中国,北京 – 2015年6月,PCI安全标准委员会发布了PCI DSS特定机构补充验证要求(DESV:DESIGNATED ENTITIES SUPPLEMENTAL VALIDATION)。对PCI合规的长期并且持续的维护是防止机构发生数据泄露的重中之重,该补充验证标准的发布则可以协助将支付安全的要求融入到机构的日常业务处理活动中。DESV提出了基于PCI DSS(支付卡产业数据安全标准)的额外的安全要求,展示了如何将PCI DSS的安全控制要求持续地应用到支付数据的保护中,从而免受安全风险带来的危害,进而在最大限度减少安全事件发生的可能性。该验证要求首先被用于特定的存在较大安全风险的机构(比如大量持卡人数据的处理者、发生数据泄露事件的机构等)。然而,从安全合规的有效维护的角度,我们更建议所有机构参考该准则的要求,确保每年度合规后均保持高安全性的保护状态,而不只仅是在审核时呈现其合规状态。
近期的数据泄露结果调查显示,诸多机构由于PCI产业的发展和推动,已经完成了每年度的PCI合规工作。但是,由于某些机构并没有长期持续的维护PCI合规状态,进而增加了数据泄露发生的可能性。据产业报告显示,大约28%以上的机构并没有在每年度PCI验证之后持续地维护PCI所要求的合规状态。信息安全工作并不是靠一次审核就可以完成并且保障不遭受威胁,而是需要机构将相关要求融入到日常工作中。DESV的提出并不是新的标准要求,最新的PCI DSS v3.1版本要求已经在监控新的风险趋势和持续严格的执行数据安全保护角度进行了关注和强化。该额外验证要求(DESV)的发布则进一步提出应对近期发生数据泄露的安全趋势,旨在帮助机构持续保护支付安全。具体来讲,DESV要求包括如下五个层面:
实现PCI DSS合规体系文档化并验证PCI DSS范围PCI DSS作为日常业务活动控制和管理逻辑访问识别并响应可疑的事件
国际卡组织和相应地收单机构将决定哪些机构被要求执行PCI DSS DESV的评估。据了解,国际卡组织已经积极制定了相应的要求,比如VISA提出从2015年9月1日开始,提交给VISA的涉及大型机构的数据泄露报告需要包括基于该额外验证要求的评估并作为PCI DSS评估事后验证的一部分。
作为专业的信息安全评估机构,atsec将一如既往地积极参与到国际标准的编写和推进。另外,atsec将在近期的PCI安全工程师(PCI SE)培训中提供详细的关于DESV要求的详细讲解和介绍,希望作为支付安全最佳实践在产业内进行推广。
关于艾特赛克(atsec)信息安全
艾特赛克信息安全(atsec information security)是一家独立且基于标准的信息技术(IT:Information Technology)安全服务公司(www.atsec.com),它很好地将商业导向的信息安全方法和深入的技术知识以及全球的经验相结合。atsec在德国慕尼黑成立于2000年,并且通过美国、德国、瑞典和中国的办公室开展了广泛的国际业务。atsec提供的服务包括正式的实验室测试和评估、独立的测试和评估以及信息安全咨询。
atsec提供PCI SSC体系下的服务,并且atsec是一家能够提供PCI DSS和PA-DSS标准的评估服务的QSA公司。atsec中国是目前唯一一家在中国以独立的实体获得了PCI SSC的QSA、ASV和PA QSA资质的中立的信息安全评估机构。atsec的渗透测试、应用安全、ASV(Approved Scanning Vendor)服务和信息安全咨询服务,作为评估服务工作的有力支撑。atsec是一家独立的公司,并且与其它产品供应商没有任何商业关系。
atsec提供美国国家标准与技术研究委员会(NIST:National Institute of Standards and Technology)和加拿大通讯安全协会(CSEC:Communications Security Establishment Canada)制定的密码模块验证体系下的密码模块和算法测试服务。atsec同时提供NIST个人身份验证体系(NPIVP)、密码算法测试(CAVP:Cryptographic Algorithm Validation Program)和安全内容自动化协议(SCAP:Security Content Automation Protocol Program)下的正式的测试,以及GSA FIPS 201 EP下的产品认可测试。
atsec愿意与任何公司合作,无论其规模大小,只要其重视IT安全。