PCI DSS 合規:可用於資料保護的加密方式
作者:Ian Hermon-Thales 產品行銷經理
並非所有的加密方式都能提供您所需的保護範圍及彈性
針對帳號資料保護,並沒有一體適用的解決方案。每個組織單位的狀況都不同、面臨的威脅和想達成的防護目標(理論上應高於 PCI DSS 合規要求)也都不同。讓情況變得更複雜的是,現在企業還需要保護不同資料庫的資料,並和外溢部分(spill over)一起歸檔到測試位置(test location)、稽核紀錄和報告中-各種結構化和非結構化的資料都以不同形式出現在許多位置!
保護資料最常見也最有用的方式之一就是加密,包括硬體和以軟體為基礎的加密解決方案(cryptographic)。但是從簡易金鑰管理和可擴充性上選擇所需的加密方式,並不如想像中那麼簡單。
加密一般都部署在下面四個技術層級(technology stack)上:
- 磁碟 Disk (或媒體media)
- 檔案 File
- 資料庫 Database
- 應用程式 Application
磁碟(Disk)是最容易部署的層級,但所提供的保護也最少;而應用程式(Application)則是最難部署的層級,卻也提供較優越的保護。選擇哪個或哪些方式需要審慎的分析和計畫。
在不同技術層級進行加密的優缺點比較
一般而言,在較低階的技術層級中進行加密時(磁碟為最低階),通常不會干擾到其他層級的運作。在多數情況下,對用戶來說就像是透明的一樣,不需要做應用程式的調整。不幸的是,單靠磁碟加密(如資料庫或作業系統提供的免費功能)只能避免實體竊取,無法防止組織內外部的惡意人員。
轉換到最難部屬的層級,對應用程式進行加密,組織單位可以在一開始獲取資料時就保護主帳號(PAN),因此可大幅簡化 PCI DSS 合規流程並提供相當高的安全性。但對應用程式加密最大的缺點則是通常涉及重大的應用程式開發(可能所費不貲),且需要支援所有關鍵管理流程。
讓您的投資效益最大化的評估要點
Thales 關於資料保護的最新著作 “給初學者的PCI合規與資料保護” (PCI Compliance & Data Protection for Dummies) 中,我們將詳細研究各種加密技術,並提供不同類型組織最有效的實務建議和技巧。我們將確認哪些流程簡化是可行且具效益的(透過集中控管的方式),特別是需要金鑰管理的地方。
您能從 Thales 官網下載這本書,以了解更多內容。裡頭所提供的有用資訊將超過您在滿足 PCI DSS 要求時的所有需求。如果您想知道為什麼這很重要,那是因為將資料保護作為策略投資而非只是合規驅使義務來部屬才是最好的方式。
延伸閱讀: