Embed Size (px)
Citation preview
68 財金資訊季刊∕No.74∕2013.04
資訊分享│支付卡產業資料安全標準(PCI DSS)之探討及實地查核分享
支付卡產業資料安全標準(PCI DSS) 之探討及實地查核分享 蘇偉慶∕財金公司安控部資訊安全組組長
詹永新∕財金公司安控部資訊安全組高級工程師
一、前言
為了保護支付卡片持卡人相關資料安全,
支付卡產業安全標準協會(Payment Card
Industry Security Standards Council,以下簡
稱 PCI SSC)分別從技術面及作業面制定了一
系列的安全標準,除了與儲存、處理或傳送持
卡人資料的單位息息相關外,部分安全標準也
與資料處理過程所使用的設備或應用程式的開
發廠商有關。
本文探討的主題是與服務供應商(Service
Provider)及商店(Merchant)作業相關的「支
付卡產業資料安全標準」(PCI Data Security
Standards,以下簡稱 PCI DSS)。經由 PCI
SSC 認可之合格安全評估機構(Qualified
Security Assessors,以下簡稱 QSA)進行實
地查核,是確認支付卡作業或服務相關單位符
合 PCI DSS 安全要求最全面而客觀的方式。以
下各節將依序介紹 PCI DSS 的發展過程、安全
要求內容、引用方式及實地查核作業流程。
二、PCI DSS 沿革
為了保護持卡人資料及交易的安全,各支
付卡組織對於支付卡資料的儲存、處理與交換
相關作業,相繼提出計畫,建立相關安全標準
與規範;而 PCI DSS 即源自以下五個支付卡組
織的計畫:
(一) Visa:Card Information Security Program
(以下簡稱 CISP)
(二) MasterCard:Site Data Protection(以下
簡稱 SDP)
(三) American Express:Data Security Operating
Policy
(四) Discover:Information and Compliance
(五) JCB:Data Security Program
這些支付卡組織於西元 2004 年共同推出
第一版 PCI DSS,2006 年共組專責支付卡產
業安全標準發展與管理的 PCI SSC,除了 PCI
DSS 外,還訂有規範應用程式安全的「支付應
用程式資料安全標準(Payment Application
Data Security Standard,簡稱 PA-DSS)」及
規範密碼輸入設備安全的「密碼交易安全」
(PIN Transaction Security,簡稱 PTS)。
為確保 PCI DSS 及 PA-DSS 之正確及適
用,PCI SSC 持續檢討標準的實作狀況,並依
據資訊技術發展及安全趨勢,調整相關要求項
目,每 2 至 3 年進行版本更新,以符合實務需
求。PCI DSS 的最新版本為 2010 年 10 月發
布的第 2.0 版。
www.fisc.com.tw 69
支付卡產業資料安全標準(PCI DSS)之探討及實地查核分享│資訊分享
三、PCI DSS 安全要求
PCI DSS 分為 6 大領域,共計 12 項要求,
每項要求之下還有更明確詳細的要求。在此僅
就各項要求重點說明如下:
(一) 建立並維護安全網路
要求 1:安裝與維護防火牆及路由器設定,以
保護持卡人資料。
防火牆可管制組織對內或對外的網路連
結,或是內部網路對敏感區域的連結。正確的
防火牆及路由器設定,可以阻止不符合安全標
準的傳輸活動,防止不受信任的網路進行未經
授權的存取。
要求 2:對於系統密碼及其他安全參數,請勿
使用供應商提供的預設值。
供應商預設的系統帳號、密碼及參數設定
值,通常可以透過公開資訊輕易取得,易遭有
心人士熟知利用,危害系統安全。基於安全考
量,務必變更供應商提供的相關預設值。
(二) 保護持卡人資料
要求 3:保護儲存的持卡人資料。
如非必要,不要儲存持卡人相關敏感資
料。若確有儲存的需求,須以加密、截斷、遮
罩或雜湊等方式處理。
要求 4:針對透過開放的公用網路傳輸的持卡
人資料,予以加密。
使用高強度的加密與安全協定(例如
SSL/TLS、IPSEC、SSH 等)保護於公用網路
傳輸的持卡人資料。
(三) 維護漏洞管理程式
要求 5:使用並定期更新防毒軟體或程式。
所有可能受惡意軟體威脅的系統,都必須
部署防毒軟體,並確保防毒機制是最新且啟動
的,以防範病毒、蠕蟲及木馬等惡意軟體的攻
擊。
要求 6:開發並維護安全系統和應用程式。
所有重要系統都必須完成最新的安全修補
更新,次要系統也須依據安全弱點的風險高
低,儘速更新,以防範系統遭受攻擊。應用程
式則須經由系統開發、變更控管及軟體開發相
關安全實務,確保其安全性。
(四) 實施嚴格的存取控制措施
要求 7:根據業務需要,限制對於持卡人資料
的存取。
僅就執行作業所需,授予相關人員必要的
資料存取權限。
要求 8:為具有電腦存取權限的每個人指定唯
一的 ID。
為每一個具有存取權限的使用者分別指定
唯一的帳號,以確保使用者對自己的行為負
責,並記錄與追蹤使用者操作重要資料及系統
的行為。
要求 9:限制對持卡人資料的實體存取。
對於持卡人資料或相關儲存媒體的任何實
體存取行為,都存在非法複製或移除的風險,
必須依人員職責及媒體性質,進行適當的限制。
70 財金資訊季刊∕No.74∕2013.04
資訊分享│支付卡產業資料安全標準(PCI DSS)之探討及實地查核分享
(五) 定期監控並測試網路
要求10:追蹤並監控對於網路資源及持卡人資
料的所有存取。
確保使用者的所有活動皆能被完整記錄及
追蹤,以預防及偵測資料外洩情事的發生。
要求 11:定期測試安全系統和程序。
定期進行內外部弱點掃描及滲透測試,檢
測相關系統元件的安全。
(六) 維護資訊安全政策
要求 12:維護適用於所有員工的資訊安全政策。
資訊安全政策宣示組織對於資訊安全的方
向與態度,所有員工必須瞭解資料的敏感性及
應負的保護責任。
四、PCI DSS 的引用
PCI SSC 所制定的安全標準已獲得各大
支付卡組織的認同,不過各組織對於標準符合
性(Compliance)的分級方式及強制事項,仍
保有其自單位的相關規範,例如 Visa 國際組織
的 CISP 與 Account Information Security(以
下簡稱 AIS)及 MasterCard 國際組織的 SDP
等。
以下即以 AIS 為例,說明 Visa 國際組織如
何應用 PCI SSC 的相關規範,要求各會員單位
有效保護持卡人資料。檢視 PCI DSS 符合性的
方式有以下三種︰
(一) 自我評估問卷(Self-Assessment
Questionnaire,簡稱 SAQ)
PCI SSC 提供四種不同版本的問卷,服務
供應商及商店可依其業務需要,選擇適用的版
本,依據問卷自我評估是否符合 PCI DSS 的各
項安全要求。
(二) 弱點掃描(Vulnerability Scan)
針對商店或服務供應商對外服務的 Internet
Protocol (IP) 位址,以自動化工具進行非侵入
式的弱點掃描,從外部檢視網路與應用程式的
安全性。掃描工具必須由 PCI SSC 核可的掃描
廠商(Approved Scanning Vendor,以下簡稱
ASV)提供。
(三) 實地查核
每年由 PCI SSC 認可的 QSA 進行實地安
全查核,是檢驗服務供應商或商店是否符合
PCI DSS 安全要求最全面的方式。
AIS 係以單位的屬性及交易處理量,劃分
PCI DSS 符合性要求的等級。服務供應商依交
易量(每年儲存、處理或傳送的 Visa 交易筆數)
分為兩個等級,如表 1 所示。
表 1 AIS 服務供應商的符合性要求
符合性 要求等級
檢視方式
第 1 級
(Visa 年交易
超過 30 萬筆)
第 2 級
(Visa 年交易
少於 30 萬筆)
每年由 QSA 進行
PCI DSS 實地查核 必要 建議
每季由 ASV 進行
網路弱點掃描 必要 必要
每年完成 PCI DSS
自我評估問卷(SAQ) 選項 必要
對於以 VisaNet Extended Access Server
(VEAS) 直接連接 VisaNet 的服務供應商,Visa
國際組織均歸類為第三方 VisaNet Processors
(VNPs),不論交易筆數多寡,其符合性要求皆
比照第 1 級之服務供應商,實地查核報告須直
接送交 Visa 國際組織。
www.fisc.com.tw 71
支付卡產業資料安全標準(PCI DSS)之探討及實地查核分享│資訊分享
對於處理 Visa 交易的商店,AIS 也是依交
易量分為四個等級,各有不同的符合性要求及
執行單位。如果商店因遭受攻擊以致持卡人資
料外洩,其符合性要求等級將會被提高(相關
細節請參閱 Visa 國際組織 AIS 網頁的說明)。
MasterCard國際組織的SDP類似Visa國
際組織的 AIS 或 CISP,也是以 PCI DSS 為基
準,對於服務供應商或商店的分級與要求也幾
乎一致(讀者如有興趣可查閱相關網頁或文
件)。
五、PCI DSS 實地查核
依據 Visa 國際組織之分類,財金資訊公司
(以下稱財金公司)屬上一節介紹的第三方
VisaNet Processors 服務供應商,每年必須由
PCI SSC 認可之 QSA,針對 PCI DSS 安全要
求的符合性進行實地查核。以下係依據財金公
司歷年實務經驗,說明實地查核的作業流程:
(一) 選擇合格評核機構
選擇 QSA 是 PCI DSS 實地查核作業的首
要之務,PCI SSC 官方網站(https://www.
pcisecuritystandards.org/approved_compani
es_providers/qsa_companies.php)列有 QSA
相關資訊,可依據公司名稱、地點、國家、服
務區域及支援語言等各種搜尋條件(如圖 1 所
示),迅速找尋最合適的 QSA。
圖 1 PCI SSC 網站的 QSA 查詢網頁
72 財金資訊季刊∕No.74∕2013.04
資訊分享│支付卡產業資料安全標準(PCI DSS)之探討及實地查核分享
選定 QSA 後,須確認其查核人員是否合
格。除可要求QSA提供查核人員的合格證書(如
圖 2 所示),亦可利用 PCI SSC 官方網頁
(https://www.pcisecuritystandards.org/approved_
companies_providers/verify_qsa_employee.php)
,輸入公司名稱、姓氏或證書號碼,查詢相關
人員是否取得有效的合格證書。
圖 2 PCI SSC 查核人員的合格證書
(二) 時程安排與資料準備
PCI DSS 實地查核針對 12 項安全要求須
進行多達 288 項的檢測程序,且查核範圍可能
跨不同部門,通常須安排一星期的查核期間。
為了使查核作業能順利進行,事前的時程安排
及資料準備十分重要。
以財金公司為例,依 Visa 國際組織規定,
每年 9 月底前須提交 PCI DSS 實地查核之符
合性報告(Report on Compliance,簡稱 ROC)
及符合性聲明(Attestation of Compliance,簡
稱 AOC),因此下列作業項目的時程安排,應
以能及時提交報告為前提:
1. 查核啟始會議
2. 實地查核
3. 撰寫查核報告
4. 提交 ROC 及 AOC
接受實地查核事前應準備之資料包含:
1. 支付卡業務範圍的網路架構圖
2. 持卡人資料流向圖
3. 資訊安全政策及執行程序等相關文件
4. 支付卡業務範圍的軟硬體設備清單
5. 支付卡業務的應用系統清單
6. 支付卡業務的資料儲存清單
7. 內部網路區段資料
8. 每季內部及外部弱點掃描報告(最近四次)
9. 網路及應用系統滲透測試報告(最近一次)
10. 無線網路掃描報告
依據 PCI DSS 第 2.0 版的規定,受查單位
每年接受實地查核前,至少須進行一次檢查範
圍的界定,也就是明確指出涉及持卡人資料處
理或儲存的所有系統元件,包含網路設備、伺
服器及應用程式等,以確認相關系統元件均涵
蓋在查核範圍內。近年來虛擬化技術盛行,若
應用於持卡人資料的處理或儲存,其相關系統
元件(如:虛擬主機、虛擬路由器、虛擬設備
及 hypervisors 等)也應列入查核範圍。
依據 PCI DSS 要求 6,受查單位每季須由
ASV 進行外部弱點掃瞄,而且最終結果必須
是通過(PASS),不可以存留任何高風險的
弱點,亦即依業界標準 Common Vulnerability
Scoring System (CVSS) 所定義,基準分
(base score)達 4.0(含)以上的弱點。因此,
每季完成弱點掃描後,應及時安排弱點修正,
直接於目標系統上進行更新,或透過其他防護
機制補強,將風險降至最低,且應儘快安排複
測,以確認修正後之掃瞄結果符合要求。
(三) 配合實地查核作業
PCI DSS 實地查核的訪談對象包含資
訊、安全、系統、網路及人力資源等相關人員,
www.fisc.com.tw 73
支付卡產業資料安全標準(PCI DSS)之探討及實地查核分享│資訊分享
依各受查單位的組織分工而異。受查單位可事
先檢視 PCI DSS 要求的細項內容,以確定負責
的對應單位,並指派聯繫窗口,提供查核人員
參考,俾利查核作業之進行。
(四) 實地查核報告產出
QSA 完成實地查核後所撰寫的符合性報
告(ROC),內容包含以下 6 大章節:
1. Executive Summary:說明受查單位之支
付卡業務內容,以及持卡人資料作業環境
相關重要元件的高階網路架構圖。
2. Description of Scope of Work and Approach
Taken:說明查核範圍與方式,包含作業
環境、網路區隔、抽樣細節、PCI DSS 版
本及可能影響持卡人資料安全的無線網路
或無線支付應用程式等。
3. Details about Reviewed Environment:詳
細說明受查環境,包含網路架構圖、持卡
人資料的作業環境與相關軟硬體清單、接
受訪談的人員名單、曾經檢視的文件清單
等。
4. Contact Information and Report Date:說
明受查單位的聯絡資訊、查核期間與報告
日期。
5. Quarterly Scan Results:摘要說明最近四
次 ASV 進行弱點掃描的結果。
6. Findings and Observations:說明本次查核
的發現事項,包含不適用(N/A)及補償
性控制措施。而受查單位的終極目標,當
然是希望所有 PCI DSS 要求細項的查核
結果都能落在合規(In Place)的欄位中。
實地查核報告的提交方式,依各支付卡組
織的規定辦理。依 Visa 國際組織規定,財金公
司僅須提供符合性聲明及符合性報告的第 1、2
章即可,惟 Visa 國際組織仍保留調閱完整查核
報告的權利。
六、結語
PCI DSS 係以保護持卡人資料安全為出
發點,目標非常明確,各項安全要求亦相當務
實。而經由 QSA 每年進行 PCI DSS 實地查
核,定期檢視相關安全措施是否合宜,除符合
支付卡組織的要求外,亦可提升保護持卡人資
料安全的信心與實作。對於其他應用系統,各
單位也可以適度選擇 PCI DSS 部分項目做為
安全要求事項,以提升整體系統安全。
參考文獻∕資料來源
1. Payment Card Industry (PCI) Data Security Standard --
PCI DSS Requirements and Security Assessment
Procedures V2.0, PCI Security Standards Council,
2010.
2. PCI DSS Quick Reference Guide, PCI Security
Standards Council, 2010.
3. http://www.visa-asia.com/ap/tw/merchants/riskmgmt/
ais.shtml,Visa 帳戶資料安全 (AIS)。
4. 財金資訊季刊第 65 期,日本支付卡產業資料安
全標準(PCI DSS)發展現況。
5. 財金資訊季刊第 67 期,支付卡產業資料安全標
準(PCI DSS)第 2.0 版更新解析。
