Navigating_DSS_v20_final_10_20_2010_ZH-TW

Size: px

Start display at page:

Download "Navigating_DSS_v20_final_10_20_2010_ZH-TW"

赞咸
3 years ago
Views:

1 支付卡行業 (PCI) 資料安全標準導覽 PCI DSS 理解資料安全之目的 2.0 版 2010 年 10 月

2 文件變更記錄日期版本描述 2008 年 10 月 1 日 1.2 版根據新的 PCI DSS v1.2 調整相關內容, 並實施自原始 v1.1 以來所註明的次要變更 2010 年 10 月 28 日 2.0 版根據新的 PCI DSS v2.0 調整相關内容第 2 頁

3 目錄文件變更記錄...2 序言...5 虛擬化... 6 持卡人資料與敏感驗證資料元素...7 持卡人資料與敏感驗證資料的位置... 9 磁軌 1 與磁軌 2 資料 PCI 資料安全標準相關與 2 的 : 建立與維護安全網路 : 安裝與維護防火牆設定以保護持卡人資料 : 對於系統密碼及其他安全參數, 請勿使用供應商提供的預設值與 4 的 : 保護持卡人資料 : 保護儲存的持卡人資料 : 在開放型的公共網路中傳輸持卡人資料時會加密與 6 的 : 維護漏洞管理程式 : 使用並定期更新殺毒軟體或程式 : 開發並維護安全系統和應用程式與 9 的 : 實施嚴格的存取控制措施 : 限制為只有業務需要知道的人才能存取持卡人資料 : 為具有電腦存取權的每個人指定唯一的 ID : 限制對持卡人資料的實際存取與 11 的 : 定期監控並測試網路 : 追蹤並監控對網路資源及持卡人資料的所有存取 : 定期測試安全系統和程序的 : 維護資訊安全政策 : 維護處理適用於所有員工之資訊安全的政策第 3 頁

4 A.1 的 : 對共同託管服務提供商的其他 PCI DSS...48 附錄 A: PCI 資料安全標準 : 相關文件...49 第 4 頁

5 序言本文件介紹了 12 項支付卡行業資料安全標準 (PCI DSS), 以及解釋各項之目的的本文件意在為商戶服務提供商和金融機構提供協助, 以便其加深對支付卡行業資料安全標準的理解, 更深入知悉標準詳細的特定涵義和目的, 有效保護系統元件 ( 伺服器網路應用程式等 ) 的安全支援持卡人資料環境註 : 導覽 PCI DSS: 理解資料安全的目的僅可作僅可作爲指導指導完成 PCI DSS 綫上評估或自我評估調查問卷 (SAQ) 時, PCI DSS 和安全評估程序和 PCI DSS 自我評估調查問卷 2.0 將作為記錄文件將作為記錄文件 PCI DSS 適用於所有系統元件 PCI DSS 内的系統元件定義為包含於或連接至持卡人資料環境內的任何網路元件伺服器或應用程式系統元件還包括所有虛擬元件, 例如虛擬機虛擬交換機 / 路由器虛擬設備虛擬應用程式 / 桌面和 Hypervisor 持卡人資料環境由人員程序以及儲存處理或傳輸持卡人資料或敏感驗證資料的技術構成網路元件包括但不限於防火牆交換機路由器無線存取點網路裝置和其他安全裝置伺服器類型包括但不限於以下類型 :Web 應用程式資料庫驗證郵件代理網路時間協定 (NTP) 和網域名稱伺服器 (DNS) 應用程式包括但不限於所有購買的和自訂的應用程式, 包括內部與外部 ( 例如網際網路 ) 應用程式 PCI DSS 評估的第一步是精確確定審查的範疇接受評估的實體必須確定持卡人資料的所有位置與流量並確保其包含在 PCI DSS 範疇之内, 以確認 PCI DSS 範疇的精確度, 此事每年至少要做一次且須在年度評估之前完成為確認 PCI DSS 範疇的精確度與適當性, 須執行以下各項 : 接受評估的實體確定並記錄存在於環境内的所有持卡人資料, 確認沒有持卡人資料位於目前定義之持卡人資料環境 (CDE) 之外一旦確定並記錄持卡人資料的所有位置, 則實體會利用相關結果確認 PCI DSS 範疇是適當的 ( 例如, 此處所指結果可能是持卡人資料位置圖表或詳細目錄 ) 實體可認爲任何發現的持卡人資料位於 PCI DSS 評估範疇之内並且是 CDE 的一部分, 除非此類資料被刪除或被遷移 / 併入當前定義的 CDE 實體保留顯示如何確認 PCI DSS 範疇以及相關結果的文件, 以便在下次年度 PCI DSS 範疇確認過程中供評估者審查及 / 或參考將持卡人資料環境進行網路區段劃分或與公司或實體網路提醒隔離 ( 區段劃分 ) 不是一項 PCI DSS 然而, 強烈建議將此作爲一種處理方法, 借以縮小持卡人資料環境的範疇合格安全性評估機構 (QSA) 可協助確定實體的持卡人資料環境範疇, 並為如何透過實施適當的網路區段劃分縮小 PCI DSS 評估的範疇提供指導如果公司在具體實施方案是否與此標準相符或是否符合某一特定方面存在疑問,PCI SSC 建議其諮詢合格安全評估機構 (QSA), 以對其技術與程序實施活動以及是否符合 PCI 資料安全標準進行驗證 QSA 在處理複雜的網路環境方面擁有豐富的專業知識和經驗, 可為希望達到合規的商戶或服務提供商提供最佳實務與指導 PCI SSC 合格安全性評估商清單可以從以下網站找到 : 第 5 頁

6 虛擬化如果實施虛擬化, 則應識別虛擬環境内的所有元件並將其納入審查範疇内, 這些元件包括單個虛擬主機或裝置客機應用程式管理介面中央管理主控台和 Hypervisor 等所有主機内部通訊和資料流, 以及虛擬元件和其他系統元件之間的通訊和資料流必須加以識別和記錄實施虛擬化環境必須符合所有的目的, 以便虛擬化系統可被有效視爲獨立的硬體例如, 必須對功能進行清晰的區段劃分, 不同安全層級的網路必須隔離 ; 區段劃分應防止共用生産和測試 / 開發環境 ; 虛擬設定必須嚴加保護, 以使一項功能出現漏洞不會影響其他功能的安全 ; 不應讓任何虛擬執行個體都可存取連結裝置, 如 USB/ 序列裝置此外, 應將所有虛擬管理介面協定納入系統文件, 並明確定義角色和權限, 以便管理虛擬網路和虛擬系統元件虛擬化平台必須能分別分離職責和最小權限, 並可將虛擬網路管理和虛擬伺服器管理分離開實施驗證控制時, 須給予格外注意, 以確保使用者在通過驗證後有權使用正確的虛擬系統元件, 並能區別訪客 VM ( 虛擬機 ) 和 Hypervisor 第 6 頁

7 持卡人資料與敏感驗證資料元素只要對帳戶資料進行儲存處理或傳輸, 則 PCI DSS 適用帳戶資料由持卡人資料和敏感驗證資料組成, 如下所示 : 持卡人資料包括 : 主帳戶 (PAN) 持卡人姓名到期日期業務代碼敏感驗證資料包括 : 晶片上的完整磁條資料或與之相當資料 CAV2/CVC2/CVV2/CID PIN/PIN 區塊主帳戶號碼是 PCI DSS 適用性方面的決定性因素只要儲存處理或傳輸主帳戶號碼 (PAN), 則 PCI DSS 適用如果未儲存處理或傳輸 PAN, 則 PCI DSS 與 PA-DSS 不適用如果持卡人名稱服務代碼及 / 或到期日期透過 PAN 進行儲存處理或傳輸, 或者出現在持卡人資料環境内, 則必須按照所有 PCI DSS 保護這些資料, 但僅適用於 PAN 的 3.3 和 3.4 例外 PCI DSS 代表一組最起碼的控制目標, 這些目標可透過地方地區與部門的法律法規得以改善此外, 立法或監管可能需要具體保護個人身份資訊或其他資料元素 ( 例如持卡人姓名 ), 或者定義某個實體有關消費者資訊的披露實務其範例包括有關消費者資料保護隱私身份盜竊或資料安全的立法 PCI DSS 不會取代地方或地區法律政府法規或其他法律規定下表描述了持卡人和敏感驗證資料的常用元素, 是否可儲存儲存此類資料元素, 以及是否必須保護保護每個資料元素此表並非十分詳盡, 但足以說明套用於各個資料元素的不同類型第 7 頁

8 帳戶資料持卡人資料允許儲存按照 3.4 使儲存的帳戶資資料元素料不可讀主帳戶 (PAN) 是是持卡人姓名是否業務代碼是否到期日期是否完整磁條資料 2 否按照 3.2 無法儲存敏感驗證資料 1 CAV2/CVC2/CVV2/CID 否按照 3.2 無法儲存 PIN/PIN 區塊否按照 3.2 無法儲存 PCI DSS 3.3 和 3.4 僅適用於 PAN 如果 PAN 與持卡人資料的其他元素一起儲存, 則必須按照 PCI DSS 3.4 僅使 PAN 不可讀 PCI DSS 僅在儲存處理及 / 或傳輸 PAN 時適用 1 2 授權後不得儲存敏感驗證資料 ( 即便已經加密 ) 磁條中的完整磁軌資料, 晶片上或其他來源的相當資料第 8 頁

9 持卡人資料與敏感驗證資料的位置敏感驗證資料由磁條 ( 或磁軌 ) 資料構成 3 4 卡驗證碼或值和 PIN 資料 5 嚴禁儲存敏感驗證資料! 此類資料對於懷有惡意的人員非常有用, 因為他們可用這些資料偽造支付卡並進行欺詐性交易請參閲 PCI DSS 與 PA-DSS 術語縮寫和首字縮寫, 瞭解敏感驗證資料的完整定義以下是信用卡的正面和背面圖片, 顯示了持卡人資料和敏感驗證資料的位置註 : 晶片包含磁軌相當資料和其他敏感驗證資料, 包括整合式電路 (IC) 晶片卡驗證值 ( 也被稱爲晶片 CVC icvv CAV3 或 icsc) 3 磁條中編碼的資料, 用於在出示實卡的交易過程中進行授權此類資料也可在晶片或卡上其他地方找到授權之後, 機構可能不會保留完整的磁條資料磁軌資料中可能會保留下來的唯一元素是主帳戶號碼持卡人姓名失效期和業務代碼 4 印在支付卡簽名條上或右側或印在支付卡正面的三到四位的數值, 用於驗證不出示實卡的交易 5 由持卡人在出示實卡的交易過程中輸入的個人識別碼, 和 / 或出現在交易訊息中的經加密的 PIN 區塊第 9 頁

1 與磁軌 2 的所有欄最長 79 個字元使用舊式撥號傳輸時, 處理時間縮短最長 40 個字元註 : 判別性資料欄由卡簽發者及 / 或支付品牌定義如果簽發者定義欄包含不被簽發者 /

10 磁軌 1 與磁軌 2 資料如果將完整磁軌 ( 磁軌 1 或磁軌 2, 可能位於磁條中晶片上的磁條映像中或其他位置 ) 資料儲存, 則懷有惡意的人員可能利用獲得的這些資料重製支付卡, 並在全球銷售儲存完整磁軌資料也違反了各種支付品牌的營運規定, 並可能會面臨罰款和處罰下圖提供了關於磁軌 1 和磁軌 2 資料的資訊, 描述了兩者之間的差異, 並顯示了儲存在詞條内的資料的配置磁軌 1 磁軌 2 包含磁軌 1 與磁軌 2 的所有欄最長 79 個字元使用舊式撥號傳輸時, 處理時間縮短最長 40 個字元註 : 判別性資料欄由卡簽發者及 / 或支付品牌定義如果簽發者定義欄包含不被簽發者 / 支付品牌視爲敏感驗證資料的資料, 則其可納入磁軌的判別性資料部分, 並且在簽發者及 / 或支付品牌定義的具體情況和條件下可以儲存此類特定資料但是, 不得在授權之後儲存任何被視爲敏感驗證資料的資料, 無論其是否包含在判別性資料欄或其他地方第 10 頁

11 PCI 資料安全標準相關建立並維護安全網路 1: 2: 安裝與維護防火牆設定以保護持卡人資料對於系統密碼及其他安全參數, 請勿使用供應商提供的預設值保護持卡人資料 3: 4: 保護儲存的持卡人資料加密透過開放的公用網路傳輸的持卡人資料維護漏洞管理程式 5: 6: 使用並定期更新防毒軟體或程式開發並維護安全系統和應用程式實施嚴格的存取控制措施 7: 8: 9: 根據業務需要限制對持卡人資料的存取為具有電腦存取權的每個人指定唯一的 ID 限制對持卡人資料的實際存取定期監控並測試網路 10: 11: 追蹤並監控對網路資源及持卡人資料的所有存取定期測試安全系統和程序維護資訊安全政策 12: 維護確保適用於所有員工的資訊安全政策第 11 頁

12 1 與 2 的 : 建立與維護安全網路 1: 安裝與維護防火牆設定以保護持卡人資料防火牆是一種電腦裝置, 用以控制實體網路 ( 內部 ) 與不受信任網路 ( 外部 ) 之間的電腦流量, 以及進出實體內部可信網路中較敏感區域的流量持卡人資料環境便是實體可信網路中的一個較敏感區域防火牆負責檢查所有網路流量, 並阻止那些不符合特定安全標準的傳輸活動所有系統必須獲得適當的保護, 以防止不受信任網路進行未經授權的存取, 例如以電子商務的形式透過網際網路進入系統, 員工透過桌面瀏覽器進行基於網際網路的存取, 員工透過無線網路或其他方式進行電子郵件存取或專用連接 ( 例如企業至企業的連接 ) 通常看似無關緊要進出不受信任網路的途徑都可能成為關鍵系統的未保護入口防火牆是所有電腦網路的關鍵保護機制如果達到 1 規定之防火墻的最起碼, 則其他系統元件可以提供防火墻功能如果在持卡人資料環境内使用其他系統元件提供防火墻功能, 則這些裝置必須納入 1 的範疇與評估内容之中 1.1 建立如下所述的防火牆和路由器設定標準 : 防火墻和路由器是控制資料進出網路之結構的關鍵元件這些裝置可以是軟體或硬體, 用以阻止不希望的存取和管理授權的網路存取如果沒有關於員工應如何設定防火牆與路由器的政策和程序, 企業在資料保護方面的第一道防線可能會被輕易打破這些政策和程序有助於確保組織的第一道資料保護防綫堅不可摧如在虛擬環境中, 資料流不傳輸實體網路, 則其應接受評估, 以確保實現適當的網路區段劃分核准與測試所有外部網路連接以及防火牆與路由器設定變更的正式程序制定並實施用以核准與測試所有連接以及防火牆與路由器變更的政策和程序, 將有助防止由網路路由器或防火牆錯誤設定導致的安全問題虛擬機之間的資料流應包括在政策和程序之中目前所有與持卡人資料連接的網路圖, 包括任何無線網路網路圖可促使組織識別所有網路裝置的位置此外, 網路圖可用於繪製網路内部以及單個裝置之間持卡人資料的資料流圖表, 以便充分了解持卡人資料環境的範疇如果沒有最新的網路圖和資料流圖表, 則帶有持卡人資料的裝置可能會被被忽略, 並在不知情的狀況下失去 PCI DSS 安全控制層的保護, 因而易遭受威脅網路圖和資料流圖表應包括虛擬系統元件, 同時記錄主機内部資料流在各網際網路連接以及在非軍事區域 (DMZ) 和內部網路區域之間建立防火牆描述網路元件邏輯管理的團隊角色和責任在進出網路的每個連接處建立防火墻可讓組織監控進出網路的存取, 最大程度降低惡意之人存取内部網路的機會描述角色和責任的分配可確保明確分配相關人員在所有元件安全方面的責任, 並明悉自己的職責, 使所有裝置都能得到妥善管理第 12 頁

13 1.1.5 使用所允許的各項服務通訊協定和連接埠的文件及商業論證, 包括為被視為非安全的通訊協定實施的安全功能文件非安全服務通訊協定和連接埠的範例包括但不限於 FTP Telnet POP3 IMAP 和 SNMP 至少每六個月對防火牆和路由器規則集進行一次審查威脅常常是由未使用的或非安全的服務及連接埠引發的, 因為這些服務及連接埠通常存在已知的漏洞許多組織由於未對他們不使用的服務通訊協定與連接埠進行安全漏洞的修補 ( 即便這些漏洞仍然存在 ), 因而極易遭受此類威脅每個組織都應清楚確定哪些服務通訊協定和連接埠對於其業務是必要的, 隨後詳細記錄在案, 並確保所有其他服務通訊協定和連接埠被停用或移除組織還應考慮阻止所有流量, 並僅在確定並記錄需求之後重新開放這些連接埠此外, 公司可能需要 ( 或已預設啓用 ) 的衆多服務通訊協定和連接埠通常會被惡意之人用來攻擊網路如果這些不安全的服務通訊協定和連接埠對於業務是必要的, 則組織必須清楚瞭解和接受這些通訊協定的使用所產生的安全風險, 並對通訊協定的使用加以論證, 且記錄和實施用以確保這些通訊協定的安全功能如果這些不安全的服務通訊協定和連接埠對於業務並非是必要的, 則應停用或移除此項審查為組織提供了一個機會, 令其至少每六個月可清除一次任何不需要的過期或錯誤的規則, 並確保所有規則集僅允許使用符合業務論證的授權服務和連接埠建議增加此類審查的頻率, 例如每月一次, 以確保規則集能夠保持時效性, 與業務需求相匹配, 而不會引發安全漏洞和不必要的風險 1.2 建立防火牆設定, 用以限制持卡人資料環境中不受信任網路和任何系統元件之間的連接註 : 不受信任網路是指在接受審查的實體網路之外的任何網路, 和 / 或實體無法控制或管理的任何網路關鍵是在内部受信任網路和和任何其他不受信任網路 ( 外部網路和 / 或不屬於實體控制或管理範圍內的網路 ) 之間安裝網路保護, 即具備 ( 最起碼的 ) 狀態檢查防火墻能力的系統元件未正確執行此項措施意味著實體將易受惡意之人或軟體未經授權的存取攻擊如果防火墻功能已安裝但卻未設定控制或限制某些流量的規則, 則惡意之人仍能利用存在漏洞的通訊協定和連接埠, 攻擊組織的網路根據持卡人資料環境的需要限制輸入和輸出流量此旨在防止惡意之人透過未經授權的 IP 位址存取組織的網路, 或者以未經授權的方式使用服務通訊協定或連接埠 ( 例如, 將從組織網路内獲取的資料傳送至外部不受信任伺服器所有防火牆均應設定一項規則, 即拒絕所有不必要的輸入和輸出流量這可防止由於疏忽而產生的漏洞, 阻止其他不必要的甚至可能造成危害的輸入或輸出流量保護並同步處理路由器設定檔案雖然執行設定檔案通常是在安全設定下實施的, 但是啓動檔案 ( 路由器僅在重新啓動時執行這些檔案 ) 由於僅偶爾執行, 所以可能不會在相同安全設定下實施當路由器重新啟動時的安全設定與執行設定檔時的安全設定不同時, 則啓動檔案可能不會在與執行設定檔案相同的安全設定下實施, 這將導致規則弱化, 讓惡意之人有機會進入網路第 13 頁

14 1.2.3 在任何無線網路和持卡人資料環境之間安裝週邊防火牆, 並且將這些防火牆設定為禁止或控制從無線環境流入持卡人資料環境的任何流量 ( 如果此類流量是因為業務需要而產生的 ) 1.3 禁止網際網路和持卡人資料環境中系統元件之間的直接公共存取實施 DMZ 以限制輸入流量, 使其僅能進入可提供授權服務通訊協定和連接埠的系統元件以已知 ( 或未知 ) 的方式實施和利用網路内的無綫技術是惡意之人進入網路並存取持卡人資料的常用方法如果公司對於無綫裝置或網路的安裝不知情, 則惡意之人可能會輕易且隱身地進入網路如果防火墻未對從無綫網路進入支付卡環境加以限制, 則未經授權即可存取無綫網路的惡意之人可輕鬆接入支付卡環境, 盜用帳戶資訊所有無綫網路和 CDE 之間必須安裝防火墻, 不論無綫網路連接資料環境的目的為何這可能包括但不限於公司網路零售商店和倉儲環境等防火墻的安裝旨在管理和控制公共系統和内部系統 ( 尤其是儲存處理或傳輸持卡人資料的系統 ) 之間的所有連接如果允許公共系統和 CDE 之間的直接存取, 則防火墻提供的保護會形同虛設, 儲存持卡人資料的系統元件可能會受到攻擊 DMZ 是網路的重要構成部分, 管理網際網路 ( 或其他不受信任網路 ) 和組織需向公眾提供的内部服務 ( 例如網路伺服器 ) 之間的連接它是隔離和分離需要與内部網路通訊的流量和不需要與内部網路通訊的流量的第一道防綫此功能旨在防止惡意之人透過未經授權的 IP 位址或以未經授權的方式使用服務通訊協定或連接埠存取組織的網路限制進入 DMZ 內部 IP 位址的網際網路流量不允許網際網路和持卡人資料環境之間的輸入和輸出流量進行任何直接連接不允許內部位址透過網際網路進入 DMZ 終止 DMZ 的 IP 連接使檢查和限制來源 / 目的地, 及 / 或檢查 / 阻止内容成為可能, 繼而防止不受信任環境和受信任環境之間出現未經過濾的存取終止輸入和輸出的 IP 連接使檢查和限制來源 / 目的地, 及 / 或檢查 / 阻止内容成為可能, 繼而防止不受信任環境和受信任環境之間出現未經過濾的存取例如, 這有助於防止惡意之人將其從組織網路内獲取的資料傳送至外部不受信任網路内的不受信任伺服器正常情況下, 封包中包含原始傳送該封包的電腦的 IP 位址這使得網路中的其他電腦可以獲知該封包來自何處某些情況下, 惡意之人員會利用此傳送 IP 位址進行詐騙例如, 惡意之人會傳送一個帶有欺騙性位址的封包, 因此封包能夠透過網際網路進入您的網路 ( 除非您的防火墻禁止 ), 因為它看起來就是内部合法流量一旦惡意之人進入您的網路, 他們便可以開始攻擊您的系統您可以在防火墻上使用入口過濾技術過濾進入網路的封包, 以排除那些經過偽裝看起來像是來自您自己內部網路的封包有關封包過濾的更多資訊, 請查詢配套技術出口過濾的相關資訊第 14 頁

15 1.3.5 切勿讓未經授權的輸出流量從持卡人資料環境流向網際網路所有自持卡人資料輸出的流量均須接受評估, 以確保輸出流量遵循既定的和獲得授權的規則連接亦須接受檢查, 以使流量僅限用於獲得授權的通訊 ( 例如限制來源 / 目的地位址 / 連接埠及 / 或阻止内容 ) 如果環境不允許輸入連接, 則可透過中斷並檢查 IP 連接的架構或系統實現輸出連接實施狀態檢查, 亦稱為動態封包過濾 ( 即僅既定的連接才允許進入網路 ) 妥善放置儲存持卡人資料 ( 例如資料庫 ) 的系統元件到内部網路區域内, 並且與 DMZ 和其他不受信任網路隔離開來切勿透露私人 IP 位址和路由資訊給未授權方註 : 掩蓋 IP 位址的方法包括但不限於 : 網路位址轉換 (NAT) 將包含持卡人資料的伺服器放置到代理伺服器 / 防火墻或内容快取區之後, 移除或過濾那些使用註冊位址的專用網路路由廣告, 内部使用 RFC1918 位址空間, 而不是註冊位址執行狀態封包檢查的防火牆可保持每次連至防火墻的連接狀態透過保持狀態, 防火墻可知道針對以前連接的回應到底是真實的回應 ( 因爲它記得以前的連接 ), 抑或是惡意之人或軟體試圖戲弄或欺騙防火墻, 使之允許連接持卡人資料需要獲得最高級別的資訊保護如果持卡人資料位於 DMZ 内, 則存取此類資訊對於外部攻擊者而言更容易, 因爲需要穿透的保護層更少註 : 此的目的不包括在動態記憶體内儲存資料限制 IP 位址的廣播對於防止駭客學習内部網路的 IP 位址並使用該資訊存取網路至關重要滿足此目的的有效方法可能有所差異, 具體取決於您所在環境採用的特定網路技術例如,IPv4 網路用於滿足此的控制措施可能不同於 IPv6 網路防止 IP 位址資訊在 IPv4 網路上洩露的一種技術是實施網路位址轉換 (NAT) NAT 通常由防火墻管理, 可允許組織建立僅網路内部可見的内部位址以及僅外部可見的外部位址如果防火墻未隱藏或遮蓋内部網路的 IP 位址, 則惡意之人可能會找到内部 IP 位址, 並嘗試使用欺騙性 IP 位址存取網路對於 IPv4 網路而言,RFC1918 位址空間須保留用於内部位址設定, 不應允許在網際網路上路由因此, 它是内部網路 IP 位址設定的首選當然, 組織亦可利用内部網路上的非 RFC1918 位址空間在這些環境中, 防止路由廣告技術或其他相關技術應用於防止在網際網路上廣播或透露内部位址空間給未經授權方 1.4 在所有直接連接至網際網路的用於存取組織網路的行動電腦和 / 或員工擁有的電腦 ( 例如員工使用的膝上型電腦 ) 上安裝個人防火牆軟體如果電腦沒有安裝防火墻或殺毒程式, 可能會在不知不覺中下載及 / 或安裝間諜軟體木馬病毒蠕蟲和 rootki ( 惡意程式碼 ) 電腦在直接連至網際網路且未安裝公司防火墻時更容易受到攻擊在電腦重新連接至公司網路時, 之前因為未安裝公司防火墻而下載的惡意程式碼會惡意破壞網路内的資訊註 : 此的目的適用於任何遠端存取電腦, 不論它們是否為員工自有或公司所有公司政策無法管理的系統會給周邊網路帶來安全性弱點, 並為惡意之人提供可以利用的機會第 15 頁

16 2: 對於系統密碼及其他安全參數, 請勿使用供應商提供的預設值惡意之人 ( 實體外部和內部 ) 通常使用供應商預設密碼和其他供應商預設設定來危害系統這些密碼和設定為駭客團隊所熟知, 並且容易透過公開資訊判斷得出 2.1 在網路上安裝系統之前, 務必變更供應商提供的預設設定, 包括但不限於密碼簡單網路管理協定 (SNMP) 社群字串, 並刪除不必要的帳戶對於連接到持卡人資料環境或傳輸持卡人資料的無線環境, 變更無線供應商預設設定, 包括但不局限於預設無線加密金鑰密碼和 SNMP 社群字串 2.2 制定所有系統元件的設定標準確保這些標準解決了所有已知的安全漏洞, 並且符合行業接受的系統安全標準行業認可的系統強化標準的來源包括但不限於 : 網際網路安全中心 (CIS) 國際標準組織 (ISO) 系統管理員稽核網路安全 (SANS) 美國國家標準技術研究所 (NIST) 惡意之人 ( 實體外部和內部 ) 通常使用供應商預設設定帳戶名稱和密碼來危害系統這些設定常被駭客們熟知並利用, 因此會使您的系統極易遭受攻擊衆多使用者在未得到管理層核准的情況下安裝這些裝置, 卻沒有變更預設設定或進行安全設定如果無綫網路未在足夠安全的設定下 ( 包括變更預設設定 ) 實施, 則無綫探嗅器會淩駕在流量之上, 輕易擷取資料和密碼, 進入並攻擊您的網路此外, 舊版 x 加密 (WEP) 的金鑰交換協定已廢除, 致使加密變得無用確認裝置的韌體已及時更新, 支援更安全的通訊協定 ( 例如 WPA2) 衆多作業系統資料庫和企業應用程式均存在已知的弱點, 設定這些系統修復安全漏洞的已知方法也非常多為協助並非安全專家之人, 安全組織已制定系統強化建議, 詳細闡述如何更正這些弱點如果系統存在這些弱點, 例如保護較弱檔案設定或預設服務和通訊協定 ( 對於通常不需要的服務或通訊協定 ), 則攻擊者能夠使用多種已知的惡意入侵程式攻擊存在漏洞的服務和通訊協定, 存取您的組織網路欲瞭解更多有關實施設定標準的行業最佳實務資訊, 請造訪下列資源網站 : 系統設定標準還必須及時更新, 以確保新識別的弱點在系統安裝到網路之前得以更正第 16 頁

17 2.2.1 每台伺服器僅實施一項主要功能, 以防止不同安全等級的功能在相同伺服器上共存 ( 例如,Web 伺服器資料庫伺服器和 DNS 應該分別在獨立的伺服器上實施 ) 註 : 如果使用虛擬技術, 則每個虛擬系統元件僅實施一項主要功能確保組織的系統設定標準和相關程序能夠滿足伺服器功能對不同安全等級的, 或解決伺服器功能中可能給同一伺服器上的其他功能構成安全威脅的問題例如 : 1. 需要實施嚴格安全措施的資料庫在與 Web 應用程式共用伺服器時, 需要公開並直接面向網際網路, 因此會使資料庫面臨風險 2. 雖然某些功能看起來不重要, 但如果未能對其進行修補, 則可能導致對同一伺服器上的其他更重要功能 ( 如資料庫 ) 造成破壞此適用於持卡人資料環境内的所有伺服器 ( 通常是基於 Unix Linux 或 Windows 的伺服器 ) 此可能不適用於能夠在單台伺服器 ( 例如大型主機 ) 上自然實施安全等級的系統如果使用虛擬化技術, 則每個虛擬元件 ( 例如虛擬機虛擬交換機虛擬安全設備等 ) 應被視爲伺服器界限單個 Hypervisor 可以支援不同的功能, 但單個虛擬機應遵循一個主要功能規則此時, Hypervisor 的漏洞會造成所有系統功能均出現漏洞因此, 在單個實體系統上尋找多個功能或元件時還應考慮風險等級僅啓用系統功能需要的必需且安全的服務通訊協定和守護程序等對任何被視爲不安全的必要服務通訊協定或守護程序實施安全功能例如, 使用諸如 SSH S-FTP SSL 或 IPSec VPN 等安全技術, 保護諸如 NetBIOS 檔案共用 Telnet FTP 等不安全服務正如所述, 企業可能需要 ( 或已預設啓用 ) 許多通訊協定, 而惡意之人通常也會使用這些通訊協定來攻擊網路為確保僅啓用必要服務和通訊協定, 以及所有不安全的服務和通訊協定在新伺服器部署之前得到足夠的安全保護, 此應成爲組織設定標準和相關程序的一部分設定系統安全參數以防止濫用這旨在確保組織的系統設定標準和相關程序可專門解決那些包含已知安全隱患的安全設定和參數移動除所有不必要的功能, 例如指令碼驅動程式功能子系統檔案系統和不必要的 Web 伺服器 2.3 使用強效加密對所有非主控台管理的存取進行加密對於基於 Web 的管理和其他非控制台管理存取使用諸如 SSH VPN 或 SSL/TLS 等技術 2.4 共用託管提供商必須保護每個實體的託管環境和持卡人資料這些提供商必須滿足附錄 A: 針對共用託管提供商的額外 PCI DSS 中詳細規定的具體伺服器強化標準必須包括相關程序, 以處理帶有特定安全隱患的非必要功能 ( 例如, 如果伺服器未能執行這些功能, 則移除 / 停用 FTP 或網路伺服器 ) 如果遠端管理未採用安全驗證和加密通訊, 則敏感管理資訊或作業級資訊 ( 如管理員密碼 ) 會洩露給給竊取者惡意之人可能會使用此類資訊存取網路, 偽裝成管理員和竊取資料這可實現託管服務提供商在相同伺服器上為多位客戶提供共用託管環境當所有資料均位於相同伺服器上並受到單一環境控制時, 這些共用伺服器通常不受單個客戶的管理, 允許客戶添加影響所有其他客戶環境安全的不安全功能和指令碼 ; 因此令惡意之人能夠輕易危害客戶的資料並存取所有其他客戶的資料請參閱附錄 A 第 17 頁

18 3 與 4 的 : 保護持卡人資料 3: 保護儲存的持卡人資料保護方法 ( 例如加密截斷遮罩和雜湊等 ) 是持卡人資料保護的關鍵元件如果入侵者規避了其他安全控制措施並存取了加密資料, 但卻沒有正確的加密金鑰, 則其仍無法讀取並使用這些資料其他保護儲存資料的有效方法應視為可能會降低風險的措施例如, 最小化風險的方法包括 : 除非絕對必要否則不儲存持卡人資料, 不需要完整的 PAN 時截斷持卡人資料, 以及不使用電子郵件和即時通訊等終端使用者通訊技術傳送未受保護的 PAN 請參閱 PCI DSS 與 PA-DSS 術語縮寫和首字縮寫中有關強效加密和其他 PCI DSS 術語的定義 3.1 實施資料保留和處理政策和程序, 最低程度地儲存持卡人資料, 如下所示實施包括如下内容的資料保留和處理政策 : 依照法律法規和業務限制資料儲存數量和保留時間安全刪除不再需要之資料的程序持卡人資料的具體保留使用季度自動或手動程序, 確定並安全刪除已儲存但超出定義之保留的持卡人資料正式資料保留政策會識別哪些資料需要保留以及資料存放在何處, 以便不再需要資料時立即將其安全銷毀或刪除為定義適當的保留, 實體首先需瞭解自己的業務需求, 以及適用於其所在行業及 / 或被保留資料類型的任何法律或法規義務過量儲存超出業務需要的持卡人資料會造成不必要的風險在驗證後仍可儲存的持卡人資料僅包括主帳戶號碼, 即 PAN ( 不可讀 ) 到期日期查卡人姓名和業務代碼實施安全刪除方法, 確保資料在其不再需要時不可復原請記住, 不要儲存您不需要的資料! 第 18 頁

19 3.2 切勿在授權後儲存敏感的驗證資料 ( 即使已經加密 ) 敏感驗證資料包括下文至中列舉的資料 : 註 : 如果存在正當業務理由且資料得到安全儲存, 則發卡機構和公司可以支援發行服務, 以儲存敏感驗證資料切勿儲存磁條任意磁軌上的完整內容 ( 卡背面磁條映像上, 晶片中或其他位置 ) 此類資料也可稱為完整磁軌磁軌磁軌 1 磁軌 2 及磁條資料敏感驗證資料由磁條 ( 或磁軌 ) 資料構成 6 7 卡驗證碼或值和 PIN 資料 8 嚴禁儲存敏感驗證資料! 此類資料對懷有惡意的人非常有用, 因為他們可利用其偽造支付卡並實施欺詐性交易請參閲 PCI DSS 與 PA- DSS 術語縮寫和首字縮寫中有關敏感驗證資料的完整定義註 : 如果公司擁有儲存敏感驗證資料的合法業務需求, 則其可以執行促進或支援發卡服務以儲存此類資料值得注意的是, 所有 PCI DSS 均適用於發卡機構, 對於發卡機構和發卡機構處理器而言唯一的例外是, 如果具備正當的理由, 則敏感驗證資料可以保留正當的理由指提供給發卡機構的功能之效能是必要的, 而非僅出於便利任何此類資料必須按照 PCI DSS 和具體的支付品牌安全儲存如果儲存了完整磁軌資料, 則惡意之人會利用獲得的這些資料重製並銷售支付卡註 : 在正常的業務過程中, 可能需要保留以下磁條資料元素 : 持卡人的姓名主帳戶 (PAN) 到期日期業務代碼為將風險降至最低, 只儲存業務所需的資料元素切勿儲存用於驗證離卡交易的卡驗證代碼或值 ( 印在支付卡正面或背面的三或四位數字 ) 卡驗證碼可保護離卡交易網際網路或郵購 / 電話訂購 (MO/TO) 交易消費者和卡不在現場交易類型會在卡所有者提交交易時驗證, 但由於卡所有人持卡在手並可讀取驗證碼數值, 所以僅是詢問該卡驗證碼如果此類受禁止資料因被儲存而遭竊取, 則惡意之人會利用它執行欺詐性網際網路和 MO/TO 交易切勿儲存個人識別碼 (PIN) 或加密的 PIN 區塊這些值僅應為卡所有人或發行卡的銀行知悉如果此類受禁止資料因被儲存而遭竊取, 則惡意之人會利用它執行欺詐性網際網路和 MO/TO 交易 6 磁條中編碼的資料, 用於在出示實卡的交易過程中進行授權此類資料還可見於晶片或卡上其他任何位置實體不得在交易授權後保留完整的磁條資料僅可保留的磁軌資料元素是主帳戶持卡人姓名到期日期與業務代碼 7 印在支付卡簽名條上或右側或印在支付卡正面的三或四位的數值, 用於驗證離卡交易 8 由持卡人在出示實卡的交易過程中輸入的個人識別碼, 和 / 或出現在交易訊息中的經加密的 PIN 區塊第 19 頁

20 3.3 顯示 PAN 時對其進行適當遮罩 ( 最多可顯示前六位與後四位數字 ) 註 : 此不適用於那些因合法業務需要查看完整的 PAN 的員工和其他方如果針對銷售點 (POS) 收據等持卡人資料顯示有更加嚴格的, 則本不會取代此類 3.4 使用以下任何方法使得任何地方儲存的 PAN 實現不可讀性 ( 包括在可攜式數位媒體備份媒體記錄中 ): 基於強效加密的單向雜湊 ( 雜湊必須應用於整個 PAN) 截斷 ( 雜湊不得用於取代 PAN 被截斷的區段 ) 索引權杖與 Pad ( 必須安全地儲存 Pad) 帶有相關金鑰管理程序和過程的強效加密在電腦熒幕支付卡收據傳真或紙質報告上完整顯示 PAN 會導致此類資料被未經授權之人獲取並用作欺詐之用途 PAN 會完整顯示在商戶副本收據上 ; 而紙質收據應遵循與電子副本相同的安全, 並遵守 PCI 資料安全標準, 尤其是有關實體安全的 9 對於因正當業務需求而需察看完整 PAN 的人, 可以顯示完整的 PAN 此涉及保護熒幕和紙質收據等顯示的 PAN, 不可與為保護儲存於檔案資料庫等的 PAN 而設的 3.4 混淆對 PAN 的保護不夠可能導致惡意之人乘機檢視或下載此類資料儲存在主儲存體 ( 資料庫或文字檔案試算表等一般檔案 ) 以及非主儲存體 ( 備份稽核記錄例外或疑難排解記錄 ) 的 PAN 必須嚴加保護透過加密截斷或雜湊等方式確保 PAN 不可讀, 可使因運輸途中備份磁帶遭竊或丟失所導致的損壞得以減輕由於稽核疑難排解和例外記錄必須保留, 因此可以透過使記錄内的 PAN 不可讀 ( 或移除 ) 來防止記錄内資料的洩露惡意之人可使指定 PAN 的雜湊和截斷版本相互實現關聯, 以此輕易取得原始的 PAN 值防止此類資料相互實現關聯的控制措施有助於確保原始的 PAN 維持不可讀性請參閱 PCI DSS 與 PA-DSS 術語縮寫和首字縮寫, 瞭解強效加密的定義註 : 如果可以存取 PAN 的截斷與雜湊版本, 惡意之人可以相對輕鬆地重建原始 PAN 資料凡同一 PAN 的雜湊與截斷版本呈現在實體環境内, 必須採取額外的控制措施以確保雜湊與截斷版本不會被用於重建原始 PAN 基於強效加密的單向雜湊 ( 雜湊必須應用於整個 PAN) 基於強效加密的安全雜湊演算法 (SHA) 等單向雜湊可用於使持卡人資料實現不可讀性當不需要復原原始號碼 ( 單向雜湊不可復原 ) 時, 雜湊功能可適當使用為使彩虹表的建立變得複雜, 建議但不強求輸入 salt 值到雜湊功能以增補 PAN 截斷 ( 雜湊不得用於取代 PAN 被截斷的區段 ) 截斷的目的是為了僅儲存 PAN 的一部分 ( 不超過前六位與後四位數字 ) 這不同於遮罩, 此時會儲存整個 PAN, 但 PAN 在顯示時被遮罩 ( 即僅部分 PAN 顯示在熒幕報告和收據等上面 ) 此涉及保護儲存於檔案資料庫等的 PAN, 並且不可與為保護熒幕和紙質收據等顯示的 PAN 而設的 3.3 混淆第 20 頁

21 索引權杖與 Pad ( 必須安全地儲存 Pad) 索引權杖與 Pad 亦可用於使持卡人資料實現不可讀性索引權杖是一種密碼編譯權杖, 可取代以針對不可預測值的指定索引為基礎的 PAN 一次性 Pad 是一種系統, 其中會隨機產生私人金鑰, 僅可用於一次性加密訊息, 此訊息隨後還會進一步使用匹配的一次性 Pad 和金鑰進行加密帶有相關金鑰管理程序和過程的強效加密如使用了磁碟加密 ( 而不是檔案級或欄級資料庫加密 ), 則對邏輯存取的管理必須獨立於本地作業系統的存取控制機制 ( 例如, 不使用本機使用者帳戶資料庫 ) 解密金鑰決不能與使用者帳戶綁定 3.5 保護任何用於保全持卡人資料以防洩露和濫用的金鑰 : 註 : 此也適用於保護資料加密金鑰的金鑰加密金鑰此類金鑰加密金鑰必須至少與資料加密金鑰同等強效儘量限制僅最少人數的保管人可對加密金鑰進行存取採用儘可能少的位置和形式安全儲存金鑰 3.6 對用於加密包括以下内容之持卡人資料的加密金鑰, 完全記錄並實施所有金鑰管理流程和程序 : 強效加密的目的 ( 參閲 PCI DSS 與 PA-DSS 術語縮寫和首字縮寫的定義和金鑰長度 ) 在於, 加密須基於行業測試並認可的演算法 ( 而非專屬或土生土長的演算法 ) 此的目的在於解決磁碟加密的接受性, 以使持卡人資料實現不可讀性磁碟加密會對儲存在電腦大型儲存裝置的資料進行加密, 並在授權使用者提出時自動加密資訊磁碟加密系統會攔截作業系統讀取和寫入作業, 並執行適當的加密傳輸, 使用者在工作階段之初提供密碼或複雜密碼即可, 無需任何特殊操作基於磁碟加密的這些特性, 並為符合此的規定, 磁碟加密方法無法 : 1) 與作業系統直接相關, 或 2) 解密金鑰與使用者帳戶關聯必須對密碼編譯金鑰進行嚴密保護, 因為能對此類金鑰進行存取的人能夠解密資料如果使用金鑰加密金鑰, 則其必須至少與資料加密金鑰同等強效, 以確保妥善保護加密資料的金鑰以及使用該金鑰加密的資料此項旨在防護金鑰洩露和濫用的適用於資料加密金鑰和金鑰加密金鑰由於一個金鑰加密金鑰可保護衆多資料存取加密金鑰, 因此金鑰加密金鑰強效保護措施金鑰加密金鑰的安全儲存方法包括但不限於硬體安全 (HSM), 還可運用雙重控制和分割知識方法竄改明顯的儲存資料能夠存取密碼編譯金鑰的人應儘量少, 通常僅限具備金鑰保管人責任的人加密金鑰必須安全儲存, 通常使用金鑰加密金鑰對其進行加密, 並儲存在非常有限的若干位置無須在對金鑰加密金鑰進行加密, 但必須按照 3.5 嚴加保護, 防止洩露和濫用將金鑰加密金鑰儲存在實體及 / 或邏輯獨立於資料加密金鑰的位置可有效降低以未授權方式存取金鑰加密金鑰和資料加密金鑰的風險加密金鑰的管理方式是加密解決方案持續安全的關鍵構成部分良好的金鑰管理程序, 無論該程序作爲加密產品構成部分是手動或自動的, 均可依照行業標準處理的所有關鍵元素註 : 可以從各種途徑 ( 包括 NIST) 獲得許多金鑰管理行業標準, 可以存取產生強效加密金鑰加密解決方案必須產生 PCI DSS 與 PA-DSS 術語縮寫和首字縮寫内強效加密章節定義的強效金鑰加密金鑰的安全分發加密解決方案必須安全分發金鑰, 這意味著金鑰不得無限制分發, 僅可分發給確定的管理人員第 21 頁

22 3.6.3 加密金鑰的安全儲存加密解決方案必須安全儲存金鑰, 這意味著金鑰不得無條件儲存 ( 須使用金鑰加密金鑰對其加密 ) 對於完成加密程序之金鑰的加密金鑰變更 ( 例如, 特定期限之後及 / 或特定金鑰產生特定數量的密碼文字之後 ), 必須依照相關應用程式供應商或金鑰所有者的定義並基於行業最佳實務與實施此變更 ( 例如,NIST 特別出版物 ) 加密週期是指特定加密金鑰用於其定義的目的之時間跨度定義加密週期的考量因素包括但不限於基礎演算法的強度金鑰的大小或長度金鑰威脅的風險以及資料加密的敏感性為使他人獲取加密金鑰以及加密資料的風險降至最低, 定期在金鑰加密週期結束時變更加密金鑰是必要的如果由加密應用程式供應商提供, 則遵循供應商記錄的定期變更金鑰程序或建議指定的金鑰所有人或保管人還可參考關於加密演算法和金鑰管理的行業最佳實務, 例如 NIST 特別出版物 , 瞭解不同演算法和金鑰長度的適當加密週期此的目的適用於加密儲存的持卡人資料和任何個別金鑰加密金鑰匙金鑰的完整性一旦削弱 ( 例如, 知悉純文字金鑰之員工離職 ), 或者金鑰疑似洩露, 則應撤回或更換金鑰 ( 例如 : 存檔銷毀及 / 或廢止 ) 是必要的對所有不再使用或不需要的舊金鑰應進行淘汰和銷毀處理, 以確保這些金鑰不再使用如果舊金鑰需要保留 ( 例如, 以支援存檔且加密的資料 ), 則它們必須嚴加保護 ( 請參閱下文 ) 加密解決方案還應允許並有助於制定相關程序, 以取代將產生危害或疑似危害的金鑰註 : 如果撤回或更換的加密金鑰需要保留, 這些金鑰必須安全存檔 ( 例如使用金鑰加密金鑰 ) 存檔的加密金鑰僅應用於解密 / 驗證目的如果使用手動純文字加密金鑰管理作業, 這些作業必須使用分割知識與雙重控制措施 ( 例如兩名或三名人員共同重建整個金鑰, 且每人僅知悉自己負責之部分金鑰 ) 管理註 : 手動金鑰管理作業範例包括但不限於 : 金鑰產生傳輸上載儲存以及銷毀防止對密碼編譯金鑰進行未授權的替代密碼編譯金鑰保管人簽署一份聲明, 表明其瞭解並接受金鑰保管的責任金鑰分割知識和雙重控制措施用於消除僅憑一個人就可存取整個金鑰的可能性此項控制措施適用於手動金鑰管理作業或者金鑰管理未由加密產品實施的情形加密解決方案不應允許或認可來自未授權來源或意外程序之金鑰的替代此程序可確保金鑰管理人員理解其角色並瞭解相應職責第 22 頁

23 4: 在開放型的公共網路中傳輸持卡人資料時會加密在容易被懷有惡意的人員存取的網路中傳輸敏感資訊時, 必須對這些資訊進行加密設定不當的無線網路及舊有加密和認證協定的漏洞會繼續成為惡意個體的攻擊對象, 他們利用這些漏洞獲取對持卡人資料環境的有權限存取 4.1 使用強效加密和安全協定 ( 例如, SSL/TLS IPSEC SSH 等 ) 以便在開放的公共網路上進行傳輸期間保護敏感的持卡人資料 PCI DSS 範疇內的開放型公共網路範例如 : Internet; 無線技術 ; 全球行動通訊系統 (GSM), 通用無線分組業務 (GPRS) 確保傳輸持卡人資料或連接到持卡人資料環境的無線網路使用了行業最佳實務 ( 例如 IEEE i) 對驗證和傳輸實施了強效加密註 : 嚴禁在 2010 年 6 月 30 日之前使用 WEP 作爲安全控制措施敏感資訊在公共網路傳輸期間必須加密, 因爲惡意之人在資訊傳輸期間攔截及 / 或轉移資料不僅輕而易舉, 而且也極爲常見例如, 安全通訊端層 (SSL) 可加密網頁以及進入其中的資訊使用 SSL 加密保護的網站時, 請確保 URL 中包含 https 請注意, 一些通訊協定實施 ( 例如 SSL 2.0 版本和 SSH 1.0 版本 ) 已記錄了漏洞, 如緩衝區溢位, 攻擊者會使用這些漏洞控制受影響的系統無論使用何種安全通訊協定, 務必確保將其設定為僅可使用安全的設定和版本, 以防止使用不安全的連接惡意使用者使用免費且隨處可得的工具便可竊取無線通訊使用強效加密可限制在網路間洩露敏感資訊當惡意使用者利用不安全的無綫網路進行存取之時, 衆多針對僅儲存在有綫網路内的持卡人資料的已知危害就會產生強效加密的無綫實施範例包括但不限於 GPRS GSM WIFI 衛星和藍牙 (Bluetooth) 持卡人資料的驗證和傳輸必須進行強效加密, 以防止惡意使用者存取無綫網路網路上的資料, 或者利用無綫網路存取其他内部網路或資料 WEP 加密絕不可用作加密無綫管道資料的唯一方法, 因爲這不被視爲強效加密,WEP 金鑰更換程序的微弱初始化向量致使它存在漏洞, 並且它也缺乏必要的金鑰輪轉攻擊者可以利用免費的暴力破解工具, 輕易穿透 WEP 加密應升級目前的無線裝置 ( 例如, 將存取點韌體升級至 WPA2), 支援強效加密如果目前的裝置無法升級, 則應購買新設備, 或者實施其他補償性控制措施, 提供強效加密 4.2 切勿使用最終使用者通訊技術 ( 例如, 電子郵件即時通訊工具聊天工具等 ) 傳送未受保護的 PAN 在内部網路和公共網路之間傳遞周遊時, 電子郵件即時通訊工具和聊天工具會遭封包嗅探器輕易攔截切勿使用這些通訊工具傳送 PAN, 除非能夠為它們提供強效加密第 23 頁

24 5 與 6 的 : 維護漏洞管理程式 5: 使用並定期更新殺毒軟體或程式惡意軟體 ( 通常指惡意程式碼, 包括病毒蠕蟲和木馬 ) 在許多業務認證的活動中進入網路, 包括員工電子郵件和網際網路使用行動電腦和儲存裝置, 從而導致系統漏洞被利用必須在所有經常受惡意軟體影響的系統上使用殺毒軟體, 防止受到目前和變種的惡意軟體威脅 5.1 在所有經常受惡意軟體影響的系統上部署殺毒軟體 ( 特別是個人電腦和伺服器上 ) 不僅有人總是利用廣為人知的入侵程式進行攻擊, 而且其可在零日 ( 在發現漏洞的一小時內即在網路中公佈與傳播惡意程式 ) 內攻擊其他安全的系統如果未定期更新殺毒軟體, 則這些新形式的惡意軟體會攻擊並停用您的網路惡意軟體可能會在不知不覺中從網際網路上下載及 / 或安裝, 但是使用卸除式儲存裝置 ( 例如 CD 與 DVD USB 記憶體晶片組與硬碟 ) 數位相機個人數位助理 (PDA) 和其他週邊裝置也會導致電腦容易受到攻擊如果未安裝殺毒軟體, 則這些電腦可能會成爲進入您網路的存取點, 及 / 或以惡意的方式利用網路中的資訊雖然通常受到惡意軟體攻擊的系統通常不包括主機和大多數 Unix 系統 ( 參閲後文詳細資料 ), 但是每個實體必須按照 PCI DSS 6.2 制定一項程序, 識別並解決新的安全漏洞, 相應更新其設定標準和程序如果其他解決方案採用與病毒碼方法不同的方法, 但解決了相同的威脅, 則仍可認為符合應將與實體使用之作業系統有關的惡意軟體行業趨勢納入確定的新安全漏洞識別程序中, 同時應將解決這些趨勢的方法納入公司的設定標準和保護機制内通常, 下列作業系統普遍不受惡意軟體影響 : 主機和某些 Unix 伺服器 ( 例如 AIX Solaris 和 HP-Unix) 然而, 惡意軟體的行業趨勢會迅速變更, 每個組織必須遵循 6.2 以識別並解決新安全漏洞, 並相應地更新設定標準和程序確保所有殺毒程式都能夠偵測移除並防止所有已知類型惡意軟體的攻擊 5.2 確保所有殺毒機制都是最新且正在執行, 而且能夠產生稽核記錄針對所有所有類型和形式的惡意軟體提供保護非常重要如果殺毒軟體沒有最新的病毒碼, 或在網路内或個人電腦上沒有執行, 則即使是最佳殺毒軟體, 其效力也會受限稽核記錄可用於監控病毒活動和防毒反應此外, 極爲必要的是將殺毒軟體設定為產生稽核記錄, 並且這些記錄須按 10 進行管理第 24 頁

25 6: 開發並維護安全系統和應用程式懷有惡意的人員利用安全漏洞來獲取存取系統的權限許多漏洞都能夠透過供應商提供的安全修補程式進行修復, 必須由管理這些系統的機構安裝所有關鍵系統都必須具備最新發佈的合適的軟體修補程式, 以保護持卡人資料被惡意個體和惡意軟體利用和破壞註 : 合適的軟體修補程式就是那些進行了充分評估和測試以確定這些修補程式不與現有安全設定衝突的修補程式對於自行開發的應用程式, 許多漏洞都可以透過使用標準系統開發程序和安全的編碼技術避免 6.1 確保所有系統元件和軟體都安裝了供應商提供的最新安全修補程式, 以抵御已知漏洞造成的威脅在發佈的一個月以內安裝關鍵的安全修補程式註 : 組織可以考量採用基於風險的方法來設定修補程式的安裝優先權例如, 與不太關鍵的內部設備相比, 可將關鍵基礎架構 ( 例如, 面向公眾的設備系統和資料庫 ) 的優先權設得較高, 以確保優先權較高的系統和設備能在一個月內處理完畢, 而不太關鍵的設備和系統在三個月內處理完畢即可利用廣為人知的入侵程式進行攻擊的次數不僅不計其數, 而且其可在零日 ( 在發現漏洞的一小時內即在網路中公佈與傳播惡意程式 ) 內攻擊其他安全的系統如果未能儘快在關鍵系統上實施最新的修補程式, 則惡意之人會利用這些入侵程式攻擊並停用網路考慮按優先級別對變更進行排序, 以確保關鍵或有風險系統在 30 天内安裝關鍵安全修補程式, 其他風險較低的變更在 2-3 個月内安裝關鍵安全修補程式第 25 頁

26 6.2 制定一項程序, 識別並建立新發現安全漏洞的風險排名註 : 風險排名必須基於行業最佳實務例如, 高風險漏洞的標準包括 : CVSS 基本分數達到 4.0 或以上, 及 / 或供應商提供的列爲危急的修補程式, 及 / 或影響關鍵系統元件的漏洞 6.2.a 定義的漏洞排名在 2012 年 6 月 30 日之前被視爲最佳實務, 之後它會變成一項此的目的在於讓組織及時更新可對其環境造成不良影響的新漏洞雖然監控供應商發佈的與其產品有關的漏洞和修補程式資訊非常重要, 但是監控一般行業漏洞新聞組, 以及包括尚未被供應商知悉或解決的漏洞和潛在應急措施的郵件清單也同樣重要一旦組織識別出對其環境造成不良影響的漏洞, 則必須對該漏洞可造成的風險進行評估與排名這意味著組織須制定幾種方法來始終一致地評估漏洞並確定風險排名雖然每個組織都有可能使用不同的方法來評估漏洞並基於其唯一的 CDE 指派風險評分, 但最常用的是基於一般行業認可的風險排名系統, 例如 CVSS 2.0 NIST SP 等分類風險 ( 例如高中低 ) 可令組織更迅速地識別並解決高優先級風險, 降低最大風險漏洞被人利用的可能性 6.3 根據 PCI DSS ( 例如, 安全驗證和記錄 ) 並基於行業最佳實務, 開發軟體應用程式 ( 内部的和外部的, 包括基於 WEB 的應用程式管理存取 ), 並將資訊安全納入整個軟體開發生命週期這些程序必須包括以下各項 : 在支付應用程式啟用或發佈給客戶之前, 移除自訂的支付應用程式帳戶使用者 ID 與密碼在發佈給生產部門或客戶之前, 審查自訂程式碼, 以確定任何潛在的漏洞註 : 有關程式碼審查的本適用於系統開發生命週期中的所有自訂程式碼 ( 包括內部和面向公眾的自訂程式碼 ) 程式碼審查可以由有經驗的內部人員或第三方進行 Web 應用程式也受到更多控制 ( 如果它們是面向公眾的 ), 以解決執行後不斷產生的威脅和漏洞, 如 PCI DSS 6.6 所定義的 6.4 對於系統元件進行任何變更時, 遵循變更控制程序處理這些程序必須包括以下各項 : 如果軟體開發的定義設計分析和測試階段未將安全防護納入其中, 則安全漏洞會以無意或惡意的方式引入生産環境在支付應用程式啟用或發佈給客戶之前, 移除自訂的支付應用程式帳戶使用者 ID 與密碼, 因爲這些項目可能會洩露有關應用程式功能的資訊持有此類資訊可能會使該應用程式和相關持卡人資料更容易受到威脅惡意之人通常會利用自訂程式碼中的安全漏洞存取網路, 進而對持卡人資料構成威脅程式碼審查可採用手動方式執行, 或者在自動審查工具的協助下執行自動審查工具具備審查程式碼的功能, 以識別一般編碼錯誤和漏洞雖然自動審查非常有用, 但是它通常不應作爲程式碼審查的唯一方法具備豐富程式碼審查知識和經驗的人員應參與審查過程, 以識別自動工具難以甚或不可能識別的程式碼問題指派非程式碼開發人員執行程式碼審查可確保審查的獨立性和客觀性如果沒有適當的變更控制措施, 則安全功能可能會被無意或故意省略或被設定為無法作業, 此外還可能產生處理異常, 或者引入惡意程式碼分開開發 / 測試環境與生産環境由於開發和測試環境的持續變更狀態, 它們的安全性往往會低於生産環境如果這些環境之間沒有充分隔離, 則生産環境和持卡人資料很有可能因測試或開發環境存在的漏洞而遭受攻擊第 26 頁

27 6.4.2 開發 / 測試環境與生產環境中的職責分離減少有權存取生産環境和持卡人資料的人數可最小化風險, 並可確保相關存取僅限於有業務需要的人員此的目的在於確保開發 / 測試功能與生産功能隔離例如, 開發者可以使用具備在開發環境應用之提升權限的管理員級帳戶, 並且擁有生産環境使用者級存取權限的獨立帳戶在個人執行多個角色 ( 例如應用程式開發和執行生産系統更新 ) 的環境内, 應該清楚指派職責, 確保無人可在沒有獨立檢查點的情況下實現對程序的端對端控制例如, 指派開發授權和監控職責給獨立人員不可將生產資料 ( 真實的 PAN) 用於測試或開發開發環境中的安全控制措施通常不是非常嚴格生産資料的使用為惡意之人提供了未經授權存取生産資料 ( 持卡人資料 ) 的機會支付品牌和衆多擷取之卡能夠提供帳戶號碼, 其可替代真實的 PAN, 以便在發佈之前對系統功能進行測試在生產系統啓用之前, 移除測試資料與帳戶安全修補程式和軟體變更之實施的變更控制程序這些程序必須包括如下內容 : 測試資料和帳戶應在應用程式啓用之前從生産程式碼中移除, 因爲這些項目可能會洩露有關應用程式功能的資訊持有此類資訊可能會便於對該應用程式和相關持卡人資料構成威脅如果沒有適當的變更控制措施, 則安全功能可能會被無意或故意省略或被設定為無法作業, 此外還可能產生處理異常, 或者引入惡意程式碼同樣, 變更可能對系統的安全功能造成負面影響, 如此則需要取消變更影響記錄變更的影響須詳細記錄, 以便所有受影響方能夠為任何正在處理的變更制定妥善的計劃獲得授權方的變更核准記錄獲得授權方的核准表示變更是得到組織核准的正當變更測試功能, 以確認變更未對系統安全造成不良影響應執行徹底測試, 以確認環境的安全未因變更的實施而有所降低測試應驗證所有現有安全控制措施保持到位, 或為同等強效的控制措施替代, 抑或在環境出現任何變更之後加以強化對於自訂的程式碼變更, 測試包括確認變更未引入任何編碼漏洞取消程序每次變更都應執行取消程序, 以防變更失敗, 並允許恢復至以前的狀態 6.5 基於安全編碼開發應用程式防止軟體開發過程中出現常見編碼漏洞, 並包括以下各項 : 註 :6.5.1 至中列舉的漏洞都是此版 PCI DSS 發佈時行業最佳實務中最新的漏洞然而, 在更新漏洞管理的行業最佳實務時 ( 例如, OWASP SANS CWE Top 25 CERT 安全編碼等 ), 這些必須使用最新的最佳實務應用程式層的風險很高, 可能同時面臨內部與外部威脅如果沒有適當的安全措施, 持卡人資料和其他公司機密資訊則可能被公開, 導致公司及其客戶和聲譽受到傷害就所有 PCI DSS 而言, 和是應當到位的最起碼的控制措施此清單由本版本 PCI DSS 發佈之時最常見的行業認可的安全編碼實務構成當行業認可的安全編碼實務變更時, 組織的編碼實務也應及時更新, 以便與之匹配本文件提供的安全編碼資源範例 (SANS CERT 和 OWASP) 均為建議的參考來源組織應該將適用於特定技術的相對安全的編碼實務納入自己的環境之中第 27 頁

28 6.5.1 插入式漏洞, 特別是 SQL 插入同時還須考慮 OS OS 指令插入 LDAP Xpath 以及其他插入式漏洞驗證輸入項, 以確認使用者資料無法修改指令與查詢的意思插入式漏洞, 特別是 SQL 插入, 是用於攻擊應用程式的常用方法當使用者提供的資料作為指令或查詢的一部分傳送至直譯器時, 插入即會發生攻擊者的惡意資料會欺騙直譯器, 使其執行無意的指令或變更資料, 並允許攻擊者透過應用程式攻擊網路内的元件, 啓動緩衝區溢位等攻擊, 或者洩露機密資訊和伺服器應用程式功能這也是常用於電子商務網站上執行欺詐性交易的方法請求資訊應在傳送至應用程式之前進行驗證, 例如, 檢查所有 Alpha 字元以及 Alpha 字元與數字字元組合等緩衝區溢位確保應用程式不易遭受緩衝區溢位攻擊緩衝區溢位會在應用程式未設定適當界限來檢查其緩衝區空間時發生為利用緩衝區溢位漏洞, 攻擊者會向應用程式傳送超出特定緩衝區處理能力的大量資訊這會導致緩衝區内的資訊被擠出緩衝區記憶體空間, 進入可執行的記憶體空間當這種情況發生時, 攻擊者能夠在緩衝區末端插入惡意程式碼, 然後透過緩衝區溢位將惡意程式碼推入可執行的記憶體空間惡意程式碼隨後執行, 並且通常讓攻擊者能夠遠端存取應用程式及 / 或受感染的系統非安全加密儲存防止加密的漏洞未正確利用強效加密功能儲存資料的應用程式會面臨遭受攻擊和持卡人資料公開等更大風險如果攻擊者能夠利用弱化加密程序, 則他們能夠對加密資料進行純文字存取非安全通訊對所有已驗證的敏感通訊進行妥善加密如果應用程式無法使用強效加密對網路流量進行妥善加密, 則其會面臨遭受攻擊和持卡人資料公開等更大風險如果攻擊者能夠利用弱化加密程序, 則他們能夠對加密資料進行純文字存取不當錯誤處理切勿透過錯誤訊息或其他方式洩露資訊應用程式會無意洩露有關其設定和内部工作的資訊, 或者透過各種應用程式問題違反隱私權政策攻擊者會使用此弱點來竊取敏感資料, 或進行更惡劣的攻擊此外, 不正確的錯誤處理還將為惡意之人提供資訊, 幫助其危害系統如果惡意之人能夠建立應用程式無法正確處理的錯誤, 他們就可獲取詳細的系統資訊, 並建立拒絕服務中斷, 導致安全功能失效, 或者損毀伺服器例如, 提供的密碼不正確訊息會告訴他們所提供的使用者 ID 是準確的, 他們僅應集中精力於密碼請使用更一般的錯誤訊息表達, 如資料無法驗證漏洞識別程序確定的所有高危漏洞 ( 按照 PCI DSS 6.2 的定義 ) 註 : 此在 2012 年 6 月 30 日之前被視爲最佳實務, 之後它會變成一項對於網路應用程式和應用程式介面 ( 内部或外部 ), 以下額外適用 : 6.2 註明的任何可能會對應用程式造成影響的高危漏洞均應在開發階段詳加説明例如, 共用程式庫或基礎作業系統識別的漏洞應在應用程式發佈給生産部門之前加以評估和解決内部和外部面向 ( 公衆 ) 的網路應用程式僅擁有基於其架構和相對容易出現威脅這一屬性的獨特安全風險跨網站指令碼攻擊 (XSS) 在納入之前應驗證所有參數但凡應用程式採用使用者提供的資料並將其傳送至網路瀏覽器, 而未先對内容進行驗證或編碼, 則 XSS 漏洞即會出現 XSS 允許攻擊者在受害者的瀏覽器内執行指令碼, 以劫持使用者工作階段, 破壞網站並有可能引入蠕蟲等第 28 頁

29 6.5.8 不當存取控制措施 ( 例如非安全直接物件引用, 無法限制 URL 存取以及目錄穿越 ) 切勿向使用者公開內部物件引用當開發者公開内部執行物件的參考 ( 例如檔案目錄資料庫記錄或金鑰 ) 作爲 URL 或形式參數時, 直接物件引用即會發生攻擊者可以透過操縱這些參考, 在未獲授權的情況下存取其他物件所有 URL 的展示層與業務邏輯始終一致地執行存取控制通常, 應用程式保護敏感功能的唯一方法是防止向未經授權的使用者顯示連結或 URL 攻擊者會使用此弱點, 透過直接存取這些 URL 來存取並執行未經授權的作業防止目錄穿越攻擊者能夠列舉並導覽網站的目錄結構, 繼而存取未經授權的資訊, 對網站工作方式有更深入瞭解, 以備後續利用跨網站請求偽造 (CSRF) 切勿答復由瀏覽器自動提交的授權證書與權杖 CSRF 攻擊迫使已登入受害者的瀏覽器傳送預先驗證的請求至存在漏洞的網路應用程式, 隨後該程式會使受害者的瀏覽器執行惡意操作, 以協助攻擊者謀取利益 CSRF 的作用可以與其攻擊的 Web 應用程式一樣強大 6.6 對於面向公眾的 Web 應用程式, 經常解決新的威脅和漏洞, 並確保保護這些應用程式不受到以下任一方法的攻擊 : 透過手動或自動應用程式漏洞安全評估工具或方法檢查面向公眾的 Web 應用程式, 至少每年一次並在所有變更後進行檢查在面向公眾的 Web 應用程式前端安裝 Web 應用程式防火牆面向 Web 應用程式的攻擊極爲常見, 且往往會成功, 這是由不完善的編碼規範造成的審查應用程式或安裝 Web 應用程式防火墻旨在大幅減少面向公衆之 Web 應用程式的漏洞數量, 避免持卡人資料出現安全性缺口審查及 / 或掃描應用程式漏洞的手動或自動漏洞安全評估工具或方法可滿足此利用 Web 應用程式防火牆, 過濾和阻止應用程式層上不必要的流量如果應用程式遭不當編碼或設定, 則正確設定的 Web 應用程式防火牆須結合網路防火墻使用, 以防止應用程式級的攻擊第 29 頁

30 7 8 與 9 的 : 實施嚴格的存取控制措施 7: 限制為只有業務需要知道的人才能存取持卡人資料為確保只有授權的人才能存取關鍵資料, 必須採用系統和程序來限制根據需要知道和工作職責進行存取需要知道是指當需要執行一項工作時需要授予的最少資料和權限 7.1 限制僅工作需要之人可存取系統元件和持卡人資料存取限制必須包括以下項目 : 將特權使用者 ID 的存取權限限制為執行工作職責需要的最小權限根據人員工作劃分和職能指派權限獲得管理人員簽署的授權書, 其中指明所需的權限自動存取控制系統的實施 7.2 為多使用者系統元件建立存取控制系統, 根據使用者需要知道的資料限制存取, 並且設定為禁止所有, 除非特別允許此存取控制系統必須包含以下各項 : 涵蓋所有系統元件根據工作劃分和職能給個人指派權限預設拒絕所有設定註 : 一些存取控制系統被預設設定為允許所有, 因此允許所有存取, 除非制定了專門禁止的規則能夠存取持卡人資料的人越多, 則使用者帳戶被惡意使用的風險就越大僅限具備合理存取之業務理由的人進行存取, 這樣可協助組織防止因缺乏經驗或惡意而不當處理持卡人資料為開展工作, 授予相關人員存取必要資料的權限, 且能夠存取的資料限制在最少數量, 此即稱爲最小權限和需要知道 ; 當存取權限依據工作劃分和職能指派給個人時, 即稱爲基於角色的存取控制或 RBAC 基於角色的存取控制在實際執行時僅限於應用程式層或任何特定授權解決方案例如, 只要適當設定以執行最小權限和需要知道準則, 包括但不限於 Active Directory 或 LDAP 存取控制清單 (ACL) 和 TACACS 等目錄服務技術均是可用的解決方案組織應該基於需要知道準則並使用基於角色的存取控制, 為資料存取控制制定一項清晰的政策和程序, 以定義存取權限如何授予, 授予給誰, 這包括適當的管理授權程序如果沒有基於使用者需要知道準則限制存取的機制, 則使用者可能在不知情的情況下被授予持卡人資料存取權限使用自動存取控制系統或機制對於管理多個使用者非常關鍵此系統應依據您組織的存取控制政策和程序 ( 包括需要知道和基於角色的存取控制 ) 制定, 應管理對所有系統元件的存取, 並且應預設拒絕所有設定, 以確保在未建立特定的存取授予規則時, 任何人都不能存取第 30 頁

31 8: 為具有電腦存取權的每個人指定唯一的 ID 為具有存取權限的每個人均指定唯一的識別碼 (ID), 以確保每個人都對自己的行為全權負責採用此責任制之後, 只有獲得授權的已知使用者才能操作重要資料和系統, 而且這種操作行為可以跟蹤註 : 這些適用於所有帶有管理功能之帳戶 ( 包括銷售點帳戶 ) 和用於檢視或存取持卡人資料或者存取帶有持卡人資料之系統的帳戶然而, 和並不適用於銷售點支付應用程式的使用者帳戶, 這些帳戶每次僅可存取一個卡號, 以便於單次交易 ( 例如出納帳戶 ) 8.1 在允許所有使用者存取系統元件或持卡人資料之前為其指派唯一的 ID 透過確保指派每位使用者唯一的 ID 而非一個 ID 供多名員工共用, 組織可以維護每名員工的個人操作責任和有效的稽核記錄這有助於在誤用或惡意使用行為發生時, 快速控制和解決問題 8.2 除指派唯一的 ID 之外, 至少採用以下一種方法驗證所有使用者的身份 : 您知道的東西, 例如密碼或口令您擁有的東西, 例如權杖設備或智能卡您的身份描述, 例如生物識別訊息 8.3 員工管理人員和第三方採用雙因素驗證對網路的遠端存取 ( 從網路外進行網路級的存取 ) 進行驗證 ( 例如, 遠端驗證和帶有權杖的撥入服務 (RADIUS) ; 終端存取控制器存取帶有權杖的存取控制系統 (TACACS); 或者便於雙因素驗證的其他技術 ) 註 : 雙因素驗證使用三种驗證方法之中的兩种方法進行驗證 ( 請參閲 8.2 的驗證方法描述 ) 兩次使用同一個因素 ( 例如使用兩個單獨的密碼 ) 不被視爲雙因素驗證 8.4 在所有系統元件上進行傳輸和儲存操作時, 使用強效加密使所有密碼不可讀這些驗證項目配合唯一的 ID 可有效保護使用者唯一的 ID 免受威脅 ( 由於試圖進行危害之人必須同時知道唯一的 ID 和密碼或其他驗證項目 ) 只要您擁有的東西是唯一的, 數位憑證即可作爲您擁有的東西這種驗證類型的有效形式雙因素驗證對更高風險的存取 ( 例如來自您網路之外的存取 ) 進行兩种形式的驗證若需更高的安全性, 您的組織還可考慮將雙因素驗證用於從較低安全性的網路存取較高安全性的網路, 例如從企業桌上型電腦 ( 較低安全性 ) 存取帶有持卡人資料的生産伺服器 / 資料庫 ( 較高安全性 ) 此適用於擁有遠端存取網路並可用其存取持卡人資料環境的使用者此時, 遠端存取是指來自實體網路之外的網路級存取, 無論是網際網路或不受信任網路或系統, 例如使用自己行動電腦存取實體網路的第三方或員工出於此之目的, 内部 LAN- 至 -LAN 存取 ( 例如兩個辦公室透過安全的 VPN 進行存取 ) 不被視爲遠端存取如果遠端存取已適當區段劃分的實體網路, 則遠端使用者無法存取或影響持卡人資料環境, 因此 PCI DSS 不對遠端存取此類網路執行雙因素驗證然而, 對可存取持卡人資料環境的網路進行任何遠端存取必須執行雙因素驗證, 所有針對實體網路進行的遠端存取也建議執行雙因素驗證衆多網路裝置和應用程式會在整個網路内傳輸使用者 ID 和未加密的密碼及 / 或在未經加密的情況下儲存密碼惡意之人能在傳輸期間使用嗅探器輕易攔截未加密的使用者 ID 和密碼, 或者直接存取儲存檔案内的使用者 ID 和未加密的密碼, 並使用此類竊取的資料進行未經授權的存取傳輸期間, 可對使用者認證或通道加密第 31 頁

32 8.5 確保在所有系統元件上都對非消費者使用者和管理人員使用正確的使用者身份識別和驗證管理, 具體如下 : 控制使用者 ID 認證和其他識別物件的增加刪除和修改操作由於惡意之人危害系統的第一步是利用脆弱或不存在的密碼, 因此關鍵是制定並執行完備的使用者身份鑑定和驗證管理程序為確保增加至系統的使用者均是有效且已辨識的使用者, 使用者 ID 的增加刪除和修改操作應交由具有特定授權的少數人管理和控制能管理這些使用者 ID 的人員應僅限於此少數人重設密碼前確認使用者身份許多惡意之人使用社交工程, 例如致電服務台並充任合法使用者, 變更密碼, 進而令他們能夠利用使用者 ID 建議使用僅正確使用者能夠回答的秘密問題, 協助管理員在重新設定密碼之前識別使用者請確保此類問題得到適當保護, 且不與他人共用為每位使用者的首次使用設定密碼, 然後重設為唯一值, 並在首次使用後立即變更對所有已終止的使用者立即撤銷其存取權限至少每 90 天移除 / 停用一次非使用中的使用者帳戶僅在需要時啓用供應商用於遠端存取的帳戶密切監視供應商對遠端存取帳戶的使用與存取持卡人資料的所有使用者溝通驗證程序和政策如果每位新的使用者首次使用的密碼均相同, 則内部使用者前雇員或惡意之人可能知道或輕易破解此密碼, 然後即可使用其存取帳戶如果雇員已離開公司但仍可透過其使用者帳戶存取網路, 則針對持卡人資料的不必要或惡意存取可能會發生前雇員或者利用更舊及 / 或未使用之帳戶的惡意使用者可能會實施此類存取建議與人力資源部共同制定並實施這項程序, 即當雇員離職或解雇時應立即發佈通知, 以迅速停用使用者帳戶非使用中帳戶的存在會允許未經授權的使用者有可能利用這些未使用的帳戶存取持卡人資料允許供應商 ( 例如 POS 機供應商 ) 可隨時存取您的網路, 以便其在必要時支援系統, 這會大幅增加未經授權存取的機會, 使供應商環境内的使用者或惡意之人發現並使用此隨時可用的外部進入點進入您的網路監控供應商對持卡人環境的存取同樣適用於其他使用者, 例如組織内部員工這包括按照 PCI DSS 10.1 和 10.2 監控和記錄相關活動, 並確認按照和定義的政策使用供應商遠端帳戶與所有使用者溝通密碼 / 驗證程序有助於這些使用者瞭解並遵守政策, 並警惕任何試圖利用其密碼存取持卡人資料的惡意之人 ( 例如, 呼叫員工並其提供密碼, 以便呼叫者能夠排解問題 ) 切勿使用成組共用或一般帳戶和密碼或者其他驗證方法如果多個使用者共用相同的驗證認證 ( 例如使用者帳戶和密碼 ), 則不可能針對個人的操作指派責任制或有效記錄個人的操作, 因爲指定的操作可能是由組内知悉驗證認證的任何人執行的此項有關唯一 ID 和複雜密碼的通常在使用 sudo 或 SSH 等工具執行管理功能時得以滿足 : 管理員最初使用自己唯一的 ID 和密碼登入, 隨後透過 sudo 或 SSH 連接至管理員帳戶通常會停用直接根目錄登入, 以防止使用此類共用的管理帳戶如此, 個人責任制和稽核記錄得以維護然而, 即使使用 sudo 和 SSH 等工具, 實際管理員 ID 和密碼也應滿足 PCI DSS ( 如果此類帳戶未被停用 ), 以防止其被人濫用至少每 90 天變更一次使用者密碼密碼長度必須至少達到七個字元由於惡意之人通常首先會嘗試找到帶有脆弱或不存在密碼的帳戶, 因此強效密碼是進入網路的第一道防綫如果密碼非常簡短, 易於猜到或者長時間未變更, 則透過給有效的使用者 ID 施加僞裝, 可使惡意之人需要第 32 頁

33 使用包含數字和字母字元的密碼切勿允許個人提交和其前四次使用過的任意密碼相同的新密碼透過鎖定六次嘗試之後的使用者 ID, 限制反復存取嘗試將鎖定時長設定為至少 30 分鐘或直到管理員啟用該使用者 ID 為止如果工作階段保持閒置狀態超過 15 分鐘, 則使用者重新驗證以重新啟動終端或工作階段驗證對包含持卡人資料的任何資料庫的所有存取這包括應用程式管理員和所有其他使用者的存取操作規定僅資料庫管理員可執行資料庫的使用者直接存取或查詢更多時間才能找到這些脆弱帳戶, 威脅網路可按照這些, 透過啓用隨您的作業系統 ( 例如 Windows) 網路資料庫和其他平台一同提供的密碼和帳戶安全功能, 執行並維護強效密碼如果未建立帳戶鎖定機制, 則攻擊者可持續嘗試透過手動或自動工具 ( 例如, 密碼破解工具 ) 猜測密碼, 直至他們成功得到密碼, 繼而存取使用者帳戶如果一個帳戶因某人持續猜測密碼而被鎖定, 則延遲這些被鎖定帳戶重新啓用的控制措施可阻止惡意之人持續猜測密碼 ( 他們必須停頓至少 30 分鐘時間, 直至帳戶重新啓用 ) 此外, 如果重新啓用必須提出申請, 則管理員或服務台可驗證鎖定的原因是否因帳戶所有人自己造成 ( 鍵入錯誤 ) 當使用者離開可存取關鍵網路或持卡人資料的開放機器時, 機器可能會在使用者離開的情況下為他人使用, 進而導致發生未經授權的帳戶存取及 / 或帳戶濫用如果未對使用者存取資料庫和應用程式進行驗證, 則未授權或惡意存取的潛在可能性增加, 並且由於使用者未經驗証, 為系統所不知, 因此此類存取無法記錄此外, 資料庫存取僅應透過程式化方法授予 ( 例如, 透過已儲存的程序 ), 而非由最終使用者直接存取資料庫 ( 出於管理職責而需直接存取資料庫的 DBA 例外 ) 第 33 頁

34 9: 限制對持卡人資料的實際存取任何以實體方式存取資料或持卡人資料儲存系統的操作, 都會為個人提供存取裝置或資料以移除系統或複本的機會, 這種行為應適當限制出於 9 之目的, 現場工作人員指的是全職和兼職雇員臨時雇員和承包商以及實際出現在實體場所的顧問訪客是指供應商任何現場工作人員的客人服務人員或需要進入場所作短暫停留 ( 通常不超過一天 ) 的任何人媒體是指包含持卡人資料的所有紙質和電子媒體 9.1 使用適當的設施進入控制措施, 以限制和監控在持卡人資料環境中對系統的實體存取使用攝影機及 / 或存取控制機制, 以監控個人對敏感區域的實體存取檢查收集的資料並與其他入口相關聯至少儲存三個月, 法律另有規定者除外如果實體存取控制缺失, 則未經授權之人可能會進入大樓存取敏感資訊, 更改系統設定, 引入漏洞至網路, 或者損毀竊取設備當調查實體安全性缺口時, 這些控制措施有助於識別那些實體存取儲存持卡人資料的敏感區域之人敏感區域包括企業資料庫伺服器機房儲存持卡人資料的零售商店的後端伺服器機房以及有大量持卡人資料的儲存區域, 註 : 敏感區域是指用於儲存處理或傳輸持卡人資料的系統所在的任何資料中心伺服器室或任何區域其中不包括只有銷售點終端的區域, 例如零售店中的收銀區限制對公共存取網路插口的實體存取例如, 訪客可存取的區域不應啓用網路連接埠, 除非網路存取獲得明確授權限制對於無綫存取點閘道掌上型裝置網路 / 通訊硬體和電信綫的實體存取限制對網路插口的實體存取可防止惡意之人插入現有的網路插口, 進而避免其存取內部網路資源建議關閉不用的網路插口, 並僅在需要時重新啓用在會議室等公共區域, 建立私人網路, 僅允許供應商和訪客存取網際網路, 而無法登入您的内部網路如果未對無綫元件和裝置的存取施加安全保護, 則惡意使用者可能會使用無人看管的無綫設備, 存取您的網路資源, 甚或將自己的裝置連接至您的無綫網路, 進行未經授權的存取此外, 對網路和通訊硬體施加安全保護可防止惡意使用者攔截網路流量或實體連接自己的裝置至您的有綫網路資源建議將無綫存取點無綫存取點閘道掌上型裝置網路 / 通訊硬體放置在安全儲存區域, 例如配鎖的櫃子或伺服器機房内對於無綫網路, 確保啓用強效加密此外, 建議啓用自動裝置鎖定長時間閒置的無綫手持式裝置, 並將您的裝置設定為通電時輸入密碼 9.2 制訂相關程序, 以迅速識別現場工作人員和訪客, 尤其是在可以存取持卡人資料的區域如果沒有識別證系統和門禁控制, 未經授權的惡意使用者可輕易進入您的設施, 竊取停用中斷或損毀關鍵系統和持卡人資料為達到最佳控制成效, 建議在包含持卡人資料的工作區域的進出位置部署並實施識別證或卡存取系統識別授權訪客, 以致能輕易將他們與現場工作人員區別開來, 防止未經授權訪客進入包含持卡人資料的區域 9.3 確保按照如下處理所有訪客的來訪 : 訪客控制對於削弱未經授權的惡意之人存取您設施 ( 並潛在存取持卡人資料 ) 的能力非常重要第 34 頁

35 9.3.1 須經授權後方可進入處理或維護持卡人資料的區域提供可將訪客識別為非現場工作人員而且使用後會過期的實體權杖 ( 例如識別證或存取裝置 ) 訪客在離開設施前或實體權杖到期時交出實體權杖 9.4 使用訪客記錄, 以維護訪客活動的實體稽核記錄在記錄上記錄訪客姓名所屬公司以及授權訪客實體存取的現場工作人員將該記錄至少保留三個月, 法律另有規定者除外 9.5 將備份媒體儲存在安全的地方, 最好是異地設施, 例如替代或備用場所或商業儲存設施至少每年檢查一次該場所的安全性訪客控制對於如下項目亦非常重要 : 確保訪客僅可進入授權其進入的區域, 識別他們為訪客以讓工作人員監控其活動, 以及將他們的存取時間限制為僅合法訪問許可的持續時間訪客記錄有關訪客的最起碼資訊, 這樣便於維護且維護成本低, 並且在資料潛在安全性缺口調查期間可協助識別實體存取大樓或機房以及對持卡人資料的潛在存取建議在設施入口, 尤其是持卡人資料顯示區域入口處實施記錄如果儲存在不安全的設施内, 包含持卡人資料的備份媒體可能會輕易丟失遭竊或被複製用於惡意用途為實現安全儲存, 建議與商業資料儲存公司簽訂儲存合約, 或者對於規模更小的實體, 使用銀行的保險箱儲存媒體 9.6 保護所有媒體的實體安全如果持卡人資料儲存在卸除式或可攜式媒體上, 列印出來或留在某人的辦公桌上, 並且未加保護, 則其易於遭受未經授權的檢視複製或掃描 9.7 始終嚴格控制在內部或外部分發任何類型的媒體, 包括以下內容 : 程序有助於保護分發給内部及 / 或外部使用者的媒體上的持卡人資料如果沒有此類程序, 資料可能會丟失或遭竊, 並用於欺詐性目的分類媒體, 以便確定資料的敏感性識別媒體非常重要, 如此其分類狀態可輕易辨識未被識別為機密的媒體可能無法獲得充分保護, 或者可能丟失或遭竊使用安全的快遞服務或其他可準確跟蹤的傳送方法傳送媒體 9.8 將任何和所有媒體從安全區域轉移時 ( 尤其是將媒體發放給個人時 ), 務必確保獲得管理層同意如果透過不可追蹤的方式 ( 如平信 ) 寄送, 媒體有可能會丟失或遭竊使用安全快遞服務傳送任何包含持卡人資料的媒體, 如此您可以使用其追蹤系統維護庫存和貨物的位置未經管理層核准就將持卡人資料從安全區域轉移會導致資料丟失或遭竊如果未建立正式的程序, 媒體位置則無法追蹤, 有關資料流向何處或者如何保護的程序也會同樣缺失 9.9 嚴格控制對媒體的儲存和存取如果沒有細緻周到的清查方法和儲存控制措施, 則遭竊或遺失的媒體可能被無限期忽視正確維護所有媒體的盤存記錄, 並且至少每年盤存一次如果媒體未經盤存, 則遭竊或丟失的媒體可能會長期被忽視, 甚至根本不會受到注意第 35 頁

36 9.10 銷毀因業務或法律原因而不再需要的媒體, 具體如下 : 對實體複本材料進行粉碎焚燒或打漿, 以致持卡人資料無法復原使電子媒體上的持卡人資料不可恢復, 以確保持卡人資料無法復原如果在處置之前未採取措施銷毀包含在硬碟可攜式磁碟機 CD/DVD 或紙張之上的資訊, 則惡意之人可能擷取已處置媒體上的資訊, 導致資料洩露例如, 惡意之人可以使用所謂垃圾搜尋的技術, 透過搜索垃圾筒和資源回收桶尋找他們可用於發起攻擊的資訊安全銷毀電子媒體的方法包括安全擦除消磁或實體銷毀 ( 例如研磨或粉碎硬碟 ) 第 36 頁

37 10 與 11 的 : 定期監控並測試網路 10: 追蹤並監控對網路資源及持卡人資料的所有存取記錄機制和跟蹤使用者活動的功能對於預防偵測和消除資料洩露的不良影響至關重要在所有環境中使用記錄可在出現問題時詳細地跟蹤發出警報並進行分析如果沒有系統活動記錄, 確定問題根源會變得異常困難 ( 如果並非不可能的話 ) 10.1 制定一項程序以實現所有系統元件 ( 尤其是具有根權限等管理權限的存取 ) 之存取與每個個人使用者的連結 10.2 針對所有系統元件實施自動稽核記錄, 以重建以下事件 : 至關重要的是建立一個程序或系統, 將使用者的存取活動與被存取之系統元件關聯起來, 特別是供具有管理權限的使用者參考使用此系統會產生稽核記錄, 並可回溯追蹤特定使用者以前的活動事後, 法庭辯論團隊將極大依賴於這些記錄立案調查產生可疑活動的稽核記錄會警示系統管理員, 傳送資料至其他監控機制 ( 例如入侵偵測系統 ), 提供事件後續跟進事宜的歷史記錄以下事件的記錄使組織能夠識別並追蹤潛在的惡意活動對持卡人資料的所有個人存取惡意之人可能獲取使用者帳戶存取 CDE 内系統的知識, 或者他們可能會建立一個未經授權的新帳戶, 以此存取持卡人資料持卡人資料的所有個人存取記錄可有助識別哪些帳戶已被威脅或濫用具有根權限或管理權限的任何個人實施的所有操作具有更高權限的帳戶 ( 例如管理員或根權限帳戶 ) 擁有對系統安全或作業功能造成巨大影響的潛力如果沒有執行活動記錄, 則組織無法回溯追蹤特定操作和管理失误或權限濫用所造成的所有問題對所有稽核記錄的存取惡意使用者通常會嘗試更改稽核記錄, 以隱藏其操作, 因此存取記錄可允許組織個人帳戶記錄内所有不一致或潛在篡改的痕跡無效的邏輯存取嘗試惡意之人通常會針對目標系統實施多次存取嘗試多次無效登入嘗試可能表示一名未經授權使用者嘗試強力破解或猜測密碼身份識別和驗證機制的使用如果不知道事件發生時誰登入過系統, 則不可能識別哪些帳戶被使用過此外, 惡意使用者可能會嘗試操縱驗證控制工具, 目的是繞過它們或冒充有效帳戶包括但不限於權限升級或存取許可變更的活動可能表示系統的驗證機制被未經授權使用稽核記錄的初始化在執行非法活動之前關閉稽核記錄是希望不被察覺的惡意使用者的共同目標稽核記錄的初始化可能表示, 記錄功能已被使用者停用, 以便隱藏其操作系統級物件的建立和刪除惡意軟體 ( 例如 malware) 通常會建立或取代目標系統上的系統級物件, 以控制該系統的特定功能或作業請參閱 PCI DSS 與 PA-DSS 術語縮寫和首字縮寫, 瞭解系統級物件的定義第 37 頁

38 10.3 針對每個事件的所有系統元件至少記錄以下稽核記錄項目 : 使用者身份識別事件類型日期和時間成功或失敗指示事件起源受影響資料系統元件或資源的識別碼或名稱 10.4 使用時間同步處理技術, 使所有關鍵系統時鐘和時間實現同步, 並確保執行以下各項來擷取分發和儲存時間註 : 時間同步處理技術的一則範例是網路時間協定 (NTP) 關鍵系統的時間正確且一致時間資料受到保護接受來自行業認可時間來源的時間設定透過記錄 10.2 所述之可稽核事件的詳細資料, 潛在威脅可迅速識別出來, 並且知悉足夠的是誰什麽何地何時以及如何方面的詳細資料時間同步處理技術用於使多個系統的時鐘實現同步一旦正確部署, 此項技術可使大量系統的時鐘實現同步, 彼此之間的差異不足一秒時鐘未正確實現同步後發生的問題包括但不限於 : 不同系統的記錄檔案難以進行比對, 難以建立確切的事件序列 ( 這對安全性缺口事件的法庭辯論分析至關重要 ) 以及防止加密協定, 例如依賴於時間絕對正常運行的 SSH 對於事後法庭辯論團隊而言, 所有系統以及每項活動的時間精確度和一致性對判定系統如何遭受危害至關重要為確保時間一致, 實體内最好僅應配備極少數内部 ( 中央 ) 時間伺服器這些伺服器直接透過特定無綫電廣播 GPS 衛星或其他網路來源接收可靠的已知外部時間伺服器傳送的 UTC ( 世界標準時間 ) 資料, 並且相互協調以確保時間精准其他系統隨後會接收這些伺服器傳送的時間如果惡意之人已進入網路, 則他們通常會嘗試變更稽核記錄内操作時間戳記, 以防止他們的活動被察覺惡意之人還可能會嘗試直接變更系統元件的時鐘, 以隱藏其行蹤, 例如, 將系統時鐘變更至較早的時間鑒於以上原因, 所有系統的時間均保持精准且嚴加保護時間資料對防止未經授權的存取和變更非常重要時間資料包括用於設定每個系統的時鐘的參數和方法有關 NTP 的更多資訊可瀏覽 ( 包括有關時間時間標準和伺服器的資訊 ) 10.5 保護稽核記錄, 使其無法變更已進入網路的惡意之人通常會嘗試編輯稽核記錄, 以便隱藏其活動如果稽核記錄未妥善保護, 則其完整性和精確度無法得到保證, 並且在受到危害後, 稽核記錄即無法用作調查工具第 38 頁

39 僅限出於工作需要的人員檢視稽核記錄保護稽核記錄檔案, 以防未經授權的修改將稽核記錄檔案迅速備份到難以篡改的中心記錄伺服器或媒體將面向外部之技術的記錄寫入內部 LAN 上的記錄伺服器對記錄使用檔案完整性監控軟體或變更偵測軟體, 確保現有的記錄資料在未產生警報的情況下不會變更 ( 儘管增加新資料不會引發警報 ) 10.6 至少每天審查一次所有系統元件的記錄記錄檢查必須包括檢查執行入侵偵測系統 (IDS) 和驗證授權等安全功能的伺服器以及記帳協定 (AAA) 伺服器 ( 例如 RADIUS) 稽核記錄的嚴格保護措施包括強效存取控制 ( 僅限基於需要知道的記錄存取 ) 和使用内部隔離 ( 使記錄變得更難發現和修改 ) 使用面向外部的技術 ( 例如無綫技術防火墻 DNS 和郵件伺服器 ) 寫入記錄可有效降低這些記錄丟失或變更的風險, 因爲它們在内部網路内更安全檔案完整性監控系統負責檢查重要檔案的變更情況, 並在注意到此類變更時發佈通知出於檔案完整性監控目的, 實體通常監控非定期變更的檔案, 但一旦變更即表示可能存在威脅對於記錄檔案 ( 頻繁變更 ), 應當監控以下情況 : 記錄檔案被刪除, 突然顯著擴大或縮小, 以及任何其他表示惡意之人已竄改記錄檔案的跡象現貨供應和開源工具均可用於檔案完整性監控許多破壞記錄的活動常常是在發生數天甚至數月後才被偵測到每日檢查記錄可以最大程度地縮短潛在安全性缺口隱藏的時間, 並減少其發生的機率記錄審查程序不一定要手動完成尤其對於擁有大量伺服器的實體來說, 建議使用記錄收集剖析和警報工具註 : 使用記錄收集工具分析工具和報警工具, 以達到根據 10.6 的合規性規定 10.7 稽核記錄歷史至少保留一年, 並且至少 ( 例如線上已歸檔或從備份中可恢復的 ) 三個月的歷史記錄可立即用於分析稽核記錄歷史至少保留一年允許人們通常需要一段時間才能注意到洩露已經發生或正在發生, 並且允許調查員獲得足夠的記錄歷史, 以更好地判定潛在安全性缺口的時間長度和受影響的潛在系統透過確保近三個月的記錄立即可得, 實體能迅速識別並最大程度降低資料安全性缺口的影響異地儲存備份磁帶可能導致恢復數據著手分析以及識別受影響系統或資料所需的時間延長第 39 頁

40 11: 定期測試安全系統和程序懷有惡意的人員和研究人員不斷發現新的漏洞, 新的軟體亦在不斷引入新的漏洞因此應經常測試系統元件程序和自訂軟體, 以確保根據不斷變化的環境不斷實施安全控制 11.1 測試無綫存取點的存在, 定期偵測未授權無綫存取點註 : 程序可用的方法包括但不限於無綫網路掃描系統元件和基礎架構的實體 / 邏輯檢查網路存取控制 (NAC) 或無綫 IDS/IPS 無論使用何種方法, 它們都必須足以偵測並識別任何未經授權的裝置實施及 / 或利用網路内的無綫技術是惡意之人存取網路和持卡人資料的最常用方法之一如果公司對於無綫裝置或網路的安裝不知情, 則攻擊者可能會輕易且以隱身的方式進入網路未授權無綫裝置可以隱藏在電腦或其他系統元件内或與之連結, 或者直接連結至網路連接埠或網路裝置, 例如交換機或路由器任何此類未授權裝置均可能會成為進入環境的未授權存取點由於無綫存取點可輕易連結到網路, 而偵測其存在比較困難, 以及未授權無綫裝置可能造成更大風險, 所以禁止使用無綫技術的政策存在時這些程序必須執行特定環境的大小和複雜性決定所使用的合適工具和程序, 以充分保證流氓無綫存取點沒有安裝在環境内例如 : 就商場單個獨立零售亭而言, 所有通訊元件均包含在防篡改和篡改顯現盒内, 對零售亭執行詳細的實體檢查足以保證流氓無綫存取點沒有連結或安裝然而, 在擁有多個節點的環境内 ( 例如大型零售商店呼叫中心伺服器機房或資料中心 ), 更加難以執行詳細的實體檢查, 其原因在於其中存在大量可供流氓無綫存取點安裝或隱藏的系統元件和網路節點此案例可能會結合使用多種方法以滿足, 例如結合無綫分析器的分析結果執行實體系統檢查網路存取控制 (NAC) 解決方案可執行裝置驗證和設定管理, 以防止未經授權的系統連接至網路或者未經授權的裝置連接至網路上獲得授權的系統作爲事件回應計劃的一部分, 組織應記錄在偵測到未經授權的無綫存取點時遵照執行的回應程序無綫 IDS/IPS 應當設定為自動產生警報, 但是如果在手動無綫掃描期間偵測到未經授權的裝置, 計劃還必須記錄回應程序第 40 頁

41 11.2 至少每季度以及在網路有任何重大變更後 ( 例如新的系統元件安裝網路拓撲變更防火牆規則修改產品更新 ) 執行一次內部和外部網路漏洞掃描註 : 如果評估商確定以下內容, 則不必須完成四次通過性季度掃描才能獲得初始的 PCI DSS 遵從性 :1) 最近一次的掃描結果成功通過 ;2) 機構已記錄了季度掃描的政策和程序 ; 以及 3) 掃描結果中指出的漏洞在重新掃描時顯示已糾正第一次 PCI DSS 檢查完成之後的年份中, 必須執行四次通過性季度掃描漏洞掃描是一個自動運行的工具, 可用於掃描外部和内部網路裝置和伺服器, 旨在公開網路内可被惡意之人找到並利用的潛在漏洞一旦這些弱點被識別出來, 實體須立即校正, 隨後反復掃描, 以確認漏洞已被校正實體在首次執行 PCI DSS 評估時可能尚未執行四次季度掃描如果最近的掃描結果符合通過性掃描標準, 並且適用於未來季度掃描的政策和程序已到位, 則此的目的已達到如果這些條件均得到滿足, 由於缺乏四次掃描而延遲到位評估確實沒有必要執行内部漏洞季度掃描識別 CDE 内部系統漏洞的既定程序每季執行一次漏洞掃描及時識別並解決漏洞可有效降低漏洞被利用以及系統元件或持卡人資料潛在危害的可能性會對環境造成最大風險的漏洞 ( 例如, 按照 6.2 排名高危的漏洞 ) 應最優先解決由於一年中内部網路可能會不斷變更, 實體可能沒有堅持清理内部漏洞掃描目的在於促使實體建立健全的漏洞管理計劃, 在合理的時間期限内解決記錄的漏洞最起碼必須及時解決高危漏洞内部漏洞掃描可由獨立於被掃描之系統元件且具有資格的内部員工執行 ( 例如, 防火墻管理員不得負責掃描防火墻 ), 或者實體可以選擇由 PCI SSC 認可的核准掃描供應商 (ASV) QSA 或其他專門從事漏洞掃描的公司執行内部漏洞掃描每季度的外部漏洞掃描必須由支付卡行業安全標準協會 (PCI SSC) 認可的核准掃描供應商 (ASV) 執行註 : 每季度的外部漏洞掃描必須由支付卡行業安全標準協會 (PCI SSC) 認可的核准掃描供應商 (ASV) 執行網路變更後執行的掃描可由內部人員執行每次出現重大變更之後立即執行内部和外部掃描註 : 變更後執行的掃描可由內部人員執行由於外部網路面臨更大的洩露風險, 因此必須由 PCI SSC 認可的核准掃描供應商 (ASV) 執行外部漏洞季度掃描 ASV 必須遵循認可的核准掃描供應商計劃内 PCI SSC 設定的一整套掃描和報告標準每次出現重大變更之後立即執行環境掃描可確保變更得以適當完成, 環境安全並未因變更而受到危害變更之後或許沒有必要掃描整個環境然後, 所有受變更影響的系統元件需要接受掃描第 41 頁

42 11.3 外部和內部滲透測試每年至少執行一次, 基礎架構或應用程式有任何重大升級或修改後 ( 例如作業系統升級環境中增加子網路或環境中增加網路伺服器 ) 也應執行此類穿透測試必須包括以下內容 : 網路層滲透測試應用程式層滲透測試 11.4 使用入侵偵測系統和 / 或入侵防禦系統, 以監控持卡人資料環境周邊及其内部關鍵點的所有流量, 並在發現可疑威脅時提醒員工隨時更新所有入侵偵測引擎和入侵防禦引擎基準綫和簽名滲透測試的目的在於模擬真實世界攻擊狀況, 旨在識別攻擊者能夠滲透到環境内多遠這可令組織更深入瞭解自己的潛在曝光, 繼而制定相關策略, 以抵禦攻擊滲透測試不同於漏洞掃描, 因爲滲透測試是一項主動式程序, 它可能包括使用已識別的漏洞雖然不是唯一的步驟, 但執行漏洞掃描通常是滲透測試者執行攻擊策略時最先執行的步驟即使漏洞掃描沒有偵測到任何已知的漏洞, 滲透測試者通常仍可得到足夠的系統知識, 以識別可能的安全間距滲透測試通常是一項高度手動的程序雖然可以使用一些自動工具, 但測試者必須利用自己掌握的系統知識滲透進環境測試者通常會將幾個類型的入侵程式串聯使用, 旨在突破多層防禦例如, 如果測試者發現一種存取應用程式伺服器的方法, 則他們隨後會使用已受危害的伺服器作爲基點, 並基於伺服器可存取的資源發動新攻擊如此, 測試者能夠模擬攻擊者執行的攻擊方法, 以便識別環境内存在且需要解決的所有潛在弱點區域入侵偵測系統和 / 或入侵防禦系統 (IDS/IPS) 會比對流入帶有已知簽名的網路的流量及 / 或成千上萬危害類型行爲 ( 駭客工具木馬和其他惡意軟體 ), 並在其發生是傳送警報及 / 或阻止嘗試如果透過這些工具建立未經授權活動偵測的主動式方法, 則針對電腦資源的攻擊 ( 或濫用 ) 在真實情況中可能會被忽視這些工具產生的安全警示應受監控, 以便阻止嘗試的入侵舉動 IDS/IPS 裝置應執行, 以便它們能監控 CDE 周邊及其中關鍵點的輸入和輸出流量 CDE 内的關鍵點可能包括儲存持卡人資料的資料庫伺服器加密金鑰儲存位置處理網路或其他敏感系統元件, 具體由實體的環境決定並記錄於風險評估報告内雖然現今衆多 IDS/IPS 裝置均能透過一個裝置監控 CDE 内多個關鍵點, 但是重要的是記住單個裝置監控失效會導致曝光幾率上升此外, 重要的是 IDS/IPS 基礎架構納入適當的冗餘現有的攻擊類型已有成千上萬種, 而且新發現的攻擊每天都在增加 IDS/IPS 裝置的陳舊簽名和掃描引擎無法識別可能會導致未偵測到之安全性缺口的新漏洞這些產品的供應商提供頻繁的更新 ( 通常是每日更新 ), 這些更新可定期評估和應用第 42 頁

43 11.5 部署檔案完整性監控工具, 一旦發現關鍵系統檔案組態檔案或內容檔案未經授權的修改即提醒員工 ; 設定該軟體, 使其至少每週比較一次重要檔案檔案完整性監控 (FIM) 工具可檢查關鍵檔案的變更, 並在偵測到此類變更時發佈通知現貨供應和開源工具均可用於檔案完整性監控如果未正確實施且 FIM 的輸出結果未經監控, 則惡意之人可能會更改設定檔案内容作業系統程式或應用程式可執行項如果此類未經授權的變更未偵測到, 則其可能會促使現有的安全控制措施失效及 / 或導致持卡人資料遭竊, 並且對正常的處理沒有造成明顯影響註 : 在談及檔案完整性監控時, 關鍵檔案通常是指那些不常變更但一經修改便可能表明系統受到威脅或可能受到威脅的檔案相關作業系統的關鍵檔案通常會配備預先設定的檔案完整性監控產品其他的重要檔案 ( 例如自訂應用程式的檔案 ) 則必須由機構 ( 即商戶或服務提供商 ) 來評估和定義第 43 頁

44 12 的 : 維護資訊安全政策 12: 維護處理適用於所有員工之資訊安全的政策強有力的安全政策會為整個實體設定安全基調, 使員工瞭解應該如何去做所有員工都應瞭解資料的敏感性以及他們負有保護資料的責任出於 12 之目的, 工作人員指的是全職和兼職雇員臨時雇員承包商以及常駐在實體場所或者進出持卡人資料環境的顧問 12.1 建立發佈維護和散佈可完成以下各項操作的安全政策 : 處理所有 PCI DSS 公司資訊安全政策確立了實施安全措施以保護其最有價值資產的藍圖強有力的安全政策會為整個公司設定安全基調, 使員工瞭解應該如何去做所有員工都應瞭解資料的敏感性以及他們負有保護資料的責任包括識別威脅和漏洞並能產生正式風險評估的年度程序 ( 風險評估方法的範例包括但不限於 OCTAVE ISO 和 NIST SP ) 包括至少每年執行一次的審查, 並在環境變更時及時更新 12.2 根據此規格中的制訂每日作業安全程序 ( 例如, 使用者帳戶維護程序和記錄審查程序 ) 12.3 針對重要技術 ( 例如, 遠端存取技術無線技術卸除式電子媒體筆記型電腦平板個人資料 / 數位助理 (PDA) 電子郵件使用和網際網路使用 ) 制訂使用政策, 並定義這些技術的正確使用方法確保此類使用政策以下內容 : 風險評估能令組織識別可能對其業務造成負面影響的威脅和相關漏洞資源隨後得以有效配置, 以實施嚴格的控制措施, 降低威脅被實現的可能性及 / 或潛在影響至少每年執行一次風險評估能令組織及時跟上組織變更以及不斷變化的威脅趨勢和技術的步伐, 安全威脅和保護方法每年都在發生著快速的變化如果沒有更新安全政策以反映相關的變更, 則抵禦這些威脅的新保護措施無法形成每日作業安全程序可作爲工作人員的桌面指令, 供其在日常系統管理和維護活動中使用未記錄的作業安全程序會導致工作人員無法全景審視自己的任務, 導致新員工無法輕鬆重復既定流程, 並使這些流程的潛在差距可能允許惡意之人存取關鍵系統和資源如果升級為公司政策, 則工作人員使用政策可禁止使用特定裝置和其他技術, 同時工作人員使用政策也可為工作人員提供正確使用和實施的如果使用政策未到位, 則工作人員可能會使用違反公司政策的技術, 進而允許惡意之人存取關鍵系統和持卡人資料其中一則範例就是在不經意間設立不安全的無線網路為確保公司標準得以嚴格遵循並且僅核准的技術得以實施, 建議僅規定作業團隊有權實施, 並且不允許非專業 / 一般工作人員安裝這些技術獲得授權方的明確核准如果未這些技術實施的適當核准證明, 則個別工作人員可能會為了滿足所謂的業務需要而在無意間實施某項解決方案, 導致打開巨大的安全漏洞, 為惡意之人存取關鍵系統和資料提供了便利針對技術使用的驗證如果技術已實施, 但卻未進行正確驗證 ( 使用者 ID 與密碼權杖 VPN 等 ), 則惡意之人可能會輕易使用此未受保護的技術存取關鍵系統和持卡人資料所有此類裝置和獲得存取權之工作人惡意之人可能會攻破實體的安全防線, 將自己的裝置放置到網路上作爲後門工作人員也可能跳過安全第 44 頁

45 員清單在裝置上貼標籤, 確定所有者聯絡資訊和用途可接受的技術用途針對這些技術的可接受的網路位置公司認可的產品清單在非活躍狀態達到特定時限後, 自動中斷遠端存取技術的工作階段僅在供應商和商業合作夥伴需要時為其啓用遠端存取技術, 並在使用之後立即停用對於透過遠端存取技術存取持卡人資料的工作人員, 禁止將持卡人資料複製移動和儲存到本機硬碟和卸除式電子媒體, 除非因定義之業務需求而獲得明確授權 12.4 確保安全政策和程序明確定義了所有工作人員的資訊安全職責 12.5 針對個人或團隊指派以下資訊安全管理職責 : 建立記錄和分發安全政策和程序監控分析安全警報和安全資訊並將其分發給相關人員建立記錄和分發安全事故回應和逐層上報程序, 以確保及時有效地處理所有情況管理使用者帳戶, 包括新增刪除和修改監控和控制所有資料存取 12.6 實施正式的安全意識計劃, 使所有工作人員都能瞭解持卡人資料安全的重要性程序安裝裝置帶有正確裝置標籤的精准庫存清單有助快速識別未核准的安裝建議制定正式的裝置命名慣例, 依照既定的庫存控制措施標籤並記錄所有裝置此外, 邏輯標籤也可與能把裝置與其擁有者聯絡資訊和用途關聯起來的代碼等資訊結合使用透過定義業務用途和公司核准的裝置和技術位置, 公司能夠更好地管理並控制設定和作業控制之間的間距, 確保後門不被打開, 防止惡意之人存取關鍵系統和持卡人資料遠端存取技術常常用作存取關鍵資源與持卡人資料的後門透過斷開不使用的遠端存取技術 ( 例如, POS 機供應商其他供應商或商業合作夥伴提供的用於支援系統的技術 ), 可最大程度減少網路存取及由此造成的風險建議使用控制措施斷開非活躍狀態時間達到 15 分鐘的裝置更多關於此主題的資訊, 請參閱為確保所有工作人員都知悉不得儲存或複製持卡人資料至其個人電腦或其他媒體的職責, 相關政策應明確禁止此類活動, 但已獲得明確授權的工作人員除外任何獲得此類授權的工作人員負責確保其掌控的持卡人資料必須按照所有 PCI DSS 處理, 因爲此時遠端工作人員的環境已被視爲組織持卡人資料環境的一部分如果沒有明確定義安全角色和責任, 則與安全團隊之間的互動可能不一致, 進而導致不能安全地實施技術或使用過時或不安全的技術透過特定政策, 令每名具有資訊安全管理責任的人員或團隊都清楚自己的職責和相關任務如果沒有此責任制, 程序之間的差距可能導致允許存取關鍵資源或持卡人資料如果工作人員未接受安全責任方面的教育, 則已實施的安全防護措施和程序可能會因錯誤或故意操作而變得無效第 45 頁

46 在入職時教育工作人員, 並且每年執行一次教育培訓註 : 教育方法多種多樣, 具體取決於工作人員的角色及其存取持卡人資料的級別如果安全意識計劃不包括定期復訓課程, 金鑰安全流程和程序可能被忘記或跳過, 導致關鍵資源和持卡人資料洩露初始和復訓培訓的在關注點和深度上有所差異, 具體取決於工作人員的角色, 並且培訓應針對特定人員量身訂做例如, 資料庫管理員的培訓課程可專注於特定技術控制和程序, 零售出納的培訓可專注於安全交易程序建議持續更新相關認識, 確保員工及時知悉最新的政策和程序傳送方法也存在差異, 以適合特定人員或待傳送的培訓例如, 初始和年度培訓應透過正式的親自動手或基於電腦的培訓課程交付, 持續定期更新則可透過電子郵件海報和新聞稿等交付工作人員每年至少確認一次他們已閱讀並瞭解安全政策和程序工作人員提供書面或電子確認通知可確保他們已閱讀並瞭解安全政策 / 程序, 同時已做出並繼續做出遵守這些政策的承諾 12.7 在錄用之前甄選合適的工作人員, 以最大程度降低内部攻擊的風險 ( 背景調查的範例包括以前的雇用歷史犯罪記錄信用歷史和證明人調查 ) 註 : 對於將被特定職位錄用的工作人員 ( 例如在完成交易時一次只能存取一個卡號的商店收銀員 ), 本僅為建議 12.8 如果持卡人資料與服務提供商共用, 則維護並實施管理服務提供商的政策和程序, 以包括以下各項 : 在錄用將涉及存取持卡人資料的工作人員之前執行詳盡的背景調查可有效降低具有可疑或犯罪背景之人未經授權使用 PAN 和其他持卡人資料的風險公司應制定並執行背景調查政策和程序, 包括哪些背景調查結果會對其聘用決定造成影響 ( 以及影響爲何 ) 的決策程序為確保有效性, 背景調查的級別應與特定職位相符例如, 較大責任或需要對關鍵資料或系統進行管理性存取的職位較之較小責任和存取權限的職位, 需要執行的背景調查更加詳細程序也可包含内部職位調動, 較低風險職位且尚未經歷詳細背景調查的工作人員晉升或調職至更大職責或存取權限的職位時必須執行此程序如果商戶或服務提供商與其他服務提供商共用持卡人資料, 則某些適用, 確保此類服務提供商對持卡人資料進行持續保護維護服務提供商清單維護所有服務提供商的記錄可識別潛在風險會擴展至組織之外何處服務提供商出具書面合約, 由其確認對自己擁有的持卡人資料的安全性負責, 並保留此合約確保已建立雇用服務提供商的程序 ( 包括雇用前相應的盡職調查 ) 維護計劃, 以每年至少監控一次服務提供商的 PCI DSS 遵從性狀態服務提供商的確認通知可證明其承諾妥善維護從客戶處獲取之持卡人資料的安全, 進而負有維護它們的責任程序確保服務提供商的任何參與行爲均經過組織内部的詳盡審核, 其中可能包括在與服務提供商確立正式關係之前進行風險分析知悉服務提供商的 PCI DSS 合規性狀態可保證他們遵循的和您組織的相同如果服務提供商提供各類服務, 此僅適用於實際交付給客戶的服務以及客戶 PCI DSS 評估範疇内的服務例如, 如果提供商提供防火墻 /IDS 和 ISP 服務, 則僅利用防火墻 /IDS 服務的客戶可能僅包括其 PCI DSS 評估範疇内的服務 12.9 實施事故回應計劃隨時準備立即回應系如果詳盡的安全事件回應計劃沒有為有關各方正確傳播閲讀和瞭解, 則統一回應的混亂和缺乏可能會造成第 46 頁

47 統漏洞事件制訂事故回應計劃, 以便在系統漏洞事故發生時實施確保計劃至少可以處理以下各項 : 出現威脅時的角色責任以及溝通和聯絡策略, 其中至少包括向支付品牌發岀通知具體的事件回應程序業務恢復和持續程序資料備份程序分析法律, 以報告出現的威脅涵蓋和回應所有關鍵系統元件參考或包括支付品牌的事件回應程序業務停機時間延長不必要的公共媒體曝光和新的法律責任事件回應計劃應詳盡全面, 包含所有關鍵要素, 允許公司在發生可能影響持卡人資料安全的安全性缺口事件時作出有效回應至少每年測試一次該計劃如果未正確測試, 可能會遺漏關鍵步驟, 進而導致事件期間的曝光率增加如果事件回應計劃已在去年全面啓用, 並涵蓋計劃的所有元件, 則對實際事件的詳細審查及回應可足以提供合適的測試如果最近僅啓用計劃的部分元件, 則剩餘元件仍需要進行測試如果在過去 12 個月内未啓用計劃的任何元件, 則年度測試需包含計劃的所有元件指定一天 24 小時一週 7 天隨時準備回應警報的特定人員針對負責回應安全漏洞的員工提供相應培訓包括來自於入侵偵測系統入侵防禦系統和檔案完整性監控系統的警報根據以往的經驗教訓結合行業發展情況制訂有關修改和改進事故回應計劃的程序如果未建立一支訓練有素且隨時待命的事件回應團隊, 則網路受到的損害可能會擴大, 關鍵資料和系統可能會因處理目標系統不當而受到污染這將妨礙事後調查的成功實施如果内部資源不可得, 請考量與能夠提供此類服務的供應商簽訂合約這些監控系統旨在專注於資料的潛在風險, 對於採取迅速操作來防止安全性缺口至關重要, 並且必須包括在事件回應程序之内事後將經驗教訓納入事件回應計劃有助於及時更新計劃, 並且能夠應對新興威脅和安全趨勢第 47 頁

48 A.1 的 : 對共同託管服務提供商的其他 PCI DSS A.1: 共同託管服務提供商保護持卡人資料環境根據 12.8 中的規定, 所有可存取持卡人資料的服務提供商 ( 包括共用主機提供商 ) 必須遵守 PCI DSS 此外, 2.4 還規定, 共同託管服務提供商必須保護各實體的託管環境與資料因此, 共用主機提供商另外還必須遵守附錄中的 A.1 根據 A.1.1 至 A.1.4, 保護每個實體 ( 即商戶服務提供商或其他實體 ) 的託管環境和資料 : 託管提供商必須滿足這些以及 PCI DSS 其他所有相關部分的註 : 即使託管提供商可以滿足這些, 也不能保證託管服務提供商所服務的實體的合規性各實體必須符合 PCI DSS 規定並驗證合規性 ( 如適用 ) A.1.1 確保每個實體僅執行可存取該實體持卡人資料環境的程序 A.1.2 僅限每個實體對其自己的持卡人資料環境的存取和權限 A.1.3 確保已啟用記錄和稽核記錄, 它們對每個實體的持卡人資料環境都是唯一的, 而且符合 PCI DSS 10 A.1.4 啟用在任何託管商戶或服務提供商出現漏洞時及時提供取證調查的程序 PCI DSS 附錄 A 供共用託管提供商使用, 以便其為商戶及 / 或服務提供商客戶提供符合 PCI DSS 的託管環境這些步驟以及所有其他相關的 PCI DSS 均應得到滿足如果允許商戶或服務提供商在共用的伺服器上運行自己的應用程式, 則這些程式應隨同商戶或服務提供商的使用者 ID 運行, 而非已授予權限的使用者已授予權限的使用者可能會存取所有其他商戶和服務提供商的持卡人資料環境以及自己的持卡人資料環境為確保存取和權限受到限制, 以便每個商戶或服務提供商僅可存取自己的持卡人資料環境, 請考慮以下項目 :(1) 商戶或服務提供商網路伺服器使用者 ID 的權限 ;(2) 授予閲讀寫入和執行檔案的許可 ;(3) 授予寫入系統二進制數的許可 ;(4) 授予存取商戶和服務提供商記錄檔案的許可 ; 以及 (5) 確保商戶或服務提供商無法壟斷系統資源控制措施記錄應在共用託管環境中可用, 以便商戶和服務提供商可存取並審查針對其持卡人資料環境的特定記錄共用託管提供商必須建立相關程序, 在需要對危害進行法庭辯論調查時提供迅速且簡明的回應, 並適度調低詳細程度, 以便個別商戶或服務提供商的詳細資料可用第 48 頁

49 附錄 A: PCI 資料安全標準 : 相關文件以下文件的編制目的在於協助商戶和服務提供商理解 PCI 資料安全標準以及合規性和責任文件 PCI 資料安全標準和安全評估程序導覽 PCI DSS: 理解資料安全的目的 PCI 資料安全標準 : 自我評估問卷說明和 PCI 資料安全標準 : 自我評估問卷 A 和證明 PCI 資料安全標準 : 自我評估問卷 B 和證明 PCI 資料安全標準 : 自我評估問卷 C-VT 和證明 PCI 資料安全標準 : 自我評估問卷 C 和證明 PCI 資料安全標準 : 自我評估問卷 D 和證明適用對象所有商戶和服務提供商所有商戶和服務提供商所有商戶和服務提供商 9 符合資格的商戶 9 符合資格的商戶 9 符合資格的商戶 9 符合資格的商戶 9 符合資格的商戶和服務提供商 PCI DSS 與 PA-DSS 術語縮寫和首字縮寫所有商戶和服務提供商 9 為確定合適的自我評估問卷, 請參閱 PCI 資料安全標準 : 自我評估問卷說明和中的選擇最適合您組織的 SAQ 和證明章節第 49 頁

投影片 1

投影片 1 資料庫管理程式 ( 補充教材 -Part2) 使用 ADO.NET 連結資料庫 ( 自行撰寫程式碼以實現新增刪除修改等功能 ) Private Sub InsertButton_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles InsertButton.Click ' 宣告相關的 Connection