支付行業資訊安全規範解讀與 實施案例分享 鄧永基 Tiger Teng
信用卡金融交易概況 Ref: Nilson Report http://www.nilsonreport.com/publication_special_chart.php 2
信用卡盜刷事件損失 5.3 10,000 Ref: http://www.nilsonreport.com/publication_chart_and_graphs_archive.php?1=1&year=2013 3
4 BIG DATA BREACHES MAP Ref:http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
5 BIG DATA BREACHES MAP Ref:http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
安全事件案例 _ 美國 Target 公司 6
7 Target : 4 千万笔信用卡数据遭窃 5 传送 1 进入点 2 毒虫 5 传送 3 4 散布 搜集 Ref:http://www.businessweek.com/articles/2014-03-13/target-missed-alarms-in-epic-hack-of-credit-card-data#p2
解决速度止血 8
Target 事件 - 高级的持续攻击方式 HVAC 供货商 Fazio Mechanical Services 11/30 告警无人处理 磁条卡 Email 攻击 1 2 毒虫 Sensitive Area 3 进入敏感区 FireEyes Symantec 4 搬数据程序 5 传出资料到欧洲 莫斯科 12/2 告警无人处理 9
10 Time Line 9/2013 11/12 11/27 11/30 12/2 12/12 12/15 18 19 1/10 12 4,000 万笔信用卡资料 7,000 万笔客户资料
Target 事件 安全設備投資 2012 and 2017, U.S. stores spend only roughly 2 percent of their tech budgets on security 管理問題 安全事故的重視問題 Security or (Security + Operations) 存在技術漏洞 No restricted IP, SFTP protocol Microsoft AD Server Weak Protection 11
12 信用卡的生命週期 Service Provider
信用卡交易環節 Card Holder Merchant Card Brands Switches, Clearing Issuing Bank Acquiring Bank Ref: https://www.fisc.com.tw/tc/knowledge/quarterly1.aspx?pkey=a66d7e9e-87be-4689-8086-ad1fe3c55ba9 13
不同的安全標準 ( 各卡別分開 ) 14
PCI DSS 支付卡產業資料安全標準 PCI SSC 組成 五大支付卡品牌組成 PCI SSC ( PCI 安全標準委員會 ) PCI Security Standard Council QSAs (PCI 安全評估員 ) Qualified Security Assessor PCI DSS 核可 On-Site 評估員 ASVs Approved Scanning Vendor PCI 授權掃描機構 PFI PCI Forensic Investigator 調查取證機構 Merchant 特約商店 Service Provider 服務商 PCI SSC QSA ASV PFI PCI: Payment Card Industry
PCI DSS 每三年更新 各領域的問題設置有專門的特別工作組 (SIG:Special Interest Group) 維護研究相關安全技術指導, 如加密 EMV 移動支付 雲計算 滲透測試 安全意識教育等與信用卡相關的保護措施 制定並頒布相關指導規範 16
PCI DSS 國際標準要求 PCIDSS 要求之框架 建立並維護網路與系統的安全保護持卡人資料維護弱點管理計畫實施嚴格的存取控制措施定期監控和測試網路維護資訊安全政策 12 項要求專案 1. 安裝並維護防火牆設定, 以保護持卡人資料 2. 不使用供應商提供的預設的系統密碼和其他參數 3. 保護儲存的持卡人資料 4. 在公共網路中傳輸加密的持卡人資料 5. 保護資訊系統避免惡意軟體攻擊並定期更新防毒軟體之病毒碼及程式 6. 開發並維護系統與應用程式之安全 7. 限制僅有業務需求的人存取持卡人資料 8. 識別與授權可存取的資訊系統 9. 限制持卡人資料的實體存取 10. 追蹤和監控網路環境和持卡人資料的所有操作紀錄 11. 定期測試系統和作業流程之安全 12. 維護對於所有人員的資訊安全政策
Target 事件漏洞 PCIDSS 要求 建立並維護網路與系統的安全 保護持卡人資料 維護弱點管理計畫 實施嚴格的存取控制措施 定期監控和測試網路 維護資訊安全政策 12 項要求專案 1. 安裝並維護防火牆設定, 以保護持卡人資料 2. 不使用供應商提供的預設的系統密碼和其他參數 3. 保護儲存的持卡人資料 4. 在公共網路中傳輸加密的持卡人資料 5. 保護資訊系統避免惡意軟體攻擊並定期更新防毒軟體之病毒碼及程式服器及終端設備漏洞 6. 開發並維護系統與應用程式之安全 7. 限制僅有業務需求的人存取持卡人資料 8. 識別與授權可存取的資訊系統 允許外部廠商 9. 限制持卡人資料的實體存取 10. 追蹤和監控網路環境和持卡人資料的所有操作紀錄 11. 定期測試系統和作業流程之安全 12. 維護對於所有人員的資訊安全政策 網路區隔訪問白名單可能有預設密碼 終端設備記憶體保護 警報反應處理不良服器及終端設備變更監控 內部人員及外部廠商管理社交工程攻擊
PCI 資料安全標準架構 六大目標 6 Goals 十二領域要求 12 Requirements 檢查項目 315 Specifics 技術項目 Technical (60%) 文件化及管理項目 Policy, Procedure and Process(40%) 19
20 PCI DSS 管理結構 Risk Assessment Competence Separation of Duties Policy Role & Responsibility Procedure Forms Configuration Standard Industry Best Practices Approval Evidence Technical Controls Vulnerability Scan Penetration Test Testing Periodically Review Monitoring
21 PCI DSS 管理結構 風險評鑒 方針 能力 腳色及責任 (R&R) 職責分離 程式 表單 配置標準 行業最優方法 技術控制 漏洞安全評估穿透測試 批准 證據 測試 定期審查 監控
Requirement 1: Install and maintain a firewall configuration to protect cardholder data 22
PCI DSS 審查結構 - 以資料為中心
PCI DSS 審查結構 - 以資料為中心
Account Data 25 持卡人資料 Card Holder Data (CHD) Cardholder Data 用戶資料 Items 項目 Primary Account Number (PAN) 卡號 Storage Permission 儲存允許 Yes Render Stored Data Unreadable 加密 Yes Cardholder Name 姓名 Yes No Service Code 服務代碼 Yes No Expiration Date 失效日 Yes No Sensitive Auth Data 敏感授權資料 Full Track Data 全軌資料 No Cannot Store CAV2/CVC2/CVV2/CID 後三碼 No Cannot Store PIN/PIN Block 密碼 No Cannot Store
以資料為核心的邏輯順序 資料 What Data? 只在乎卡號,CVV 必須高度揮發 (Volatile) Why Data? 為什麼需要卡號? 最小原則 (Minimization) Who? 誰需要 Need to know base Where is the data? 處理 儲存 傳輸 ( 流經之處必定高規 ) When & How in the process 26
27 商店 (Merchant) 等級 VISA 等級認證應執行程式有權執行認證單位 1 每年一次進行 PCI DSS 現場稽核, 600 萬筆交易 / 並且每季進行 ASV 網路掃描每年以上 合格評核機構或由公司高階主管簽署之內部稽核報告授權掃描供應商 2 每年完成 PCI DSS 自我評估問卷 (SAQ), 商店 100 萬筆 / 每年並且每季進行 ASV 網路掃描授權掃描供應商以上 3 2 萬筆 / 每年以上 4* 2 萬筆 / 每年以下 每年完成 PCI DSS 自我評估問卷 (SAQ), 商店並且每季進行 ASV 網路掃描授權掃描供應商每年完成 PCI DSS 自我評估問卷 (SAQ), 商店並且每季進行 ASV 網路掃描 ( 選項 ) 授權掃描供應商
28 SAQ 類型 驗證類型 SAQ A 不出示實卡, 外包所有的持卡人資料事宜 說明 SAQ B SAQ C 僅刷讀持卡人資料而不對其進行電子儲存的商戶 獨立的撥號終端商戶, 不對持卡人資料進行電子儲存 支付應用程式系統連接至網際網路的商戶 SAQ D 所有其他商戶和支付品牌認為符合完成
SAQ/QSA 29
SAQ 查檢表 only yes/no 30
QSA 查檢表 31
Attestation - SAQ 32
SAQ/QSA/ISA 33
Attestation QSA AOC Report 34
PCI DSS 實施好處
36 合規 (Compliance) PCI SSC 規範 產業目前針對資訊安全最嚴格的標準 以資訊資料為核心的保護方式 (Data Oriented) 技術管理為本 (Technical Controls) 強調監控與反應 (Monitor & Response) Card Scan FIM(File integrity management) Penetration Test Vulnerability Scan Wireless Scan
37 Business As Usual Sensitive Area FireEyes 進入敏感區 Symantec 搬資料程式
38 Business As Usual 180 天 核准 = 監控 設定 = 測試 Sensitive Area FireEyes 進入敏感區 Symantec 存取資料程式
PCI DSS 服務
40 PCI 審查時程 Engaged Scoping Pre-Assessment 5-7 Days On-site Assessment 1-2 Days Re-visit ROC AOC Questionnaire Off-site Reporting 7-10 Days Accuracy Report 顧問作業
41 時程規劃 (6-8 月 ) 取證 10 月 準備階段 盤點清查階段 建置期 審查期 訓練 技術 管理 認知訓練專業訓練 開發訓練 訪談 Scoping Gap Analysis 差異分析報告業務流分析 DataFlow Diag 差異補強作業網路分析 Network Diag 細部執行計畫組態標準製作無線溢波弱點掃描變更管理卡號掃描例行應辦事項管理管理組織資產盤點風險評鑑政策及標準文件 QSA QSA QSA 改善 2015/4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 2015/12 月 1 完成 DD, ND 5/15 2 管理組織確認 5/20 3 QSA 預檢 5/31 4 產出細部計畫 06/05 Project Milestones 5 完成風險評鑑 06/30 6 完成改善作業 7 發證作業完成 10/31
ASV Report 42
ROC & AOC, Certification of Validation 43
Confirmation of Report Accuracy 44
信用卡收單業務管理法 -25 條 (1/2) 收單機構辦理收單業務時, 應依下列規定辦理 但收單機構所辦理其他業務經主管機關核准接受持卡人以信用卡支付款項者, 不在此限 : 一 非經簽訂特約商店契約, 不得提供刷卡設備並接受特約商店請款 二 簽立特約商店前, 應確實徵信 三 簽立特約商店後, 應加強教育訓練, 並應建立特約商店簽帳交易或請款異常情事之監控與交易終止機制, 及高風險或提供遞延性商品 服務等特約商店之風險控管機制 四 對已簽立之特約商店至少每半年應查核乙次, 查核內容應包含交易異常狀況及聯徵中心之信用記錄, 且對特約商店交易應予監控, 如發現特約商店未經收單機構同意即接受信用卡支付遞延性商品或服務之款項, 或涉有其他違約 違法情事時, 應即對特約商店所為之交易樣態 營業內容等事項進行調查, 並為必要之處置 五 簽帳交易所列印給予持卡人之簽帳單至少應載明收單機構名稱 特約商店名稱 卡別 卡號 授權號碼 交易日期及金額, 且卡號之揭露方式應依主管機關之規定辦理 六 不得與財務資融公司等不提供商品或服務之機構簽訂特約商店契約, http://law.moj.gov.tw/lawclass/lawall.aspx?pcode=g0380055 45
46 信用卡收單業務管理法 -25 條 (2/2) 亦不得讓該等機構介入信用卡交易 七 收單機構所簽訂之特約商店如係使用網際網路交易平台進行信用卡交易者, 收單機構應與提供網際網路交易平台服務業者簽訂契約 八 收單機構應撥付予特約商店之款項, 不得直接撥付予第三人 但網際網路交易平台服務業者就使用該平台接受信用卡交易之特約商店, 如該信用卡交易金額已取得銀行十足之履約保證或全部交付信託, 並經收單機構審核屬實者, 收單機構得依特約商店指示將款項撥付予網際網路交易平台服務業者 九 應對刷卡設備建立控管機制, 以確保交易資料之安全性 十 特約商店之遞延性商品或服務無法提供時, 收單機構應依主管機關規定辦理爭議帳款處理事宜 依前項第八款規定採銀行十足履約保證者, 其所簽訂履約保證之銀行應符合主管機關所定之條件 收單機構所辦理其他業務經主管機關核准接受持卡人以信用卡支付款項者, 應於收單業務部門及該項其他業務部門間建立內部控制及內部稽核機制, 且收單業務部門就該項其他業務部門接受以信用卡支付款項之相關事宜應符合第一項第三款至第五款 第九款 第十款 第二十七條第一項所列事項內容及第五十三條規定
PCI DSS 審查常見問題
PCI DSS 合規審查 PCIDSS 要求之框架 建立並維護網路與系統的安全保護持卡人資料維護弱點管理計畫實施嚴格的存取控制措施定期監控和測試網路維護資訊安全政策 12 項要求專案 1. 安裝並維護防火牆設定, 以保護持卡人資料 2. 不使用供應商提供的預設的系統密碼和其他參數 3. 保護儲存的持卡人資料 4. 在公共網路中傳輸加密的持卡人資料 5. 保護資訊系統避免惡意軟體攻擊並定期更新防毒軟體之病毒碼及程式 6. 開發並維護系統與應用程式之安全 7. 限制僅有業務需求的人存取持卡人資料 8. 識別與授權可存取的資訊系統 9. 限制持卡人資料的實體存取 10. 追蹤和監控網路環境和持卡人資料的所有操作紀錄 11. 定期測試系統和作業流程之安全 12. 維護對於所有人員的資訊安全政策
較為困難的問題 Configuration Standard 不完整 未使用行業最優方法 Firewall Policy 管理 測試 配置 (configuration 管理 ) 的備份 資料庫加密 金鑰管理 Log 搜集 管理 分析 警報 FIM 檔完整性監控 帳號管理 遠端存取管理 Code Review 方法 (6.5.1 漏洞避開 ) Penetration Test ( 滲透測試 ) 49
要求 1: 安裝並維護防火牆配置以保護持卡人資料 Data Flow 只做了一次 Business Flow, Application Structure, System Architect 複雜的網路環境 Firewall Policy, Routing rule, 被打破的 Security Zone Concept 方便了管理 傷害了安全 空降的 SSL-VPN,Leased line 50
要求 2: 不要使用供應商提供的預設系統密碼和其他安全參數 SNMP 的安全性設定 未依照強化標準設定系統 不符合一台主機僅執行一個功能 使用不安全的服務 (Telnet) 未刪除子系統 檔案系統 驅動程式 默許設定 51
要求 3: 保護存儲的持卡人資料 不符合最小資料原則, 儲存非必須資料元素 加解密安全流程不完善 不足的分割知識及雙重控制 (Split of knowledge, dual controls) 金鑰管理不完善 52
要求 4: 加密持卡人資料在開放式公共網路中的傳輸 SSL v3.0, V2.0, SSH V1.0, TLS 1.0 等不安全協議 OpenSSL Https, Http Wireless 傳輸 53
要求 5: 為所有系統提供惡意軟體防護並定期更新殺毒軟體或 Unix, Linux 系統殺毒軟體 殺毒軟體定義更新方式 殺毒日誌未按規定產生 定期掃描 54
要求 6: 開發並維護安全的系統和應用程式 發現潛在編碼漏洞方法執行不全 未更新適用安全補丁 (Critical 一個月 ) 未依據行業標準 / 最優方法執行軟體發展 軟體變更程式執行不完善 影響評估 審批紀錄 功能測試 取消程式 測試環境與生產環境管理 6.5.1 規定之各項漏洞管理 55
56 要求 7: 按業務知情需要限制對持卡人資料的訪問 存取權限限制為執行工作所需的最小權限
要求 8: 識別並驗證對系統元件的訪問 至少每 90 天刪除 / 禁用一次非活動的使用者帳戶 立即撤銷到期用戶的存取權限 第三方的遠端網路訪問 ( 包括基於支援或維護目的的供應商訪問 ) 使用雙因素驗證 未禁止資料庫直接訪問 57
要求 9: 限制對持卡人資料的物理訪問 未限制物理和 / 或邏輯控制, 限制對公共網路插座交換機的訪問 未保護所有媒介的實體安全或外部分發 未再媒介不再需要時應予銷毀 保護通過直接接觸卡本身便可捕獲支付卡資料的設備, 以避免設備被篡改和替換 58
要求 10: 跟蹤並監控對網路資源和持卡人資料的所有訪問 未記載 具有 root 或管理員許可權的個人執行的所有操作 (root 或管理員許可權帳戶的所有變更 添加或刪除 ) 未記載有檢查記錄的訪問 日誌的初始化 關閉或暫停 未有效將即時將檢查記錄檔案備份到難以更改的中央日誌伺服器或媒介中 無法每日審核所有系統元件的日誌和安全事件以識別異常情況或可疑活動 59
要求 11: 定期測試安全系統和流程 未有效檢測無線接入點 未有效修補每個季度運行一次內部和外部網路漏洞掃描 未有效實施穿透測試法 內部 網路分段 未有效執行變更檢測機制 (FIM) 60
要求 12: 維護針對所有工作人員的資訊安全政策 未有效執行或管制 維護及執行安全政策 執行風險評估 關鍵技術的使用 分配安全責任 執行安全培訓 ( 錄取 每年一次 ) 不完善的事故回應計畫 自安全監控系統未能及時警報 未有全天候響應警報的特定人員 61
PCI Assessment ( 清單提供 ) 支付卡業務範圍的網路架構圖 持卡人資料流程向圖 信息安全政策及執行程式等相關檔 支付卡業務範圍的軟硬體設備清單 支付卡業務的應用系統清單 支付卡業務的資料儲存清單 內部網路區段資料 卡號掃描報告 每季內部及外部弱點掃描報告 ( 最近四次 ) 網絡及應用系統滲透測試報告 ( 最近一次 ) 無線接入點清單 無線網路掃描報告 62
Thank you for your attention! 謝謝您的參與, 歡迎提問交流 30.11.2015 63