中国,北京 – 2017年11月29日,atsec受邀出席了在上海举办的2017中国航空及旅游-支付及防欺诈论坛,并发表题为“参考PCI浅谈航旅领域支付数据安全”的讲演。
随着电子支付的发展趋势和网络消费行为的暴增,导致个人的基本信息和卡数据等信息更容易被窃取、利用和售卖。数据泄露事件层出不穷,攻防形势不容乐观,需要各个机构持续致力于针对数据安全的保护。在本次论坛中,除了交易欺诈,交易风控被高度重视外,数据安全防护也同样备受瞩目。atsec作为本次论坛唯一一家第三方信息安全机构,站在中立的视角为航旅产业以及支付产业提供了更好平衡业务、风险和安全的新思路。
主题演讲由atsec高级咨询顾问张宁发言,分享了近七年来数据泄露的严峻形势以及全球领域对数据安全保护的措施。atsec凭借在支付卡产业十余年来致力于PCI DSS支付卡产业数据安全标准(PCI DSS: PCI Data Security Standard)的实施经验,从法规到标准,从一般数据到敏感数据由浅入深的讲解了合规的方法和重要性。
在2017年11月刚刚结束的全球支付卡产业社区会议上,来自产业的数据泄露报告中,总结了2010-2016年这几年间的数据泄露事件发生时的时间间隔。我们看到当数据泄露的危险因素发生时,往往是几分钟。而随即发生的数据泄露,短则几分钟,长则数天内即可完成。数据保护的机构则需要持续数天乃至事件已过去数年的时间才会发现。在发现后做出应对,控制局面则更加滞后。
目前,我国已经正式实施网络安全法,对于机构的安全建设起到了积极的推动作用。
atsec顾问指出,全球范围来看欧盟目前在数据保护框架方面的工作较为完善,包括诸多的指令、协议和法规条例,以及出现违规的法则。故而本次讲演首先介绍了欧盟推出的一般数据保护法规(GDPR:General Data Protection Regulation)。
GDPR于2016年4月27日正式发布,将自2018年5月25日起成为强制执行法规。它是对一般性数据在传输、处理和存储的方式上规定的基本法律。过去20多年的时间,欧盟范围内有关数据保护最基本的法律基础为数据保护指令1995年颁布的Data Protection Directive,即我们熟知的95/46指令。
一般数据保护法规适用于数据主体在欧盟境内以及在欧盟境内向数据主体提供产品或服务的数据处理活动的企业,即使数据的控制者不在欧盟境内。据此适用性,部分中国企业必然受到此法规的约束,须遵从GDPR的相关要求,否则将面临高额罚款。对于航旅业来说,用户全球性,服务地点全球性的特点来看,建议尽早遵从法规达到欧盟法律要求,更重要的是为数据保护奠定基础。atsec多年以来致力于数据安全,以及隐私保护的研究,将持续在此领域提供我们的贡献。
从技术层面,数据保护的最佳实践标准不得不提及全球支付产业广泛采用和认可的PCI DSS,PCI DSS的合规非常有效地协助航旅相关机构最大程度降低和抵御来自外界和内部的安全风险,目前诸多的机构均完成了由atsec基于PCI DSS执行的安全合规评估,并持续获得了年度合规的证书。尤其航空公司和旅游支付机构更是很好的致力于PCI DSS合规建设工作,且计划参考PCI DSS标准扩大数据保护范围,由持卡人数据的保护扩大到常旅客信息或者会员注册信息等,在数据安全保护领域也将付出更多的努力。
PCI DSS 诞生于 2006 年,五大国际卡组织成立PCI 安全标准委员会(PCI SSC),负责 PCI 安全标准的制定、管理、教育和普及,授权实验室基于标准执行PCI审核。atsec是经过授权且具备完整审核资质的,全球化发展的独立测评机构。
PCI标准经过产业的诸多研讨和持续的改进,多次进行完善和更新。目前在使用的是PCI DSS v3.2版本。从标准整个发展趋势来看,强调对持卡人数据有更多保护,提出了更立体更细致的要求。这与欧盟数据保护法律的演进趋势一致,强调数据主体对数据拥有更多的控制和保护。
PCI DSS标准涉及如下层面的六个大的要求,分别是建立和维护安全的网络、保护持卡人数据、维护漏洞管理程序、实施强效访问控制措施、定期监控和测试网络、维护信息安全策略。
随后,atsec张宁深入简出地分享了atsec多年以来和诸多金融领域包括航旅行业完成数据安全合规的方法论,以及合规建设值得关注的难点和重点。讲演获得了产业参与专家的高度共鸣。
在完整的支付产业链中,航旅机构大多数是商户角色。相对于银行、第三方支付等支付服务提供商,或许其合规业务的复杂度和逻辑难度有所降低,但是航旅机构涉及的系统组件范围多、涉及的部门和人员多成为此类商户的特点和合规的难点。可以参考的做法是可以先从支付的核心系统或者风险最高的系统入手,第一时间完成核心支付平台的合规。持续的年度合规工作中逐渐扩大合规的范围,例如纳入更多的支付前端系统、呼叫中心、风控等外围系统。
PCI DSS标准的合规不仅能够大大降低数据泄露的发生和诸多的安全风险,进一步加强机构内部管理和控制,还能够很好的塑造国际企业形象,增强机构往来的信心,而从达到与合作伙伴开展良好的往来。
近些年随着跨境旅游市场迅速发展,不断要求提高航空公司的电子直销平台的发展以及在线旅游的全方位服务能力,从而更好的服务旅客。讲演结束后,论讨组织方邀请atsec张宁与其他几位业界的同仁共同参与了圆桌讨论,就实际情况下的问题展开进一步沟通与探讨,几位专家进一步研讨了针对线上交易过程中的风险应采取的战略和措施。作为中立的第三方审核和评估机构,atsec从旅客的个人基本信息、敏感数据安全和风险评估的方面谈及了观点。
随着航空和旅游业在国内和国际范围内的多样性发展,尽管航旅服务不断优化紧跟互联网发展的步伐,但随之的数据安全风险也不断增多。atsec作为专业的信息安全服务机构持续关注市场的发展动态,也在跟进和评估其安全最佳实践和方案,贡献于支付、航旅产业数据和信息安全,以稳定和可靠的服务为信息安全产业健康发展尽一份薄力。
关于艾特赛克(atsec)信息安全
艾特赛克信息安全(atsec information security)是一家独立且基于标准的信息技术(IT:Information Technology)安全服务公司(www.atsec.com),它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec在德国慕尼黑成立于2000年,并且通过美国、德国、瑞典和中国的办公室开展了广泛的国际业务。atsec提供的服务包括正式的实验室测试和评估、独立的测试和评估以及信息安全咨询。
atsec提供PCI SSC体系下的服务,并且atsec是一家能够提供PCI DSS、PA-DSS以及PIN security标准的评估服务的QSA公司。atsec中国是目前唯一一家在中国以独立的实体获得了PCI SSC的QSA、ASV、PA QSA以及PIN security Assessor资质的中立的信息安全评估机构。atsec的渗透测试、应用安全、ASV(Approved Scanning Vendor)服务和信息安全咨询服务,作为评估服务工作的有力支撑。atsec是一家独立的公司,并且与其它产品供应商没有任何商业关系。
atsec提供美国国家标准与技术研究委员会(NIST:National Institute of Standards and Technology)和加拿大通讯安全协会(CSEC:Communications Security Establishment Canada)制定的密码模块验证体系下的密码模块和算法测试服务。atsec同时提供NIST个人身份验证体系(NPIVP)、密码算法测试(CAVP:Cryptographic Algorithm Validation Program)和安全内容自动化协议(SCAP:Security Content Automation Protocol Program)下的正式的测试,以及GSA FIPS 201 EP下的产品认可测试。
atsec愿意与任何公司合作,无论其规模大小,只要其重视IT安全。