有時我們做事情並不是因為我們想做,而是必須要做。雖然經常會有違規一下與「試試水溫」的念頭,但內心深處我們會因為知道我們的行為合法而感到釋然,而這才是最重要的。這就是所謂的:合規。
金融業就是這樣的情況。
在高度敏感的持卡人資料(像是持卡人姓名、服務名稱、主要帳號等)經常轉手的環境中,需要對公司該如何處理這類資料且確保合規的做法作出定義。
而其中一項「規則」就是「支付卡產業安全標準(PCI DSS,Payment Card Industry's Data Security Standard)」。
PCI DSS 合規:抽絲剝繭展現基本要素
顧名思義,PCI DSS 係指一套國際公認的要求,旨在確保所有企業都在安全可信的環境中處理、傳輸或儲存信用卡資訊。
PCI DSS 是針對金融業的機構所建立,其中的關鍵各方包括收單機構、服務提供商、銀行、商家、發卡機構及處理機構。
要領很簡單 - 持卡人資料仍然是地球上最具有針對性、最易受攻擊且最敏感的資料類型之一。駭客及不法分子總是伺機而動,想要看看誰敞開了持卡人資料的大門。
而這正是開發 PCI DSS 的原因。引述 PCI 安全標準委員會的說法:建立 PCI DSS 旨在「鼓勵並加強資料安全,並促進全球廣泛採用一致的資料安全措施」。
您可能已經猜到,此法定標準之目的就是要保護消費者和金融界的企業,避免遭受信用卡與簽帳金融卡詐騙。
儘管對 PCI DSS 的合規可帶來明顯效益(例如:減少卡片盜竊事故、增加與合作夥伴的信任等),有些公司仍然選擇另闢蹊徑。這類舉動的反響可能具有毁滅性,特別是當不合規的公司發生資料外洩時。貴公司不會想要走上這條路。
檔案傳輸管理及 PCI 合規:該怎麼做
PCI DSS 目前包含十二項關鍵要求。該標準與檔案傳輸管理有關的主要考量包括:
- 開發並維護安全應用程式及系統
- 保護靜態持卡人資料
- 控制持卡人資料的存取
- 加密傳輸中的持卡人資料
我們來深入瞭解每一項法規要求。
1. 保護靜態資料
這聽起來幾乎不費吹灰之力。
要保護靜態持卡人資料,可以做的第一件事就是減少將其儲存在公司內部網路及系統中。在如此快節奏、多面向又動態的環境中,很多事都可能出錯。
比較好的措施是:建立一套限制內部儲存持卡人資料的數量及其留存時間的做法。僅保留您和您的團隊完成核心營運要求所需要的資料即可。
若為過時的資料,您需要制定策略、做法及準則,以確保其安全刪除。
針對任何需要保存在內部的持卡人資訊,您應利用適當的加密密鑰管理、端對端資料庫加密以及所有安全做法的適當文件紀錄加以保護。小事一椿!
2. 加密傳輸中的持卡人資料
看過影集《紙房子Money Heist》嗎?當然看過!我們可以從這個為期3季的熱門影集中瞭解到,任何移動中的事物總是比在內部時更難以保護。真要說的話,教授和他的團隊幾乎總是發現偷錢比運送錢更容易。他們「辛苦賺來的」錢在外面可能會發生任何狀況。
這就是 PCI DSS 第3節對傳輸中資料加密如此嚴格的原因。
首先要做的是加密所有的持卡人資料,如此一來,當資料通過安全性不佳的開放公共網路時,就不會被不法分子盯上。在這方面如果有任何差池,都可能導致違反 PCI DSS 合規性。
也就是說,移動中持卡人資料的安全傳輸不會憑空發生,需要可靠的密鑰及憑證、強化的加密,以及使用 HTTPS 和 AS1、AS2、AS3 協定來進行安全檔案傳輸。
這部分單靠 FTP 是行不通的。要安全有效地移動檔案,就得選擇安全的 FTP over SSH2(SFTP 及 SCP2)或 FTP over SSL(FTPS)。選擇在您。
至於必不可少的憑證及密鑰,您需要確認其是否可信任,且受到妥善的保存及管理。
3. 控制持卡人資料存取
「存取控制」,嗯,這個詞您應該聽到耳朵生繭了吧?雖然像是陳腔濫調,但 PCI DSS 要求7(Requirement 7)不會在遵守存取控制協定方面冒一絲風險。
要實現最高的合規性,最基本的就是確保只有經過驗證的人員可以存取持卡人資料。此外,還要確認您有適當的程序及做法,以依據工作職責與業務要求調整存取權限。
PCI DSS 也主張存取政策的管理。必須以細緻的方式執行此部分,全面定義企業中不同使用者的存取角色(CTO、員工等),並定義其可存取的應用程式部分(在我們來講,就是檔案傳輸管理解決方案)。
視您的環境系統而定,可能還需要為所有使用者帳戶分配「最低」存取權限。目的是僅給予每一方完成其核心工作職能所需的特定系統或模組的足夠存取權即可。
文件紀錄在各方面都應是一項標準的功能。每當使用者變更其內部角色時,務必記得記錄變更,並根據需要調整其存取權限。
4. 開發並維護安全的系統與應用程式
我們不能忽略了 PCI 的這方面,不是嗎?
不法分子永遠不會停止尋找有機可乘的安全漏洞,因此,在您所有的虛擬或檔案傳輸管理環境中,安全性應是一項持續進行的行動。
PCI DSS 也知道這點。這就是其強調需要在規定期間內部署適當的安全補丁以保護高度敏感的持卡人環境的原因。
記住,此法規適用於您環境中所有的應用程式/模組,而不僅僅是您內部開發的應用程式/模組或是您外包的應用程式/模組。
利用 MOVEit 檔案傳輸確保整體、邊緣對邊緣的合規
若您是在醫療保健或金融等極為敏感的行業中,PCI DSS 合規可能會讓人感覺有龐大的工作量:有太多的存取權限需要處理,需要保護持卡人資料的銜接(靜態及傳輸中),還有需要追蹤的12大項要求。
幸運的是,借助功能強大、高度可擴充的 MOVEit 檔案傳輸管理工具,您再也不用提心吊膽。要保護所儲存的持卡人資料嗎?可以。要建立並維護一個安全的網路嗎?可以。要確保PCI合規嗎?當然也可以。MOVEit 消除了 PCI DSS合 規的慌亂、障礙及麻煩,使整個過程變得輕而易舉。
MOVEit 利用安全的 FTP、SSL/TLS 及 HTTPS,從核心處開始保護傳輸中的持卡人資料。在靜態時,MOVEit 使用全面的 MOVEit Crypto 加密軟體,安全地儲存資料。我們的軟體也允許指派特定的協定存取權限、指派資料夾權限、IP位址限制及其他有限的權限。您不用去猜想是誰在何時存取了哪些持卡人資料。只需點擊一個按鈕,即可知道一切。
如果您需要建立安全連線,讓敏感資料可透過該連線從內部系統移動到外部世界,MOVEit Automation 可以滿足您的需求。
覺得我們適合您的需求嗎?即刻開始免費試用,以最安全、最平順的方式交換您的業務資料!
David Perez
David Perez has been in the tech industry for over 20 years, working for some of the top semiconductor, data center hardware, and enterprise software companies in Silicon Valley and beyond. David is currently the marketing manager for Progress's Managed File Transfer product, MOVEit. Progress is the leading provider of products to develop, deploy, and manage high-impact business applications.