資訊分享 支付卡產業資料安全標準 (PCI DSS) 之探討及實地查核分享 支付卡產業資料安全標準 (PCI DSS) 之探討及實地查核分享 蘇偉慶 財金公司安控部資訊安全組組長 詹永新 財金公司安控部資訊安全組高級工程師 一 前言 為了保護支付卡片持卡人相關資料安全, 支付卡產業安全標準協會 (Payment Card Industry Security Standards Council, 以下簡稱 PCI SSC) 分別從技術面及作業面制定了一系列的安全標準, 除了與儲存 處理或傳送持卡人資料的單位息息相關外, 部分安全標準也與資料處理過程所使用的設備或應用程式的開發廠商有關 本文探討的主題是與服務供應商 (Service Provider) 及商店 (Merchant) 作業相關的 支付卡產業資料安全標準 (PCI Data Security Standards, 以下簡稱 PCI DSS) 經由 PCI SSC 認可之合格安全評估機構 (Qualified Security Assessors, 以下簡稱 QSA) 進行實地查核, 是確認支付卡作業或服務相關單位符合 PCI DSS 安全要求最全面而客觀的方式 以下各節將依序介紹 PCI DSS 的發展過程 安全要求內容 引用方式及實地查核作業流程 二 PCI DSS 沿革 為了保護持卡人資料及交易的安全, 各支付卡組織對於支付卡資料的儲存 處理與交換 相關作業, 相繼提出計畫, 建立相關安全標準與規範 ; 而 PCI DSS 即源自以下五個支付卡組織的計畫 : ( 一 ) Visa:Card Information Security Program ( 以下簡稱 CISP) ( 二 ) MasterCard:Site Data Protection( 以下簡稱 SDP) ( 三 ) American Express:Data Security Operating Policy ( 四 ) Discover:Information and Compliance ( 五 ) JCB:Data Security Program 這些支付卡組織於西元 2004 年共同推出第一版 PCI DSS,2006 年共組專責支付卡產業安全標準發展與管理的 PCI SSC, 除了 PCI DSS 外, 還訂有規範應用程式安全的 支付應用程式資料安全標準 (Payment Application Data Security Standard, 簡稱 PA-DSS) 及規範密碼輸入設備安全的 密碼交易安全 (PIN Transaction Security, 簡稱 PTS) 為確保 PCI DSS 及 PA-DSS 之正確及適用,PCI SSC 持續檢討標準的實作狀況, 並依據資訊技術發展及安全趨勢, 調整相關要求項目, 每 2 至 3 年進行版本更新, 以符合實務需求 PCI DSS 的最新版本為 2010 年 10 月發布的第 2.0 版 68 財金資訊季刊 No.74 2013.04
支付卡產業資料安全標準 (PCI DSS) 之探討及實地查核分享 資訊分享 三 PCI DSS 安全要求 PCI DSS 分為 6 大領域, 共計 12 項要求, 每項要求之下還有更明確詳細的要求 在此僅就各項要求重點說明如下 : ( 一 ) 建立並維護安全網路要求 1: 安裝與維護防火牆及路由器設定, 以保護持卡人資料 防火牆可管制組織對內或對外的網路連結, 或是內部網路對敏感區域的連結 正確的防火牆及路由器設定, 可以阻止不符合安全標準的傳輸活動, 防止不受信任的網路進行未經授權的存取 要求 2: 對於系統密碼及其他安全參數, 請勿使用供應商提供的預設值 供應商預設的系統帳號 密碼及參數設定值, 通常可以透過公開資訊輕易取得, 易遭有心人士熟知利用, 危害系統安全 基於安全考量, 務必變更供應商提供的相關預設值 ( 二 ) 保護持卡人資料要求 3: 保護儲存的持卡人資料 如非, 不要儲存持卡人相關敏感資料 若確有儲存的需求, 須以加密 截斷 遮罩或雜湊等方式處理 要求 4: 針對透過開放的公用網路傳輸的持卡人資料, 予以加密 使用高強度的加密與安全協定 ( 例如 SSL/TLS IPSEC SSH 等 ) 保護於公用網路傳輸的持卡人資料 ( 三 ) 維護漏洞管理程式要求 5: 使用並定期更新防毒軟體或程式 所有可能受惡意軟體威脅的系統, 都必須部署防毒軟體, 並確保防毒機制是最新且啟動的, 以防範病毒 蠕蟲及木馬等惡意軟體的攻擊 要求 6: 開發並維護安全系統和應用程式 所有重要系統都必須完成最新的安全修補更新, 次要系統也須依據安全弱點的風險高低, 儘速更新, 以防範系統遭受攻擊 應用程式則須經由系統開發 變更控管及軟體開發相關安全實務, 確保其安全性 ( 四 ) 實施嚴格的存取控制措施要求 7: 根據業務需要, 限制對於持卡人資料的存取 僅就執行作業所需, 授予相關人員的資料存取權限 要求 8: 為具有電腦存取權限的每個人指定唯一的 ID 為每一個具有存取權限的使用者分別指定唯一的帳號, 以確保使用者對自己的行為負責, 並記錄與追蹤使用者操作重要資料及系統的行為 要求 9: 限制對持卡人資料的實體存取 對於持卡人資料或相關儲存媒體的任何實體存取行為, 都存在非法複製或移除的風險, 必須依人員職責及媒體性質, 進行適當的限制 www.fisc.com.tw 69
資訊分享 支付卡產業資料安全標準 (PCI DSS) 之探討及實地查核分享 ( 五 ) 定期監控並測試網路要求 10: 追蹤並監控對於網路資源及持卡人資料的所有存取 確保使用者的所有活動皆能被完整記錄及追蹤, 以預防及偵測資料外洩情事的發生 要求 11: 定期測試安全系統和程序 定期進行內外部弱點掃描及滲透測試, 檢測相關系統元件的安全 ( 六 ) 維護資訊安全政策要求 12: 維護適用於所有員工的資訊安全政策 資訊安全政策宣示組織對於資訊安全的方向與態度, 所有員工必須瞭解資料的敏感性及應負的保護責任 四 PCI DSS 的引用 PCI SSC 所制定的安全標準已獲得各大支付卡組織的認同, 不過各組織對於標準符合性 (Compliance) 的分級方式及強制事項, 仍保有其自單位的相關規範, 例如 Visa 國際組織的 CISP 與 Account Information Security( 以下簡稱 AIS) 及 MasterCard 國際組織的 SDP 等 以下即以 AIS 為例, 說明 Visa 國際組織如何應用 PCI SSC 的相關規範, 要求各會員單位有效保護持卡人資料 檢視 PCI DSS 符合性的方式有以下三種.. ( 一 ) 自我評估問卷 (Self-Assessment Questionnaire, 簡稱 SAQ) PCI SSC 提供四種不同版本的問卷, 服務供應商及商店可依其業務需要, 選擇適用的版 本, 依據問卷自我評估是否符合 PCI DSS 的各 項安全要求 ( 二 ) 弱點掃描 (Vulnerability Scan) 針對商店或服務供應商對外服務的 Internet Protocol (IP) 位址, 以自動化工具進行非侵入式的弱點掃描, 從外部檢視網路與應用程式的 安全性 掃描工具必須由 PCI SSC 核可的掃描廠商 (Approved Scanning Vendor, 以下簡稱 ASV) 提供 ( 三 ) 實地查核 每年由 PCI SSC 認可的 QSA 進行實地安 全查核, 是檢驗服務供應商或商店是否符合 PCI DSS 安全要求最全面的方式 AIS 係以單位的屬性及交易處理量, 劃分 PCI DSS 符合性要求的等級 服務供應商依交 易量 ( 每年儲存 處理或傳送的 Visa 交易筆數 ) 分為兩個等級, 如表 1 所示 檢視方式 表 1 AIS 服務供應商的符合性要求 符合性要求等級 每年由 QSA 進行 PCI DSS 實地查核 每季由 ASV 進行網路弱點掃描 每年完成 PCI DSS 自我評估問卷 (SAQ) 第 1 級 (Visa 年交易超過 30 萬筆 ) 選項 第 2 級 (Visa 年交易少於 30 萬筆 ) 建議 對於以 VisaNet Extended Access Server (VEAS) 直接連接 VisaNet 的服務供應商,Visa 國際組織均歸類為第三方 VisaNet Processors (VNPs), 不論交易筆數多寡, 其符合性要求皆比照第 1 級之服務供應商, 實地查核報告須直 接送交 Visa 國際組織 70 財金資訊季刊 No.74 2013.04
支付卡產業資料安全標準 (PCI DSS) 之探討及實地查核分享 資訊分享 對於處理 Visa 交易的商店,AIS 也是依交易量分為四個等級, 各有不同的符合性要求及執行單位 如果商店因遭受攻擊以致持卡人資料外洩, 其符合性要求等級將會被提高 ( 相關細節請參閱 Visa 國際組織 AIS 網頁的說明 ) MasterCard 國際組織的 SDP 類似 Visa 國際組織的 AIS 或 CISP, 也是以 PCI DSS 為基準, 對於服務供應商或商店的分級與要求也幾乎一致 ( 讀者如有興趣可查閱相關網頁或文件 ) 五 PCI DSS 實地查核 依據 Visa 國際組織之分類, 財金資訊公司 ( 以下稱財金公司 ) 屬上一節介紹的第三方 VisaNet Processors 服務供應商, 每年必須由 PCI SSC 認可之 QSA, 針對 PCI DSS 安全要求的符合性進行實地查核 以下係依據財金公司歷年實務經驗, 說明實地查核的作業流程 : ( 一 ) 選擇合格評核機構選擇 QSA 是 PCI DSS 實地查核作業的首要之務,PCI SSC 官方網站 (https://www. pcisecuritystandards.org/approved_compani es_providers/qsa_companies.php) 列有 QSA 相關資訊, 可依據公司名稱 地點 國家 服務區域及支援語言等各種搜尋條件 ( 如圖 1 所示 ), 迅速找尋最合適的 QSA 圖 1 PCI SSC 網站的 QSA 查詢網頁 www.fisc.com.tw 71
資訊分享 支付卡產業資料安全標準 (PCI DSS) 之探討及實地查核分享 選定 QSA 後, 須確認其查核人員是否合格 除可要求 QSA 提供查核人員的合格證書 ( 如圖 2 所示 ), 亦可利用 PCI SSC 官方網頁 (https://www.pcisecuritystandards.org/approved_ companies_providers/verify_qsa_employee.php), 輸入公司名稱 姓氏或證書號碼, 查詢相關人員是否取得有效的合格證書 接受實地查核事前應準備之資料包含 : 1. 支付卡業務範圍的網路架構圖 2. 持卡人資料流向圖 3. 資訊安全政策及執行程序等相關文件 4. 支付卡業務範圍的軟硬體設備清單 5. 支付卡業務的應用系統清單 6. 支付卡業務的資料儲存清單 7. 內部網路區段資料 8. 每季內部及外部弱點掃描報告 ( 最近四次 ) 9. 網路及應用系統滲透測試報告 ( 最近一次 ) 10. 無線網路掃描報告 圖 2 PCI SSC 查核人員的合格證書 ( 二 ) 時程安排與資料準備 PCI DSS 實地查核針對 12 項安全要求須進行多達 288 項的檢測程序, 且查核範圍可能跨不同部門, 通常須安排一星期的查核期間 為了使查核作業能順利進行, 事前的時程安排及資料準備十分重要 以財金公司為例, 依 Visa 國際組織規定, 每年 9 月底前須提交 PCI DSS 實地查核之符合性報告 (Report on Compliance, 簡稱 ROC) 及符合性聲明 (Attestation of Compliance, 簡稱 AOC), 因此下列作業項目的時程安排, 應以能及時提交報告為前提 : 1. 查核啟始會議 2. 實地查核 3. 撰寫查核報告 4. 提交 ROC 及 AOC 依據 PCI DSS 第 2.0 版的規定, 受查單位每年接受實地查核前, 至少須進行一次檢查範圍的界定, 也就是明確指出涉及持卡人資料處理或儲存的所有系統元件, 包含網路設備 伺服器及應用程式等, 以確認相關系統元件均涵蓋在查核範圍內 近年來虛擬化技術盛行, 若應用於持卡人資料的處理或儲存, 其相關系統元件 ( 如 : 虛擬主機 虛擬路由器 虛擬設備及 hypervisors 等 ) 也應列入查核範圍 依據 PCI DSS 要求 6, 受查單位每季須由 ASV 進行外部弱點掃瞄, 而且最終結果必須是通過 (PASS), 不可以存留任何高風險的弱點, 亦即依業界標準 Common Vulnerability Scoring System (CVSS) 所定義, 基準分 (base score) 達 4.0( 含 ) 以上的弱點 因此, 每季完成弱點掃描後, 應及時安排弱點修正, 直接於目標系統上進行更新, 或透過其他防護機制補強, 將風險降至最低, 且應儘快安排複測, 以確認修正後之掃瞄結果符合要求 ( 三 ) 配合實地查核作業 PCI DSS 實地查核的訪談對象包含資訊 安全 系統 網路及人力資源等相關人員, 72 財金資訊季刊 No.74 2013.04
支付卡產業資料安全標準 (PCI DSS) 之探討及實地查核分享 資訊分享 依各受查單位的組織分工而異 受查單位可事先檢視 PCI DSS 要求的細項內容, 以確定負責的對應單位, 並指派聯繫窗口, 提供查核人員參考, 俾利查核作業之進行 ( 四 ) 實地查核報告產出 QSA 完成實地查核後所撰寫的符合性報告 (ROC), 內容包含以下 6 大章節 : 1. Executive Summary: 說明受查單位之支付卡業務內容, 以及持卡人資料作業環境相關重要元件的高階網路架構圖 2. Description of Scope of Work and Approach Taken: 說明查核範圍與方式, 包含作業環境 網路區隔 抽樣細節 PCI DSS 版本及可能影響持卡人資料安全的無線網路或無線支付應用程式等 3. Details about Reviewed Environment: 詳細說明受查環境, 包含網路架構圖 持卡人資料的作業環境與相關軟硬體清單 接受訪談的人員名單 曾經檢視的文件清單等 4. Contact Information and Report Date: 說明受查單位的聯絡資訊 查核期間與報告日期 5. Quarterly Scan Results: 摘要說明最近四次 ASV 進行弱點掃描的結果 6. Findings and Observations: 說明本次查核的發現事項, 包含不適用 (N/A) 及補償性控制措施 而受查單位的終極目標, 當然是希望所有 PCI DSS 要求細項的查核結果都能落在合規 (In Place) 的欄位中 章即可, 惟 Visa 國際組織仍保留調閱完整查核報告的權利 六 結語 PCI DSS 係以保護持卡人資料安全為出發點, 目標非常明確, 各項安全要求亦相當務實 而經由 QSA 每年進行 PCI DSS 實地查核, 定期檢視相關安全措施是否合宜, 除符合支付卡組織的要求外, 亦可提升保護持卡人資料安全的信心與實作 對於其他應用系統, 各單位也可以適度選擇 PCI DSS 部分項目做為安全要求事項, 以提升整體系統安全 參考文獻 資料來源 1. Payment Card Industry (PCI) Data Security Standard -- PCI DSS Requirements and Security Assessment Procedures V2.0, PCI Security Standards Council, 2010. 2. PCI DSS Quick Reference Guide, PCI Security Standards Council, 2010. 3. http://www.visa-asia.com/ap/tw/merchants/riskmgmt/ ais.shtml,visa 帳戶資料安全 (AIS) 4. 財金資訊季刊第 65 期, 日本支付卡產業資料安全標準 (PCI DSS) 發展現況 5. 財金資訊季刊第 67 期, 支付卡產業資料安全標準 (PCI DSS) 第 2.0 版更新解析 實地查核報告的提交方式, 依各支付卡組 織的規定辦理 依 Visa 國際組織規定, 財金公司僅須提供符合性聲明及符合性報告的第 1 2 www.fisc.com.tw 73