要么封锁您的支付数据,这样除了一小部分授权人员之外,任何人都无法访问,无论其网络权限如何,要么强迫每个人都遵守 PCI 规则。关键在于:他们早就应该遵守 PCI 规则了。
PCI 安全委员会将于周四(4 月 28 日)发布新的支付安全要求,届时将对身份验证和服务提供商实施新规定。3.2 中的新法令最引人注目之处在于,委员会承认,要保护支付安全,必须在更大的企业领域实施保护措施。
长期以来,规则要求直接接触支付数据的人员进行多因素身份验证。为了顺应现实情况,PCI 将从周四开始要求所有可能接触支付数据的人进行多因素身份验证,无论这是否是他们的工作。换句话说,必须遵守 PCI 规则的人的范围将大大扩大。
PCI 首席技术官特洛伊·利奇 (Troy Leach) 表示,现在有必要将受影响的人群扩大到从事支付数据工作的人员以外。
“最重要的一点是,对要求的更改旨在针对所有对持卡人数据环境的管理访问,即使是在公司自己的网络内。这适用于任何管理员,无论是第三方还是内部管理员,只要他们有能力更改该网络内的系统和其他凭据,从而可能危及环境的安全,”Leach 说。“这不会影响一个系统与另一个系统通信的机器身份验证,因为它旨在用于人员身份验证,也不会影响管理员直接从控制台访问。”
新规定还不止于此。服务提供商公司可能没有与支付数据进行直接的工作相关互动,现在也被 PCIe 所限制。
“一家组织可能会竭尽全力保护其内部网络,但数据泄露报告指出,第三方会抵消其所有努力。这就是为什么 PCI DSS 3.2 中为服务提供商确定了几项新要求。这些新要求应该已经成为服务提供商成功管理持卡人数据环境内安全有效性的努力的一部分,”Leach 说。“这些措施包括维护加密架构的文档描述和报告关键安全控制系统的故障等。此外,还要求高管层确立保护持卡人数据和 PCI DSS 合规计划的责任。”
重点是什么?要么封锁你的支付数据,这样除了少数授权人员之外,没有人可以访问,无论他们拥有何种网络权限,要么强迫每个人都遵守 PCI 规则。关键在于:他们早就应该遵守 PCI 规则了。,它的指导方针确实是经过深思熟虑的零售业最佳实践,并且从实际情况来看,几乎适用于每个垂直行业。
对 PCI 的一个公平批评是它做得不够,因此助长了检查表安全。但这也意味着严格遵守 PCI 规则只不过是遵守最低标准的安全机制。让我们考虑一下提到的第一个变化:多因素身份验证,这意味着不再允许简单的密码成为您最敏感的数据和坏人之间的屏障。
我认为该规定唯一的安全问题可能是,“你们直到 2016 年 4 月底才强制执行这项规定?你服用了什么药物?”
至于将这些规则应用于可能影响你的网络的第三方,我认为总结一下。如今,各类企业都需要尽可能地将最严格的安全规则扩展到供应链的上下游,扩展到每个承包商以及承包商的承包商。
去年,一家英国大型银行在暗网上进行深入搜索,发现了一个文件夹,里面有 3,000 多份内部文件,包括其 ATM 网络的超敏感设计。此次泄密最终被追溯到一些网络附加存储,这些存储被一家 ATM 公司放错了地方,该公司只是竞标为该银行做一些 ATM 工作。作为保密竞标过程的一部分,该银行与竞标者分享了技术细节。
一旦你意识到你的安全网不仅要覆盖所有员工、承包商和分包商,还要覆盖那些刚刚试镜(但没有成功)成为承包商的人,你就会很快发现这些新的 PCI 规则不仅是可以接受的,而且远远不够。但至少它们正在接近目标。
