利用PCI DSS保护支付卡数据

<p>刘洋：大家早上好！我感觉回家了，为什么这样讲？我曾经在CNCERT/CC服务很多年。这次我代表PCI来做这个报告，主要是为了在中国介绍一下PCI DSS的标准。<br><br>首先看一下为什么要关注支付卡安全。刚才关老师提到很多安全事件发生，我自己的经验告诉我支付安全非常重要，在03—06年的时候，我处理网络钓鱼，接触很多类似的事件，感受对支付安全保障是非常迫切的需要。最初支付卡安全是由各个支付卡品牌完成的，像VISA的AIS，现在支付卡的标准已经不能满足业绩的需要，所以这些机构合起来，发布了PCI DSS这个标准。<br><br>PCI SSC是委员会的缩写。PCI SSC是安全标准委员会，安全标准委员会的成员是来自于持卡品牌，委员会的成员是持卡品牌人员的全职或兼职。下面是参与支付卡标准创建安全委员会的成员列表，其中有运通、JCB等。<br><br>PCI SSC的主旨有三个方面：一是鼓励所有关键业内机构采用数据安全标准，包括商户、银行、第三方机构和POS厂商；二是培养和管理全球范围内有资质的ASV，我本人是作为PCI的QSA给大家介绍这个标准，在中国内地，目前只有两个QSA；3、邀请机构加入到此标准的维护行列。<br><br>向大家介绍一些基本的名词，SSC是安全标准委员会，DSS是数据安全标准，QSA是合格安全性评估师，QSAC是合格安全性评估机构，ASV是授权扫描服务商。大家可能会奇怪为什么在数据安全标准里面提到授权扫描，因为这个标准里面有重要一块的组成，要进行定期扫描工作，扫描工作的服务商必须得到相应资质的授权。<br><br>看一下什么样的人需要做PCI DSS。（图）最后一列是PCI DSS其中一个要求，在系统里面保存主帐号，就需要通过PCI DSS这个标准对客户的数据进行保护。下面的信息是说在PCI DSS里面不允许商家或第三方支付卡或支付网关保存持卡人的姓名、服务代码、服务期限、词条代码等。<br><br>看一下支付卡的网络结构。（图）这里讲的是支付卡的网络，发卡行、收单行、商户和持卡人。跟 PCI的接触，这些机构都需要通过PCI DSS。为什么需要支付网关？国外很多银行提供这种服务，如果商户直接接入银行，费用非常高。第三方把业务拿出来，所有商户直接联系支付网关，跟收单行交易，减少成本。当然有些银行是做支付网关的，比方说汇丰银行有这样的服务。刚才我们看到支付卡里面，为什么没有银联？其实在PCI的人员认识里面，银联应当是一个支付卡品牌，但是它没有加入这个机构，银联的交易量非常大，在支付卡体系里面，没有把银联列为一个商户。<br><br>支付卡品牌数据安全保障标准对于所有的商户、发卡行、收单行和持卡人的要求不一样，同样的标准为什么会出现这么多列？同样的标准对于不同的支付卡品牌来讲，对应有不同的需求。对于商户来讲，提出商户如果超过600万，就要拿到PCI DSS1，具体这些信息大家都可以在PCI DSS的网站上找到，我只是向大家简要介绍一下这个级别的划分以及具体的要求。VISA比较特别，因为是全球分区域性的，第一个看到的是亚太地区的，如果超过600万，商户必须要拿到一级，也就是说第三方的支付品牌，比方说支付宝，如果跟VISA做了600万，一定要通过PCI DSS，因为这个标准是强制性的，是所有支付卡品牌强制的标准。对支付卡网关和第三方服务商提出的要求，VISA是一个单独的系统，超过600万，必须拿到一级的标准。<br><br>PCI DSS的要求是从这六个方面对商户进行审核的：建立和维护网络安全，保护持卡人数据，维护漏洞管理程序等等。可能在座各位有接触过ISO27000或相关标准，大家感觉27000的标准是通过自己的文档和管理体系证实你是符合标准的。如果有两种情况是可以不符合的，一是不适用，比如说有没有无线接入，如果在所有数据中心环境里面没有无线设备，这个对你就是不适用的；还有一些补偿措施，我有网络，但是有防火墙对它进行保护，作为一种安全补偿措施，这种补偿错误是由我们QSA和厂商共同协商制定的，如果我们认可这个补偿措施，认为要求是符合的。其实PCI DSS里面还有一个定期监视并测试网络，这提出了自身数据中心对数据存储设备的扫描，授权的合格扫描公司可以进行这个业务，对扫描的报告根据你的PCI DSS级别不同频度是不同的。还有维护信息安全策略，这个跟ISO27000是重合的地方，对公司的管理体系、公司文档以及政策的审核。<br><br>在获得PCI DSS过程当中，我们可以有什么收益？坦白讲，这个东西是强制标准，不是国家的，是各个支付卡品牌的强制标准，强制你通过这个标准，我们不能去跟他争辩是不是可以不过，我们一定要过。当然，我们在过去PCI DSS标准认可的同时，还有一些收益，对我们有些优势，首先一点，比方说以前VISA的ATS体系，可以避免一旦发生安全事件来自支付品牌和收单银行的罚单，甚至更加严重的后果。对管理体系，肯定有一个提高，因为要求非常具体，对你的防火墙、物理监管，包括监视器的安置位置和个数都是有限制的。还可以降低诸多成本和费用，大家可能讲我要过这个标准，要付费，还可能罚款。其实从另外一个角度，是把我们的风险降低了，把潜在存储的问题减少了，这样维护起来，在日常运作当中会减少很多风险带来的损失。对相关工作人员的职责更明确，管理体系里面提到对相关工作人员要求的限制。复合型建设和认证具有相当的市场价值，比如有品牌获得PCI DSS，给客户一个良好形象，对VISA和万事达来讲，你们也是有良好的形象。复合型建设和认证可以对拓展全球业务有一定的帮助。<br><br>PCI和其他标准的整合，我们现在面临很多标准，这些标准每次过，都要忙一段时间，再多加一个PCI DSS，对我来说只有痛苦。实际我们在审核的时候面临的问题，要求每个员工对这个标准都有认识，以及文档中心和内审中心运作，还有不同标准间的兼容性，负责人员工作交接的断档。怎么样减少大家的成本，减少大家的人力和时间的损耗？通过我以前的经验，我发现有重叠的部分，只要通过标准，不需要有重复的过程。<br><br>（图）4.1、4.2，那个是ISO27000合规性要求的标准。大家可以看到，我所列出的三列东西是重合的，也就是说在我们的体系里面，这些内容是可以共通的。<br><br>下面是一些信息，包括QSA、ASV，其实后面还有很多相关的标准，比如PA-DSS，这是一个应用支付系统的数据安全标准，也就是说对数据系统开发的时候，作为开发方或者开发人员，也需要对信用卡数据保存有一定的责任，就需要遵从PA-DSS，而不再是PCI DSS。还有PED，是对信用卡设备的审核标准，这些属于VISA、万事达等所有标准的强制标准。下面是我现在所在公司的介绍，你们需要获取一些信息，可以从中获取。<br><br>这就是我今天的报告，非常间断，如果大家有其他问题，可以在会后跟我沟通，谢谢大家！<br></p>