书;同样也可以根据需要为机构提供帮助和顾问咨询,从而使其符合PCI安全标准的要求。

PCI QSAPCI安全标委会机构设置

编辑
PCI SSC是由美国运通(AmericanExpress)、美国发现金融服务(DiscoverFinancial Services)、JCB、万事达(MasterCard Worldwide)和Visa国际组织五家支付品牌在06年秋共同筹办设立的统一且专业的信息安全标准委员会。
PCI安全标准委员会(PCI SSC)的最高级别执行委员会(Executive Committee)是由上述五家支付卡品牌中负责风险管理或相关服务技术的副总裁组成。执行委员会下设管理委员会(Management Committee),也由五家支付卡品牌的相关负责人组成,负责该安全标委会的重大决策。委员会设有总经理(General Manager),并设立专门的DSS工作组、PED工作组、QSA体系管理、ASV体系管理、PA体系管理等部门,分别负责各自领域的标准开发和体系维护等技术工作,此外还设有市场工作组和立法委员会。

PCI QSAPCI QSA合规评估价值

编辑
PCI DSS标准从信息安全管理体系、网络安全、物理安全、数据加密等方方面面提出了诸多的安全基线要求。虽然没有任何一个信息安全标准或者安全建设可以保障实现百分之百的抵御安全风险,然而根据业界的积累,能够实现PCI DSS并且严格按照PCI DSS的要求持续实施针对持卡人数据环境的安全防护,安全事件发生的可能性将大大降低。
除了很多具体的技术改进和安全防护提高之外,致力于PCI DSS合规建设合评估工作的价值大体可以总结为以下几个层面:
1.识别和发现机构可能被攻击的薄弱环节
2.通过外部独立的第三方评估机构的安全评估提高客户自身的安全级别和降低安全风险
3.提高人员对于信息安全的意识
4.管理体系的符合性建设可以塑造经营良好的机构形象,正式评估结果更进一步验证并公开认可其符合 性;增强与机构业务往来伙伴的信心和满意度
(1)监管机构或者权威部门
(2)客户、合作伙伴、供应商
(3)机构内部组织和部门之间
(4)保险公司
5.管理体系的建设进一步加强机构的内部管理和控制:
(5)加强公司管理的高级别的安全性,使高层的方针政策融入到具体的业务流程、操作流程、和人 事财务等行政管理流程之中,并通过工作模版/工具使得各项记录更加简化有效
(6)建立可计量的机制来获得管理支持,管理和技术使用共同语言对话
(7)在公司内增强安全控制的实务保障
(8)加强中立、独立、且管理层信任的外部审计,分担部分管理层审核(management review)的 压力
(9)全员提高安全意识,全员深刻体会企业文化
(10)加强投资信心
6.可以降低诸多的成本和费用:
(11)有效的管理和降低安全事件的影响,减小处理风险的投资;完整的风险管理、业务连续性和 应急响应等细节的完善更是直接降低了重大事件发生的风险;
(12)通过符合性的审计和认证,可以减少其他各个领域的外部审查或调研,比如西方客户或者法 律领域经常发生的尽职调查(Due Diligence)等;
(13)可以减少保险相关费用(insurance premium),通过符合性建设直接带来长期的必要保险费 用的减低,或者保险额、保险范围的增加;
(14)通过管理体系职责明确,可以与相关人员分担安全工作。
7.符合性建设和认证具有市场价值,在同行业同领域对手面前占据绝对的优势,提高自身竞争力。
8.符合性建设和认证可以为全球信息交流建立国际信任且认可的平台,是机构在世界舞台上展现自己的 重要因素,也很有可能是先决条件。
最后想说的是,PCI DSS是面向支付产业链上所有机构的基线要求,需要这个产业链上所有涉及到持卡人数据(比如信用卡主账号等信息)的存储、交易和传输的各个机构的共同参与,只有全面广泛的实现了合规才能真正做到保护持卡人数据降低信用卡盗用的风险。

PCI QSA合规的重点和难点

编辑
PCI DSS是一个技术基线标准,它和ISO/IEC 27001及其系列关注在信息安全管理体系建设的标准有较大程度的相容和互通性,然而PCI DSS更加专注在持卡人数据的保护,要求会更加具体化和细节化。故而,可能从某种意义上来看,实现PCI DSS的合规建设工作也不是非常容易的事情,因为需要做到每条要求的明确的合规。
致力于PCI DSS合规工作的第一步也是比较重要的环节就是范围的确定。PCI DSS标准鼓励机构采用合理的方式精简持卡人数据环境,这不仅仅是为了降低审核的难度和时间,更是为了降低机构处理持卡人数据的风险。
根据以往项目经验和业界积累,依据实现PCI DSS合规建设目标的优先级将整个PCI DSS合规建设分为六个里程碑。每一个里程碑所要达到的目的如下:
第一个里程碑的目标为删除敏感认证数据并限制不必要位置和非业务必须的持卡人数据的存储;
第二个里程碑的目标为保护边界、内部和无线网络;
第三个里程碑的目标为安全的支付卡应用;
第四个里程碑的目标为监控和控制系统的访问;
第五个里程碑的目标为保护存储的持卡人数据;
第六个里程碑的目标为完成所有的剩余合规工作,并确保所有的控制措施到位。
从数据安全的角度,对于敏感数据和持卡人数据,机构应该做到有效的管理,存储的位置越少越好,这样它带来的风险就会越低,实现合规的整体难度也会越小。
首先针对收单机构而言,敏感的认证数据在授权完成后,是必须要安全删除的。敏感的认证数据包括完整的磁条信息、CVC2/CVV/CID/CAV2,PIN或者PIN block。对于发卡机构,敏感的认证数据是可以存储的,然而必须进行保护,比如强加密机制和密钥管理技术的引入是一个非常有效和常见的做法。
持卡人数据是指信用卡持卡人主账号(PAN)、持卡人姓名、有效期、服务码。对于持卡人数据,如果没有必要存储的位置尽量不要进行存储,必要时可以考虑进行截断(仅仅存储保留卡号的前六位和后四位)、基于强加密算法的单向哈希或令牌化技术(Tokenization)(使用令牌的方式可以参考PCI关于令牌解决方案的指导Tokenization_Guidelines_Info_Supplement)。对于必须存储的持卡人数据,较为普遍和常见的做法是进行强加密,并针对密钥进行严格的密钥管理。
PCI DSS认可的强加密算法总体来讲和NIST所颁发的密码领域最为权威的标准FIPS140相一致。目前强加密算法包括但不限于(该密钥强度和认可算法会根据业界积累不断更新):
对称算法:
⚪ AES 128 bit以上(建议使用256bit)
⚪ TDES 128 bit (建议使用256bit 3 key)
⚪ AKIPJACK / ESS 128 bit(建议使用256bit)
非对称算法:
⚪ RSA 1024 bit (建议使用2048bit 以上)
⚪ DSA 1024 bit (建议使用2048bit 以上)
如果采用强加密算法对持卡人数据进行保护,机构需要首先考虑密钥管理体系的构建,以下是密钥管理体系建设的思路:
⚪ 使用几个密钥来构建密钥管理体系?
⚪ 使用对称算法还是非对称算法以及加密密钥的长度?
⚪ 密钥的存储保护(防止密钥非授权访问和更改)
⚪ 密钥的安全分发(确保密钥在传输过程当中的安全)
⚪ 密钥泄露或者弱化的操作流程
⚪ 密钥到期后的变更流程
目前国内大部分银行对于存储在它们系统里的持卡人数据大都没有进行加密处理,导致这种现状的原因可能是因为业务的需要,早期系统对于数据加密支持程度不高,或者是外部开发商在前期系统设计之初并没有对安全方面有太多的考虑。在这种现状之下,如果客户从业务连续性角度和生产运行工作的效率来考虑,可能比较避讳使用加密的方式进行持卡人数据的保护,又或者使用加密的方式来实现对持卡人数据的加密保护的难度非常大,这时候补偿控制性措施是一个备选的解决方案。机构可以和PCI QSA一起探讨并开发补偿控制性措施。对于存储的持卡人数据的补偿控制性措施可以考虑同时满足如下条件:(1) 内部网络分割; (2) IP地址或者MAC地址的过滤;(3) 来自内部网络的双因素认证。
此外,根据笔者项目的经验,期待在如下层面较为关注,也可能是一些实际实施整改阶段的难点:
⚪ 重要的功能要做到单一功能单一服务器;
⚪ 对数据的存取实施强加密,或者采取补偿控制措施(参见上述说明)
⚪ 敏感数据存储(收单业务在授权完成之后不能进行敏感数据的存储;发卡业务可以存储,但要进行强加密保护)
⚪ 公用网络的数据加密(如果存在公共开放网络的话,比如互联网、GPRS、无线)
⚪ 安全测试环节,比如OWASP TOP 10的参考
⚪ 重大补丁及时安装(建议先测试后安装,可以考虑引入风险管理理念)
⚪ 密码复杂度要求
⚪ 日志记录信息的全面性和存储的要求
⚪ 入侵检测和文件完整性监控的部署
⚪ 机房环境的物理安全
⚪ 信息安全管理体系(策略和流程等),特别是权限分配等相关环节

PCI QSA合规评估流程

编辑
如下图所示,PCI DSS整体项目大体可以分为三个阶段。第一个阶段是准备评估阶段,可以协助机构进行明确持卡人数据环境范围,并共同识别差距,提出详细的整改建议和解决方案。第二个阶段是基于差距的整改阶段,这个阶段的周期通常根据机构现状差距和整改的工作量等因素有所不同。第三个阶段是正式评估阶段,具有资质的评估人员QSA将开展全面的合规评估,之后出具合规报告和合规证明。
图:整体项目参考示意 图:整体项目参考示意

PCI QSA支付产业的参与和发展

编辑
PCI DSS的标准制定和更新过程中,不仅包含标准委员会的成员,而且众多支付产业链的相关机构如协会、POS厂商、服务提供商、商户、金融机构、处理机构或者其他组织也都参与其中,截至2013年初致力到PCI工作中的机构和组织有600余家。
目前来讲,诸多全球的大型金融机构已经加入了PCI SSC的参与机构,包括但不限于:Austrialia andNew Zealand Banking Group Limited、Bank of America、BMO、BNZ、Bank of the West、Deutsche Card Services、First National Bank、HSBC、Merrick Bank、Royal Bank of Scotland、Scotiabank、Swedban Card ServicesAB、TD Bank、US Bank、USAA等。
而参与组织提供的意见和建议对于PCI无疑是非常重要且具有价值的。笔者鼓励更多的中国机构,特别是收单机构和发卡机构共同参与到PCI的工作中。参与机构可以针对标准本身提出反馈意见,也可以更好的展示自己致力于PCI安全工作的贡献。
PCI委员会将针对参与组织给予以下特权:
⚪ 在PCI安全标准委员会顾问团为参与组织代表投票。
⚪ 提名选入PCI安全标准委员会顾问团的候选人代表。
⚪ 对 DSS 规范的所有修订版的草案和新规范(公开发布之前)发表意见。
⚪ 参加PCI安全标准委员会主办的一年一度的标准团体会议。
⚪ 为PCI安全标准委员会需要考虑的事项建议新方法。

PCI QSA怎样选择合适的合规评估机构

编辑
上述内容简单介绍了PCI DSS合规评估中的经验分享,以及合规建设和评估项目的一般流程,然而在实际执行PCI DSS合规工作的时候,应该如何选择合适的PCI合规评估机构QSA或者评估人员提供协助并执行安全合规工作呢?以下的参考因素能够为机构在合规过程当中可能会面临的安全风险提供很好的安全保障。
⚪ 专业性,QSA公司和团队人员资质,以及相关金融行业经验,作为行业领导者,提供标准和相关领域的协助和支持;
⚪ 专注性,信息安全评估是否是该公司的主营的业务,且专注在该业务领域;
⚪ 独立性,QSA公司是否独立于厂商,可以提供不带有任何偏见的实施整改建议和解决方案;
⚪ 诚信;
⚪ 该公司自身是否切实建立并执行质量管理和安全管理体系,具有优化的策略流程;
⚪ 该评估机构是否能够提供除安全评估以外其他能够提高客户流程等有价值的服务;
⚪ 该评估机构是否能够在很多不同的技术领域提供专业知识和经验;
⚪ 该评估机构是否为客户提供足够的保险和合理的法律协议保障。

PCI QSA各支付卡品牌大力推动

编辑
随着PCI数据安全标准的倍受关注,各支付品牌也继续加强推动该项工作。基于统一公认的ASV和QSA评估结果,每个支付品牌都根据自己的安全风险管理策略,开发并维护了各自的PCI DSS符合体系。包括如下:
Ø American Express: Data SecurityOperating Standard (DSOP)
Ø Discover: Discover InformationSecurity Compliance (DISC)
Ø JCB: Data Security Program
Ø MasterCard: Site Data Protection(SDP)
Ø Visa USA: Cardholder InformationSecurity Program (CISP)
Ø Other Visa Regions: AccountInformation Security (AIS) Program
各支付卡品牌所维护的体系分别规定了强制执行要求,罚金、费用和最后期限,验证流程和角色,符合性机构的批准和发布,商户和服务提供商级别定义等等细节。支付品牌也负责当出现帐户数据安全事件时的取证以及响应。可以说各个支付品牌所要求的体系都基于统一的PCI数据安全标准及其ASV和/或QSA评估体系,但又根据自身风险管理策略各有不同。
VISA国际组织在中国以及亚太地区使用帐户信息安全(AIS)体系,而在北美使用持卡人信息安全体系(CISP)。
万事达卡的站点数据保护程序(SDP)也要求所有接受信用卡支付的商户都必须符合PCI DSS标准。2007年下半年,万事达国际组织向亚太、中东与非洲地区的指定商户提供帮助,使他们符合支付卡行业数据安全标准的相关要求。[1] 
参考资料
词条标签:
非社会 社会