Netop：定義 PCI 范圍的最佳實(shí)踐

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS) 的目標(biāo)是提供監(jiān)管指南，以保護(hù)客戶數(shù)據(jù)并增強(qiáng)全球安全性，最終幫助商家在其業(yè)務(wù)中取得成功。

然而，對于許多組織來說，了解他們是否完全合規(guī)并且跟不上不斷變化的標(biāo)準(zhǔn)可能會(huì)令人困惑，尤其是當(dāng)他們與供應(yīng)商合作管理運(yùn)營時(shí)。

處理 PCI DSS 合規(guī)性的一種方法是更好地了解 PCI 范圍以及如何定義數(shù)據(jù)環(huán)境的不同方面。 有了關(guān)于范圍是什么以及如何定義 PCI 范圍的正確信息，零售組織可以降低合規(guī)性和運(yùn)營成本，并避免潛在的懲罰。

PCI 范圍是什么意思？

PCI DSS 要求定義的范圍確定了“與 CHD [持卡人數(shù)據(jù)] 的安全性交互或可能以其他方式影響其安全性的人員、流程和技術(shù)。” 本質(zhì)上，任何與 CHD 相關(guān)的系統(tǒng)組件都屬于 PCI DSS。 這些組件包括持卡人數(shù)據(jù)流環(huán)境 (CDE) 以及連接到系統(tǒng)或支持系統(tǒng)的任何其他組件。

在 PCI 范圍內(nèi)，有三種不同的 CHD 管理方式：

• · 如何存儲(chǔ)
• · 如何處理
• · 如何傳播

為了準(zhǔn)確訪問和定義 PCI DSS 范圍，組織需要?jiǎng)?chuàng)建數(shù)據(jù)流圖來評估 CHD 如何在系統(tǒng)中移動(dòng)。 這有助于組織了解該系統(tǒng)的哪些部分除了保持合規(guī)性之外還需要適當(dāng)?shù)陌踩浴?與系統(tǒng)建立網(wǎng)絡(luò)連接的組件示例包括：

• 硬件：個(gè)人電腦、POS終端、移動(dòng)設(shè)備和任何其他用于處理數(shù)據(jù)的硬件
• 軟件：支付處理軟件
• 網(wǎng)絡(luò)：以太網(wǎng)、藍(lán)牙、防火墻或用于系統(tǒng)各部分之間通信的任何虛擬連接

為什么 PCI DSS 范圍界定很重要？

PCI 范圍界定很重要的原因有很多，但最終目標(biāo)是保護(hù)。 這種保護(hù)包括 CHD、組織的網(wǎng)絡(luò)和供應(yīng)商。 屬于 PCI 范圍的一切都是潛在的攻擊面，或者是網(wǎng)絡(luò)犯罪分子可以訪問 CDE 并竊取信息的地方。

通過準(zhǔn)確的范圍界定，組織可以：

• 查明需要 PCI 控制的確切位置，以及不需要 PCI 控制的位置
• 提供更好的安全性和合規(guī)性
• 避免使用不需要的額外安全控制的不必要成本

確定哪些屬于 PCI 范圍的過程還可以幫助組織確定不在范圍內(nèi)的那些領(lǐng)域，稱為“解析”。 分解過程允許組織最大限度地減少保護(hù) CDE 所需的安全控制。 分解可能涉及以下內(nèi)容：

• 限制有多少人可以訪問系統(tǒng)（用戶訪問）
• 簡化流程
• 確定最適合獨(dú)特 CDE 的技術(shù)和軟件

那么，您的組織如何才能縮小 PCI 范圍以提高效率和安全性？ 以下部分將提供提示，以幫助您分解與 CDE 相關(guān)的范圍并構(gòu)建更強(qiáng)大的系統(tǒng)。

如何減少 PCI DSS 范圍

有許多有效的策略可以減少 PCI 范圍，包括限制對 CHD 的訪問及其傳輸位置。 安全遠(yuǎn)程訪問工具提供的以下策略的組合可以成為增強(qiáng)安全性并確保完全合規(guī)的有效方法。

1. 減少 CHD 與網(wǎng)絡(luò)分割的交互

網(wǎng)絡(luò)分段涉及分離（或隔離）在網(wǎng)絡(luò)中交互的不同設(shè)備和用戶，以限制與 CHD 的交互。 它有助于將范圍外的組件與 PCI 范圍內(nèi)的組件分開。 雖然 PCI DSS 不需要它，但建議將其作為有效支持系統(tǒng)的一種方式。

網(wǎng)絡(luò)分段的一些示例是：

• 在 CDE 和網(wǎng)絡(luò)之間安裝網(wǎng)絡(luò)防火墻
• 安裝和更新防病毒軟件以防止惡意軟件
• 為包括供應(yīng)商在內(nèi)的所有用戶在各個(gè)級別實(shí)施強(qiáng)密碼

實(shí)踐中網(wǎng)絡(luò)分割的一個(gè)例子是將醫(yī)療設(shè)備與特定網(wǎng)絡(luò)分離，以防止設(shè)備受到訪問者網(wǎng)頁瀏覽的影響。

網(wǎng)絡(luò)分段的好處包括：

• 限制網(wǎng)絡(luò)攻擊造成的損害：如果發(fā)生攻擊，分段可以防止惡意軟件移動(dòng)到系統(tǒng)的其他部分。
• 保護(hù)設(shè)備：有些設(shè)備更容易受到攻擊，因此需要更多的保護(hù)來抵御可能通過互聯(lián)網(wǎng)使用帶來的網(wǎng)絡(luò)攻擊。
• 限制 PCI 范圍系統(tǒng)的數(shù)量：合規(guī)性要求和審計(jì)僅適用于范圍內(nèi)的系統(tǒng)，這可以節(jié)省金錢和時(shí)間。

2. 點(diǎn)對點(diǎn)加密保護(hù)數(shù)據(jù)

請務(wù)必注意，加密并不一定意味著可以從特定環(huán)境中刪除 PCI DSS 標(biāo)準(zhǔn)，或者該環(huán)境超出范圍。由于加密環(huán)境仍包含 CHD，因此它們屬于 PCI DSS 要求。

使用強(qiáng)密碼進(jìn)行加密是滿足 PCI DSS 要求 3.4 的可接受方式，但可能不足以將 CHD 完全排除在范圍之外。由于組織（內(nèi)部部署）在其系統(tǒng)中存儲(chǔ)了加密密鑰，因此從技術(shù)上講，如果網(wǎng)絡(luò)犯罪分子能夠侵入系統(tǒng)，則可以訪問 CHD。如果供應(yīng)商持有加密密鑰，則可能會(huì)縮小 PCI DSS 的范圍。

為了使本地加密縮小范圍并保持合規(guī)性，組織必須使用點(diǎn)對點(diǎn)加密 (P2PE)。這涉及從數(shù)據(jù)被捕獲到其將被存儲(chǔ)的端點(diǎn)的那一刻保護(hù)數(shù)據(jù)。這可以保護(hù)進(jìn)入硬件（如密碼鍵盤或其他 POS 設(shè)備）的所有 CHD 數(shù)據(jù)。使用 P2P 加密，即使在 PCI 范圍之外的設(shè)備上也能提供最大的安全性。

P2PE 為您的系統(tǒng)帶來的好處包括：

• 降低丟失 CHD 的風(fēng)險(xiǎn)，因?yàn)槟南到y(tǒng)中的數(shù)據(jù)不可能被解密
• 可能會(huì)減少 PCI DSS 范圍
• 由于要求較少，使 PCI DSS 合規(guī)性更簡單

3. 通過標(biāo)記化保持?jǐn)?shù)據(jù)安全移動(dòng)

標(biāo)記化是一種獲取敏感數(shù)據(jù)（如 CHD）并將其轉(zhuǎn)換為不敏感的標(biāo)記的方法，從而有效地將其從您的系統(tǒng)中刪除。 由于標(biāo)記化數(shù)據(jù)在技術(shù)上不再是數(shù)據(jù)，因此不再將其視為范圍內(nèi)的數(shù)據(jù)，因?yàn)樗淮鎯?chǔ)、處理或傳輸實(shí)際的 CHD。 雖然標(biāo)記化很有幫助，但它并不一定保證您的系統(tǒng)符合要求，因此請檢查特定標(biāo)準(zhǔn)以確保您符合所有必要的標(biāo)準(zhǔn)。

為了正確保護(hù)這些數(shù)據(jù)，標(biāo)記化應(yīng)該在您的系統(tǒng)之外進(jìn)行，這樣它就不會(huì)觸及您環(huán)境的任何方面。 這允許組織從 PCI 范圍中刪除他們的網(wǎng)絡(luò)并保持合規(guī)。 在 CHD 過程中越早進(jìn)行標(biāo)記化，您就越有可能縮小范圍。

標(biāo)記化的好處包括：

• 更安全的環(huán)境，更少的數(shù)據(jù)泄露
• 兼容不同類型的支付
• 除信用卡數(shù)據(jù)外還處理個(gè)人信息

4. 外包以避免 PCI 暴露

零售商出于多種不同原因使用供應(yīng)商，其中之一是外包 PCI 合規(guī)性解決方案。 由于維護(hù)內(nèi)部 PCI 合規(guī)性可能既復(fù)雜又昂貴，因此有時(shí)允許符合 PCI 標(biāo)準(zhǔn)的供應(yīng)商作為您組織的合作伙伴承擔(dān)某些職能是有幫助的。

其中一個(gè)示例是 POS 遠(yuǎn)程訪問。 一個(gè)合規(guī)、有效的遠(yuǎn)程訪問工具允許您使用一個(gè)工具整合設(shè)備和網(wǎng)絡(luò)的安全解決方案，以提供高質(zhì)量的保護(hù)，防止數(shù)據(jù)泄露和對 CHD 的威脅。 使用合規(guī)安全遠(yuǎn)程訪問的一些好處是：

• 端到端加密
• 完整的審計(jì)日志
• 多因素身份驗(yàn)證
• 用戶訪問控制

雖然這可能有助于縮小范圍，但可能無法消除范圍。 此外，重要的是要檢查您考慮的任何供應(yīng)商是否可以提供其 PCI 合規(guī)性的證據(jù)。 與供應(yīng)商合作可能代價(jià)高昂，但也可以降低與 PCI 范圍相關(guān)的成本，并且比您自己的環(huán)境更安全。 如果您通過降低 PCI 合規(guī)性來節(jié)省資金，那么供應(yīng)商的成本可能是值得的。

關(guān)于減少 PCI 范圍的誤區(qū)

當(dāng)您考慮組織的 PCI 合規(guī)性并縮小 PCI 范圍時(shí)，在選擇產(chǎn)品和服務(wù)之前需要注意一些誤區(qū)。 這對于可能被眾多可用選項(xiàng)和壓倒性的 PCI 要求所淹沒的小型組織尤其重要。 以下是一些常見的誤區(qū)：

誤解 1：單一供應(yīng)商可以使組織合規(guī)

組織需要滿足 12 項(xiàng) PCI DSS 要求，但能夠滿足所有 12 項(xiàng)要求的供應(yīng)商并不多。它們涉及您系統(tǒng)和 PCI 合規(guī)性的某些方面，并且可以成為減少 PCI 范圍某些部分的可行解決方案，但您仍然必須考慮整個(gè)系統(tǒng)的安全性。

商家和供應(yīng)商需要找到合規(guī)工具來滿足 12 項(xiàng)要求中的每一項(xiàng)，而不是針對 PCI 合規(guī)性的一個(gè)包羅萬象的答案。

誤解 2：PCI 合規(guī)性確保安全

網(wǎng)絡(luò)安全和保護(hù) CHD 超出了 PCI 合規(guī)性。雖然它無疑是您的安全協(xié)議的重要組成部分，但網(wǎng)絡(luò)犯罪分子不斷尋找訪問系統(tǒng)的新方法，并且 PCI 標(biāo)準(zhǔn)必須改變以進(jìn)行調(diào)整。一次成功完成 PCI 評估并不能確保未來的合規(guī)性或安全性。

在標(biāo)準(zhǔn)更改時(shí)支持您的系統(tǒng)的一種方法是選擇超出合規(guī)性的工具。無論是遠(yuǎn)程訪問軟件、硬件還是 IT 服務(wù)，確保合規(guī)性的唯一方法是確保您的合作伙伴能夠應(yīng)對 PCI 標(biāo)準(zhǔn)的變化。

誤區(qū) 3：我們必須將 CHD 存儲(chǔ)在我們的系統(tǒng)中

如果您是商家，PCI DSS 和支付卡公司建議不要存儲(chǔ) CHD。您實(shí)際上不允許將磁條上的數(shù)據(jù)存儲(chǔ)在卡上，并且必須根據(jù) PCI DSS 標(biāo)準(zhǔn)對卡正面的任何信息進(jìn)行加密。

誤區(qū) 4：完成自我評估問卷 (SAQ) 使我們合規(guī)

一些商家不需要進(jìn)行現(xiàn)場評估來確認(rèn) PCI 合規(guī)性，因此 SAQ 可以滿足當(dāng)時(shí)的 PCI 范圍。但是隨著標(biāo)準(zhǔn)的變化以及您依賴不同的工具和服務(wù)，您的系統(tǒng)將需要不斷的通過以確保合規(guī)性和總體安全性。

選擇 Netop 遠(yuǎn)程控制以保持 PCI DSS 合規(guī)性

保持 PCI 合規(guī)性對于您組織的安全和避免潛在的巨額罰款至關(guān)重要。 Ponemon Institute 的 2018 年數(shù)據(jù)泄露成本研究發(fā)現(xiàn)，全球數(shù)據(jù)泄露的平均成本為 386 萬美元，比上一年有所增加。 按照這種軌跡，人們可能會(huì)認(rèn)為隨著 PCI 標(biāo)準(zhǔn)的更新，罰款可能會(huì)繼續(xù)增加。

掌握不斷變化的標(biāo)準(zhǔn)，無論是針對 PCI 范圍界定還是其他監(jiān)管機(jī)構(gòu)，不僅是一個(gè)法律問題，而且是一個(gè)安全問題。 如果您需要安全的遠(yuǎn)程訪問解決方案，Netop 遠(yuǎn)程控制就是您的不二之選。 使用我們的軟件，您可以放心，無論您從何處連接，您的設(shè)備、平臺(tái)和網(wǎng)絡(luò)都是安全的。 立即聯(lián)系我們進(jìn)行試用，了解我們?nèi)绾沃С帜３?PCI 合規(guī)性。