在Target,Neiman Marcus违规后,PCI合规性是否意味着什么?

Target和Neiman Marcus最近发生的数据泄露事件再次表明,遵守支付卡行业数据安全标准(PCI DSS)并不能保证不会受到入侵。

目前尚不清楚的是,问题是在于标准本身,还是在于实施和评估标准的方式。

周四,NeimanMarcus成为最新一家认为PCI合规性对重大入侵几乎没有带来安全性的公司。

内曼•马库斯首席信息官迈克尔•金斯顿(michaelkingston)在致美国参议员理查德•布鲁门塔尔(richardblumenthal)的一封信中解释了最近曝光110万张支付卡的漏洞,称尽管该公司的安全措施超过了PCI标准,但还是发生了入侵事件。

塔吉特上个月披露了一个数据泄露事件,暴露了4000万人的信用卡数据,据信在入侵发生时也符合PCI标准。

近年来遭受重大数据泄露的其他几家公司也声称,尽管它们被认证为符合PCI标准,但还是遭到了泄露。

安全分析师和研究人员对可能发生的事情有不同的看法。

几年前,Visa、MasterCard、americanexpress和其他主要的信用卡协会建立了PCI,目的是让公司在处理信用卡和借记卡数据时采用一套安全控制措施。多年来,尤其是零售业,据信已花费数十亿美元实施PCI要求,并在强制性第三方合规性评估上花费数十亿美元。

像Target和Neiman Marcus这样的公司尽管坚持PCI,却以如此惊人的方式妥协,这让很多人感到烦恼。

研究公司Gartner的分析师阿维瓦利坦(Avivah Litan)说,这些漏洞“凸显了PCI和安全行业的弱点”。例如,据利坦说,PCI标准中的任何东西都不能在入侵发生之前帮助目标检测和阻止入侵。

她说:“PCI确实要求对恶意软件进行检查,但没有一款典型的反恶意软件产品能够找到目标恶意软件,PCI也没有要求正在出现的下一代反恶意软件安全。”。

利坦说,其中一些问题可能与评估合规性的方式有关。大多数评估都是使用以前已知的攻击向量和威胁进行的。目前还没有评估公司是否准备好应对新的威胁。”这就是为什么我们需要一个新的模式和支付系统内部更强大的安全性,”利坦说。

独立PCI顾问jameshuguelet表示,PCI标准最大的问题是它不要求公司对运动中的数据进行加密。虽然该标准对静态数据的加密有要求,但对整个事务处理链中的实际数据没有这样的要求。

Huguelet说:“这导致了活跃交易过程中的许多点,在这些点上,犯罪恶意软件可以在信息经过时‘监视’这些信息,而这些信息似乎是在Target发生的。”。最好的办法是要求所有持卡人的数据在刷卡时一直加密,直到到达商户的银行进行处理。

“这将使商家的整个零售基础设施脱离支付罪犯的枪眼。根本不会有任何支付数据可能从零售商那里被盗。”。

Huguelet说,这样的端到端加密可能成本高昂,但这是一次性的成本,肯定会推动零售安全的真正和持久的改进。

SANS研究所新兴技术主管johnpescatore说,这些漏洞指出PCI实现失败,而不是标准本身缺乏控制。佩斯卡托雷说,该标准中有很多内容本应使塔吉特和内曼·马库斯能够在入侵的途中捕捉到入侵,或者找到并封锁入侵者闯入网络的路径。

“行使担保权并非小事。但问题不在于PCI DSS或其他标准中缺少一些要求事实上,试图将特定需求塞进标准中会适得其反。这毫无意义。”

佩斯卡托雷说,PCI过程中需要改变的部分是合规性评估过程。

验证公司合规状态的认证安全评估员往往做得不够好。”实施或过程失败应该由每年进行评估的评估人员或者每季度进行一次漏洞扫描来发现但是,年度评估往往抓不到太多信息,季度漏洞扫描也不够频繁。”

执行该标准的PCI安全理事会没有立即发表任何评论。

本文,在Target,neimanmarcus违规之后,PCI合规性是否意味着什么?,最初发表于计算机世界.com.

Jaikumar Vijayan涵盖数据安全和隐私问题、金融服务安全和Computerworld的电子投票。在Twitter@jaivijayan上关注Jaikumar或订阅Jaikumar的RSS提要。他的电子邮件地址是jvijayan@computerworld.com。

更多信息请参见Jaikumar Vijayan计算机世界.com.