遵守规定已经够难的了,更不用说日复一日地维持了。
支付卡行业(PCI)的合规性可不是闹着玩的。它涉及个人数据,包括信贷、金融和人口统计信息。
随着越来越多的违规行为的发生和个人信息损失的增加,PCI合规性应该成为重中之重。最新的统计数据显示,71%的数据泄露是针对小型企业的,60%的小型企业在经历数据泄露后的六个月内关闭。
支付卡行业数据安全标准(PCI DSS)的合规性标准旨在降低在线支付卡欺诈的风险,同时保护其用户的信用信息。
根据PCI DSS,合规性标准通过“级别”和从1到4的等级进行评估:
-
一级-年信用交易超过600万笔的商户
-
2级—年信用交易金额在100万到600万之间的商家
-
3级—年信用交易金额在2万到100万之间的商家
-
4级-每年信用交易少于20,000次的商户
*注:Visa、Mastercard、Amex、Discover等品牌公司设定了自己的合规水平
一级商户须提交:
-
由合格的安全评估公司进行年度现场安全审计
-
内部审计,如果由公司的高级职员签署,并已预先批准
-
进行季度网络安全扫描记录和审查
2、3、4级商户需提交:
-
一份年度自我评估问卷
-
由认可扫描供应商(ASV)进行季度安全扫描和审查。
PCI DSS 3.1版本于2015年4月15日发布,要求所有供应商和商家不迟于2016年6月升级到最新的传输层安全(TLS)协议。在此日期之前,使用安全套接字层(SSL)和/或早期TLS的现有实现必须有正式的风险缓解和迁移计划。
PCI SSC信息补充中概述了关于临时风险缓解方法、迁移建议和强加密协议替代方案的指导。
在PCI DSS级别中,需要进行安全审查,对数据进行全面的自我评估和安全评估。
数据安全的基本要求包括具备a(n):
-
防火墙
-
密码升级策略
-
保护卡片资料的政策
-
TLS加密任何传输
-
通过安全系统、监控和访问程序保护系统免受恶意软件攻击
-
门禁系统和网络内外的访问记录
-
访问认证的“需要知道策略”
-
跟踪和监控所有访问数据和数据存储的过程
-
以上所有安全要求的定期测试计划
-
严格的数据保护、访问和传输政策
所有这些必需的安全措施都需要对网络数据的完全访问才能正常工作。这意味着为了提供最佳的安全性,需要通过第三方提供独立的可视数据平面,例如无源网络tap。
经验丰富的网络安全管理人员通常至少有两个tap:一个是带外的,在他们的防御边界之外,另一个是带内的,在他们的安全边界内,允许他们看到数据的每一位和每一个字节。
带外TAP将监视不同类型的攻击向量,以便他们可以为其外部安全边界的弱点准备补救措施。带内TAP可以见证和记录任何内部违规行为,以便迅速进行补救和报告。
今天的网络需要一个安全的可视化平面,这样他们就可以尽快识别攻击或异常行为,以阻止数据记录的丢失,并帮助组织避免对不保护客户敏感个人数据的公司征收高额罚款。
数据泄露可能会导致大公司面临诉讼和巨额罚款,并导致较小的企业倒闭。更糟糕的是,当被攻击的公司无法提供丢失数据的完整记录时,这些成本会成倍增加。通常的规则是,如果一家公司无法证明有多少记录被泄露,裁决机构必须假设系统中的所有记录都受到了损害——这将导致罚款大幅增加。
我以前写过,违规不是“是否”的问题,而是“何时”的问题。一个优秀的安全团队,拥有强大的可见性,将能够使他们的公司免于高额罚款,同时保护客户的敏感数据。
网络可见性平面的成本远远低于公司可能遭受的罚款和非货币成本——只要想想塔吉特(Target)、家得宝(Home Depot)等零售商的业务损失就知道了。
网络可见性是保护网络数据的第一步。TAP是构建网络访问基础的完美工具,因为它不能被黑客攻击,并提供每个数据包的实时视图。有了你所有的数据,识别违反的安全策略、恶意软件攻击或漏洞应该不超过几分钟。
获取Tim O'Neill最新的“十大安全提示”,保护您的家庭和企业网络:
