最新 PCI DSS 3.0 安全標準、比以往嚴謹/麻煩
由於網絡安全風險激增,加上政府對網上交易的要求愈來愈高,企業及銀行均需加強對付款卡資料的保障,於是在 11 月 7 日,世界各地的銀行包括 American Express、Discover Financial Services、JCB International、MasterCard Worldwide 及 Visa, Inc. 創立的 PCI 安全標準協會 (Security Standards Council) 便發表了最新版本的 PCI 資料安全標準 3.0 (PCI DSS 3.0),在企業處理如信用卡及提款卡等各類付款卡資料的問題上,定下更嚴謹的安全法則。
PCI DSS 3.0 於六大安全範疇訂定安全標準,以確保妥善處理付款卡資料,保障客戶利益。事實上,於 2010 年發表的 PCI 2.0 早已要求企業員工在接觸客戶資料前,使用如個人密碼或單次性密碼等雙重認證,以加強保安。但鑑於近年越來越多人進行網上交易,令企業每天需要傳送及保存數以萬計的付款卡資料,其中 Gartner 已預測今年的全球流動付款交易將逾 2,000 億元,比去年上升44%,因此新版本的 PCI DSS 3.0 要求企業加強對授權人員的身份認證,令客戶資料得到更可靠的保障。
密鑰管理不善 容易造成保安漏洞
自 1995 年開始,不少企業已先後採用 SSH 方案,以加密渠道傳輸重要數據,並需要以密鑰進行身份鑒別,限制用戶對重要數據的存取及訪問權,為遠端登入及其他網絡服務提供安全保障。不過,因應業務所需,企業難免會容許個別人員,如 IT 管理員及外判服務商進入數據庫,讀取客戶資料,而由於受到加密渠道的保護,外界對這些授權人員於加密環境下的活動一無所知,以致一旦發現客戶資料被盜或曾被修改,企業根本無法追查涉事源頭,亦不能向檢控機構提供相關舉證。
此外,隨著時間的累積、人事變動及業務規模的擴展,密鑰數量將不斷遞增,令架構越趨混亂。這樣不但增添管理難度,大大加重企業的工作量,亦會令經營成本激增。近日與 SSH 的高層會面時,他們便提到一個新加坡金融機構的案例;該機構被發現因為長期缺乏完善管理,以致系統內積存超過 80% 的荒廢密鑰,造成非常明顯的保安漏洞。
近年,因未有妥善管理密鑰而衍生的罪案可謂屢見不鮮,早前便有企業因未有盡早移除屬於離職員工的密鑰,以致他們有機可乘,利用相同的密鑰入侵企業伺服器;而去年亦有黑客盜取密鑰,攻擊網絡系統,令企業及客戶遭受無法估量的損失。
採用解決方案 減低保安風險
為避免發生以上情況,企業應採用審計及追蹤工具,迅速辨識潛在風險,以求盡快對症下藥。在處理密鑰方面,為節省成本及減少人手出錯的機會,企業應採用管理密鑰生命週期的解決方案,以自動化模式,集中發現、部署、轉換、移除及持續監察密鑰。同時,由於授權人員在無監管的情況下,有機會於加密環境內進行不法行為,因此企業亦應考慮使用能記錄包括儲存或更改資料、複製密鑰等作業流程。
提到公認為最專業的安全方案,SSH 可以說是其中之一,而 SSH 的方案大部份已符合了 PCI 資料安全標準 3.0 (PCI DSS 3.0) 內的法則,新的準則大致上可分為 50 項與 Secure Shell 系統存取相關的法則,其中表明以 Secure Shell 控制存取特權或機對機 (M2M) 流程的企業,必須確保其 Secure Shell 部署政策及管治符合新法則。
SSH 的 Universal SSH Key Manager 是唯一能按照新安全標準 3.0 的法則,完善管理密鑰生命週期的方案,其功能包括發現、部署、轉換、移除及持續監察密鑰;SSH CryptoAuditor 則可控制及監察特權使用者的活動,以及所有關乎信用卡資料的作業流程;SSH Risk Assessor 是易用的審計及追蹤工具,能有效使 Qualified Security Assessor (QSA) 及 Internal Security Assessor (ISA) 迅速辨識任何與 PCI 有關的法規及保安問題。(官方資料)
