配置錯誤、訪問控制過失和確定范圍問題位居常見PCI錯誤榜首。在2012年,企業將繼續努力完成PCI合規工作,安全專家警告說,為了更具成本效益地實現合規和安全目標,企業需要想辦法避免這些常見合規錯誤。以下是總結出來的十大PCI合規錯誤:
1、不遵守最小特權原則
根據Viewfinity首席執行官Leonid Shtilman表示,企業對于“PCI 2.2.3: 配置系統安全性參數以防止誤用”并沒有嚴格執行。正如他所說,企業應該深入到用戶角色以確保他們在PCI法規適用的任何地方遵守了最小特權原則。
“允許任何特權用戶訪問所有數據是不能接受的,即使是給服務器管理員的特權也應該根據其具體角色和職責來授予或調整,管理員的角色和職責是直接與履行其工作職責需要使用的應用程序和流程緊密聯系的,”他表示,“不要多,也不能少,只需要最小特權。”
然而,在大多數企業,這并沒有嚴格執行,HyTrust創始人兼總裁Eric Chiu表示。
“企業很多員工擁有數據訪問權,包括那些不需要這些訪問權來完成其工作職能的員工,這種情況并不罕見,”他表示。
2、忽略虛擬化合規
COAlfire Systems公司專業服務執行副總裁Tom McAndrew表示,很多企業往往忽略了虛擬化合規,這可能導致很多審計項目不達標。
“PCI DSS 2.0規定即使只有一臺虛擬機包含持卡人數據,你的整個虛擬基礎設施都必須遵守該規定。挑戰在于:PCI DSS中對于虛擬化的措辭很含糊,這一切都取決于審計員的理解,”他表示,“所以企業需要確保他們一開始就遵守了這個原則,完全理解風險,并且部署了控制以避免‘最后一分鐘的驚喜’。”
3、沒有更改供應商默認配置
在涉及遵守PCI 2.0規定的2.1條(要求供應商默認密碼和配置需要更改)時,虛擬化又給企業設了一個圈套。
“使用供應商提供的默認配置,虛擬機可以很容易地被復制和部署,”HyTrust公司的Chiu表示,“在傳統IT環境防止這種情況發生而部署的控制(例如掃描網絡中的新系統)在虛擬環境變得沒什么作用了,所以審計員可能不會注意到默認配置,因為一個實體需要從虛擬環境本身來管理虛擬機。”
4、沒有正確定義范圍
網絡分段以在較小范圍內加強安全合規是智能PCI合規的重要組成部分。
“雖然技術上來看,并不是PCI要求,任何了解PCI的人都知道這都與范圍有關,”Coalfire公司的McAndrew表示,“范圍是對所有PCI規定的定義。”
然而,很多企業都沒有正確定義范圍。
“最常見的錯誤是缺少‘連接到’范圍內系統的系統,”McAndrew表示,“確定系統是否在‘范圍內’的基本途徑是問你自己‘這個范圍外系統是否可能影響持卡人數據的安全性?’如果答案是肯定的,那么這個系統就是范圍內系統。”
5、注重將事情歸到范圍外
雖然將事情歸到范圍外很重要,但是如果企業更注重范圍外過程,而不是解決真正的風險,這將給企業造成嚴重影響。
“很多商家試圖將系統放到范圍外,而忘了管理稍后可能給企業帶來嚴重問題的風險。例如,一個商家使用頁面重定向到電子商務網站來支付,以減小范圍,”Voltage Security公司數據保護專家和副總裁Mark Bower表示,“該商家的電子商務服務器可能受到攻擊,攻擊者可能利用假冒的重定向頁面來竊取持卡人數據。范圍外并不意味著不需要關心,也不意味著不會被攻擊者瞄上,如果系統或數據可能受到攻擊,范圍外也將受到攻擊。減小風險應該擺在第一位。這也是PCI擺在首位的事情。”
6、過度使用補償控制
根據Voltage公司的Bower表示,如果你認為補償控制能夠緩解合規壓力,那么,你完全理解錯了PCI的作用。
“在沒有辦法直接符合要求時,我們會使用補償控制,例如,一些企業會認為,因為他們的傳統系統,他們不能加密或令牌化存儲在數據庫或應用程序的的卡數據,”他表示,“現在,完全有可能做到這一點,即使是在MainFrame和HP Nonstop這樣的傳統系統上,減少數據泄露風險的同時,遵守合規要求。”
除此之外,他警告說,補償控制可能在書面審計和業務流程和工具方面增加企業成本。
7、認為PA DSS認證軟件不需要遵守合規
“只是因為你購買了一些PA DSS認證軟件來處理信用卡數據并不意味著你幸免于合規問題了,”Incapsula公司聯合創始人Marc Gaffan表示。
“PA DSS認證的軟件必須在PCI兼容環境中運行和操作以滿足PCI DSS合規,”他表示,“這意味著你需要確保你的IT環境和所有相關服務供應商也同樣是PCI兼容的,以保持你的認證軟件和電子商務平臺的整體合規。”
8、沒有職責分離
PCI DSS規定3.4.1和3.5都提到職責分離是企業的義務,然而很多企業仍然沒有進行適當的職責分離,Vormetric公司產品營銷高級主管Todd Thiemann表示。
“為了正確進行職責分離,企業需要有足夠的人員,”Thiemann表示,“一個常見錯誤是允許開發人員或數據庫管理員看到生產數據,這通常是因為IT部門人員不足造成的。”
9、加密密鑰管理不當
PCI DSS規定3.5.1規定企業需要在盡可能少的地方和形式安全地存儲加密密鑰。問題是,大多數企業對于密鑰管理都感到恐懼。
“企業不應該將加密密鑰和加密數據存儲在一起。這就好像,你把門鎖上,然后把鑰匙貼在門上一樣,”Thiemann表示,“太多加密解決方案不包括適當的密鑰管理,而當涉及妥當管理加密密鑰時,企業總是容易出現偷工減料的情況。”
10、沒有跟蹤持卡人數據流
總部設在華盛頓特區的必百瑞律師事務所John Nicholson表示,企業并沒有為持卡人數據做足夠的工作,以幫助找出什么、哪里、如何和為什么存儲數據。
“通過這個過程,企業可以識別持卡人數據以及其他可能遭受數據泄露的數據集,然后進行加密,”Nicholson表示,“很多企業發現他們將持卡人數據存儲在Excel電子表格或者其他難以控制和保護的格式中,通過進行上述提到的數據流分析,企業可以正確處理這些數據。”
想想,現在應該沒有人還將持卡人數據存儲在電子表格中了吧?不過確實還有,Co3 Systems公司首席營銷官Ted Julian表示。
“真實故事:一家中等規模的公司找到我們,因為他們需要一個更好更方便的解決方案在進行在線注冊,他們當時的解決方案是他們的托管服務供應商發給他們的Excel電子表格,包括所有信用卡信息---包含CVV代碼,”Julian表示,“而這個事情并不是發生在2009年,而是剛剛發生在2012年,我想到這個事情就覺得不寒而栗。”
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文網址:http://www.guhuozai8.cn/html/consultation/1083953425.html