支付卡產業資料安全標準 (PCI DSS) 要求所有接收、獲取、傳輸、處理及/或儲存持卡人資料的組織單位都必須採取適當的方式持續對消費者的機敏資料進行防護。PCI DSS 提升了對持卡人資料的保護,但企業要滿足合規要求可能相當具有挑戰性。實現並保持合規,對企業風險管理者、資訊安全人員和 IT 營運專家而言,可能得面臨許多重大挑戰。更高標準的 PCI DSS 3.0 自 2014 年 1 月 1 日起生效,對企業來說,無疑是更大的挑戰。
PCI DSS 合規挑戰
銀行、第三方支付業者和零售商全都仰賴越來越複雜、遍佈各地的網路,通常包含結構化和非結構化資料。持卡人資料可能儲存在各種不同的資料庫和版本中,或是檔案伺服器的檔案、文件、圖像、語音記錄、存取日誌和其他不同的資料儲存庫中。 要用符合 PCI DSS 規範的方式保護儲存在各種資產和位置中的持卡人資料,得要企業IT部門和眾多需要存取資料的業務部門之間進行密切的管理和合作。保護持卡人資訊、避免對IT基礎設施產生干擾、讓遍佈在網路中的資料存取不間斷,在這幾個要點之中找到適當的平衡,對資訊安全和進行中的營運業務來說,是相當重要的課題。 為了滿足 PCI DSS 規範,IT部門需要管理存取控制、加密、金鑰管理,以及靜態持卡人資料的稽核。若透過不完整的解決方案來滿足這些要求,對實際運作和執行而言,可能會更加複雜且成本更高。 收集持卡人資訊的組織單位需要一個整合性的資料保護解決方案:
- 有效率地實現、保持 PCI 3.0 的合規性
- 支援主要的SIEM和彙集log日誌的解決方案
- 不需要重寫應用程式或資料庫
- 為管理政策提供強而有力的權責分工
- 維持高水平的系統效能,對最終用戶的使用流程沒有影響,且不破壞服務層級協議(SLA)
- 維持雲端及大數據環境的合規性
Vormetric 滿足多項 PCI DSS 3.0 要求
Vormetric 集中管理系統 (DSM) 讓企業可保護、管控靜態資料。Vormetric 透明加密技術結合了加密、存取控管、金鑰管理和細部登錄 (granular logging),可保護實體、虛擬、雲端或是大數據環境中的非結構化檔案和位於 Linux、UNIX 與 Windows 伺服器內的結構化資料庫,以滿足下表中所列的各項合規要求。
Vormetric 主要特點及效益:
- 協助達成 PCI DSS 第 3、7、8、10 條中所要求的各種控管
- 支援實體、虛擬、雲端和大數據持卡人資料環境 (Cardholder Data Environment, CDE) 的Linux、UNIX、Windows 伺服器
- 持卡人資料將受到加密、存取控管和 log 記錄
- 高效能的加密與維持 SLA 的高可用性設計
- 可在持卡人資料環境 (CDE)中進行快速部屬及擴充,有助於滿足稽核要求。
| PCI DSS 規範 | 合規挑戰 | Vormetric 資料保護解決方案 |
| 第 3 條 保護儲存的持卡人資料 子條文:3.2, 3.4.1, 3.5.1, 3.5.2, 3.6 |
PCI DSS 第 3 條要求所有資料都必須為”不可讀”-無論儲存在哪裡,並提供一些可以達到此目的方法。PCI DSS 認知到強加密 (strong cryptography) 搭配適當的金鑰管理所能創造的價值。 | Vormetric 透明加密 (Transparent Encryption) 透過在檔案/磁碟層加密的方式保護持卡人資料,並在預先定義的使用政策下進行解密。這能確保所有資料無論儲存在哪裡,都將呈現不可讀的狀態。整合金鑰管理不但可簡化這個程序並滿足這些規範。 |
| 第 7 條 依據企業守則,限制對持卡人資料的存取 子條文:7.1, 7.2 |
PCI DSS 第 7 條要求只有必須存取持卡人資料才能完成作業的使用者和資源才能存取具有資料的系統。為了從加密中獲得最大效益,建議組織單位應導入能從資料本身進行安全政策應用的解決方案,而非只是針對存取資料的系統或應用程式。單純的加密不足以提供 PCI DSS 所要求的細部控制。只有和金鑰管理、存取控制共同運用,加密才能發揮最大成效。 | Vormetric 能根據 PCI DSS 規範,強制執行權限最小化 (least-privilege) 模式,拒絕任何未經政策明確核准的活動。這確保只有需要存取檔案或檔案內容的使用者、程序和資源才能進行存取,並能排除內部環境的特權用戶 (系統管理員或root) 存取持卡人資料。 |
| 第 8 條 識別、驗證對系統組件的存取 子條文:8.2.1, 8.7 |
PCI DSS 第 8 條:分配給每個具有存取權限的人獨一無二的 ID,確保每個人都能對自己的行為負責。落實這種權責歸屬 (accountability) 時,對重要機敏資料和系統所進行的行動將由已知且被授權的使用者及程序執行,並能進行追溯。 | Vormetric 可獨立於系統、網路帳號和密碼控制要求之外。Vormetric 使用就地目錄服務 (in-place directory service,如 LDAP、Active Directory) 來驗證用戶 ID。 Vormetric 解決方案可用於: – 儲存在應用程式檔案/資料庫 (8.2.1) 中的加密憑證所應具備的客製化驗證系統。 – 對所有直接存取資料庫的使用者進行存取控制,包括管理者和應用程式帳號等。(8.7) |
| 第 10 條 追蹤、控管所有對網路資源及持卡人資料的存取 子條文:10.1, 10.2, 10.3, 10.4.1, 10.5, 10.6 |
PCI DSS 第 10 條聲明所有組織都必須對系統組件、管理者和使用者實施稽核存底 (audit trail),以追蹤、監控所有對網路資源和持卡人資料的存取。條文也詳細列出了所有稽核存底條目。 | Vormetric 提供檔案系統層的存取登錄,所有對機敏資料的讀/寫要求都能以符合 PCI 規範的稽核記錄進行追蹤。使用者管控政策允許監控所有對機敏資料的存取,包括特權使用者的存取。 彙報工具可分析 agent 和 DSM 生成的 log 日誌。此外,也可在 DSM 中設定政策,以針對需要特別監控的活動發出告警。Vormetric 稽核日誌可儲存在 DSM 或組織的安全性資訊與事件管理系統 (SIEM) ,或其他彙集 log 日誌的解決方案。Vormetric 稽核日誌支援各種主要的 syslog 格式: RFC5424、CEF 和 LEEF。 |