名詞解釋
什麼是 PCI DSS——處理信用卡資料的安全標準
PCI DSS 是處理信用卡資料的業者所須遵循的國際安全標準。本文說明它適用於誰、要求什麼——加密、存取控制、監控——以及最安全的選擇:自己根本別持有卡片資料。以防禦視角呈現。
只要你處理卡片資料,PCI DSS 就無可迴避。以下以防禦的措辭,說明它的適用範圍與要點——以及最安全的選擇:「別持有」。
它要求什麼(大致上)
它與其說是某一項技術,不如說是一種維運姿態:在最小的範圍內、以多層方式深度保護敏感資料,並留下紀錄。
保護(加密、存取控制)
以金鑰管理加密儲存的資料、傳輸中加密,並落實最小權限的存取控制(縮小誰能碰卡片資料)。認證與授權是這一切的根基。
加固(消除預設值、漏洞管理)
消除預設密碼與弱憑證,並監控相依套件的 CVE 且加以修補。也包含防惡意程式。
記錄(記錄、監控、定期測試)
留下誰在何時做了什麼的紀錄並加以監控。定期掃描與測試以維持標準。
最安全的選擇:縮小適用範圍
本站觀點:最好的防禦是不持有它
逐條滿足 PCI DSS 的每項要求是很大的工程;最有幫助的,是一種你自己的系統根本不持有卡號的設計。把卡片處理交給合規的服務商,自己只處理一個代碼化的參照,你環境的適用範圍就會急遽縮小。這與本站遵循的原則一致:面對敏感資料,別持有、別放置、最小化——這同時就是合規與最強的防禦。請檢查處理卡片的畫面與流量,別讓它們落進公開目錄或紀錄裡(→ 別把機密放進公開目錄)。
相關的觀念
擴大你的適用範圍(辛苦)
- 把卡號存進自己的 DB
- 許多伺服器與人員都能碰到卡片資料
- 稽核與加密的對象變大,負擔暴增
縮小你的適用範圍(安全)
- 把卡片處理交給合規的服務商
- 自己只處理一個代碼化的參照
- 適用範圍最小化,外洩風險也隨之縮小
接下來閱讀
- 基礎:認證與授權(最小權限存取)· 公開金鑰密碼學(加密的根基)
- 實務:別把機密放進公開目錄 · 監控相依套件 CVE
- 相關:GDPR(個人資料保護)· OWASP Top 10 · 資安的歷史(年表)
出處
- PCI Security Standards Council(官方):pcisecuritystandards.org
FAQ
QPCI DSS 適用於誰?
任何儲存、處理或傳輸信用卡資料(卡號等)的業者——電商網站、實體店面、處理支付的 SaaS。舉證的嚴格程度會隨交易量而增減,但「量小」不等於「免除」。只要一碰到卡片資料,這個標準就開始適用。
QPCI DSS 實際上要求什麼?
大致上:防護網路(防火牆等)、以金鑰管理加密儲存的資料、消除預設值與弱憑證、最小權限的存取控制、傳輸中加密、漏洞管理(修補、防惡意程式)、記錄與監控,以及定期測試。它與其說是某一項技術,不如說是一種維運姿態:在最小的範圍內、以多層方式深度保護敏感資料,並留下紀錄。
Q降低合規負擔最好的方法是什麼?
打從一開始就別把卡號放進自己的系統。把卡片處理交給合規的支付服務商,自己只處理一個代碼化(tokenized)後的參照,你環境的適用範圍就會大幅縮小。你不持有的資料無從外洩——這是遠遠超越卡片本身的最強防禦。