支付卡行業(yè)數據安全標準最近更新到了PCI DSS 3.0,對于在PCI監管的基礎設施中的云計算的使用,PCI DSS 3.0有三個(gè)新要求與之最為相關(guān)。
最近,支付卡行業(yè)數據安全標準(PCI DSS)更新到新版本——PCI DSS 3.0。在某些領(lǐng)域,新要求可能會(huì )影響支持該標準的商家和服務(wù)提供商(云計算及其他服務(wù))的合規計劃。其中,與云計算相關(guān)的受影響最大的領(lǐng)域是,持卡人數據環(huán)境(CDE)與云計算交互使用的情況。
商家將會(huì )發(fā)現,云計算中的PCI DSS合規一直是很復雜且具有挑戰性的話(huà)題,以至于PCI安全標準委員會(huì )發(fā)布了一整份文檔來(lái)描述如何在PCI環(huán)境下使用云計算。然而,PCI 3.0有幾個(gè)方面可能讓這個(gè)已經(jīng)很復雜的情況變得更加復雜。這并不是因為3.0版本有新語(yǔ)言或專(zhuān)門(mén)應對云計算情況的新要求(事實(shí)并非如此),或者因為它取代了上面提到的指導文件(并不存在)。相反,這種混亂是因為一些新要求所產(chǎn)生的影響,對于云計算來(lái)說(shuō)很難解決和維護。
PCI DSS 3.0有什么不同?
對于在PCI監管的基礎設施中的云計算的使用,PCI DSS 3.0有三個(gè)新要求與之最為相關(guān):
Req. 2.4:“對PCI DSS范圍內的系統組件進(jìn)行庫存管理。”
Req. 1.1.3:“顯示跨系統和網(wǎng)絡(luò )所有持卡人數據流的當前視圖。”
Req. 12.8.5:“明確哪些PCI DSS要求由每個(gè)服務(wù)提供商管理以及哪些由企業(yè)實(shí)體管理。”
值得注意的是,這些并不是唯一的新要求,它們也不是對在PCI環(huán)境中使用云計算的唯一要求。然而,對于正在使用云計算并已經(jīng)建立了PCI合規來(lái)解決CDE內的使用的企業(yè)而言,這三個(gè)要求可能在未來(lái)幾個(gè)月中會(huì )造成很大的混亂。了解這里的原因需要更深入到每一個(gè)要求。
盤(pán)點(diǎn)和IaaS
利用云計算的企業(yè)必須要注意的第一個(gè)要求是盤(pán)點(diǎn)系統組件。PCI DSS標準在PCI 3.0文檔的第10頁(yè)描述了“系統組件”的含義,但我們想要強調的關(guān)鍵點(diǎn)是它包括了虛擬機。對任何虛擬環(huán)境進(jìn)行過(guò)徹底盤(pán)查的企業(yè)都知道這有多么困難,但請記住,在云計算部署(特別是基礎設施即服務(wù))中,這可能比企業(yè)直接控制的虛擬環(huán)境更加復雜,尤其是當由服務(wù)供應商提供支持時(shí)。試想一下,服務(wù)提供商支持人員決定克隆一個(gè)實(shí)例來(lái)幫助測試補丁兼容性,或者動(dòng)態(tài)地重新定位鏡像來(lái)響應性能瓶頸問(wèn)題。這意味著(zhù)客戶(hù)現在必須更加勤奮地追蹤CDE內實(shí)例的創(chuàng )建和銷(xiāo)毀,以保持庫存的更新。
為了做好準備,企業(yè)有幾種選擇。最壞的情況下,大多數IaaS供應商將會(huì )提供其環(huán)境中鏡像的原始清單以便進(jìn)行計費,或者通過(guò)其控制面板提供清單。雖然這個(gè)清單可能不是企業(yè)想要的(例如,它并不會(huì )顯示鏡像的目的或者其中有何軟件),但至少這是一個(gè)開(kāi)始。如果你的企業(yè)有來(lái)自服務(wù)提供商的專(zhuān)門(mén)技術(shù)人員來(lái)支持你的賬戶(hù)(例如你是特定供應商的大客戶(hù)),在創(chuàng )建庫存清單時(shí)考慮列出供應商的幫助支持。如果你不是大客戶(hù)或者你的云服務(wù)提供商不合適(或成本太高),考慮采用自動(dòng)化功能;例如,在你的虛擬“黃金鏡像”預配置盤(pán)查代理,可能有助于捕捉你不知道的新實(shí)例或克隆。
數據流和SaaS
下一個(gè)挑戰涉及在某些云計算環(huán)境中映射數據流,特別是軟件即服務(wù)(SaaS)。與平臺即服務(wù)(PaaS)和IaaS不同,在SaaS中,應用本身是一個(gè)“黑盒子”,這意味著(zhù)SaaS客戶(hù)被故意從應用運行的底層機制屏蔽。例如,當你登錄到LinkedIn或Facebook時(shí),你知道你的用戶(hù)ID穿行在哪臺服務(wù)器或者多少不同的數據庫連接到內部后端環(huán)境?你關(guān)心嗎?或許你不在乎,只要你能正確登錄。現在,鏡像能解決這個(gè)要求,它不僅能了解如何進(jìn)行整個(gè)過(guò)程,而且還能記錄數據采用的確切路徑。
現在,請記住,該標準中并沒(méi)有說(shuō)數據流圖要“知道不可知的情況”,當企業(yè)對遠程基礎設施沒(méi)有充分可視性,達到這種詳細程度并不總是現實(shí)的。在另一方面,圖表上有箭頭指向互聯(lián)網(wǎng)稱(chēng),“PAN發(fā)送到遠程計費供應商”,并不能達到評估員的標準,所以需要尋找一個(gè)中間立場(chǎng),來(lái)徹底滿(mǎn)足評估,同時(shí)沒(méi)有那么繁瑣,讓企業(yè)可以實(shí)現。對此,你可以從記錄你所知道的并讓供應商完成測試開(kāi)始。如果他們不能(或者不愿意)幫助向下鉆取以及更詳細,請確保記錄這個(gè)事實(shí)。你應該向評估者提供證據證明你已經(jīng)作出最大努力來(lái)收集具體數據,這可以讓評估人員了解你已經(jīng)完全考慮過(guò)這個(gè)要求。
服務(wù)提供商矩陣
PCI總是要求企業(yè)檢查其服務(wù)供應商的PCI合規狀態(tài),但現在它還要求企業(yè)記錄哪些PCI要求由供應商負責,哪些由企業(yè)自己負責。
這可能聽(tīng)起來(lái)像是一件容易的事,但請記住,云供應商(無(wú)論是SaaS、PaaS或者IaaS)以及更傳統的服務(wù)供應商都屬于這一類(lèi)。這意味著(zhù)企業(yè)現在必須確定誰(shuí)負責特定的PCI DSS控制:企業(yè)還是供應商。雖然一些服務(wù)提供商(特別是經(jīng)常服務(wù)于商家社區的提供商)已經(jīng)有他們所提供的控制的現成的清單,其他提供商可能并不會(huì )完全認同特定企業(yè)對責任劃分的觀(guān)點(diǎn)。這意味著(zhù)企業(yè)需要與服務(wù)提供商反復協(xié)商來(lái)建立一個(gè)雙方都同意的清單。
結論
要注意的是,這三個(gè)要求并不是PCI DSS為部署云計算的商家帶來(lái)的唯一變化。然而,對于這些要求,精明的安全和合規從業(yè)人員需要做一些準備和前期規劃以迎接新標準。
