配置錯誤、訪問控制過失和確定范圍問題位居常見PCI錯誤榜首。在2012年，企業(yè)將繼續(xù)努力完成PCI合規(guī)工作，安全專家警告說，為了更具成本效益地實現合規(guī)和安全目標，企業(yè)需要想辦法避免這些常見合規(guī)錯誤。以下是總結出來的十大PCI合規(guī)錯誤：

1、不遵守最小特權原則

　　根據Viewfinity首席執(zhí)行官Leonid Shtilman表示，企業(yè)對于“PCI 2.2.3: 配置系統(tǒng)安全性參數以防止誤用”并沒有嚴格執(zhí)行。正如他所說，企業(yè)應該深入到用戶角色以確保他們在PCI法規(guī)適用的任何地方遵守了最小特權原則。

　　“允許任何特權用戶訪問所有數據是不能接受的，即使是給服務器管理員的特權也應該根據其具體角色和職責來授予或調整，管理員的角色和職責是直接與履行其工作職責需要使用的應用程序和流程緊密聯(lián)系的，”他表示，“不要多，也不能少，只需要最小特權。”

　　然而，在大多數企業(yè)，這并沒有嚴格執(zhí)行，HyTrust創(chuàng)始人兼總裁Eric Chiu表示。

　　“企業(yè)很多員工擁有數據訪問權，包括那些不需要這些訪問權來完成其工作職能的員工，這種情況并不罕見，”他表示。

2、忽略虛擬化合規(guī)

　　COAlfire Systems公司專業(yè)服務執(zhí)行副總裁Tom McAndrew表示，很多企業(yè)往往忽略了虛擬化合規(guī)，這可能導致很多審計項目不達標。

　　“PCI DSS 2.0規(guī)定即使只有一臺虛擬機包含持卡人數據，你的整個虛擬基礎設施都必須遵守該規(guī)定。挑戰(zhàn)在于：PCI DSS中對于虛擬化的措辭很含糊，這一切都取決于審計員的理解，”他表示，“所以企業(yè)需要確保他們一開始就遵守了這個原則，完全理解風險，并且部署了控制以避免‘最后一分鐘的驚喜’。”

3、沒有更改供應商默認配置

　　在涉及遵守PCI 2.0規(guī)定的2.1條(要求供應商默認密碼和配置需要更改)時，虛擬化又給企業(yè)設了一個圈套。

　　“使用供應商提供的默認配置，虛擬機可以很容易地被復制和部署，”HyTrust公司的Chiu表示，“在傳統(tǒng)IT環(huán)境防止這種情況發(fā)生而部署的控制(例如掃描網絡中的新系統(tǒng))在虛擬環(huán)境變得沒什么作用了，所以審計員可能不會注意到默認配置，因為一個實體需要從虛擬環(huán)境本身來管理虛擬機。”

4、沒有正確定義范圍

　　網絡分段以在較小范圍內加強安全合規(guī)是智能PCI合規(guī)的重要組成部分。

　　“雖然技術上來看，并不是PCI要求，任何了解PCI的人都知道這都與范圍有關，”Coalfire公司的McAndrew表示，“范圍是對所有PCI規(guī)定的定義�！�

　　然而，很多企業(yè)都沒有正確定義范圍。

　　“最常見的錯誤是缺少‘連接到’范圍內系統(tǒng)的系統(tǒng)，”McAndrew表示，“確定系統(tǒng)是否在‘范圍內’的基本途徑是問你自己‘這個范圍外系統(tǒng)是否可能影響持卡人數據的安全性?’如果答案是肯定的，那么這個系統(tǒng)就是范圍內系統(tǒng)�！�

5、注重將事情歸到范圍外

　　雖然將事情歸到范圍外很重要，但是如果企業(yè)更注重范圍外過程，而不是解決真正的風險，這將給企業(yè)造成嚴重影響。

　　“很多商家試圖將系統(tǒng)放到范圍外，而忘了管理稍后可能給企業(yè)帶來嚴重問題的風險。例如，一個商家使用頁面重定向到電子商務網站來支付，以減小范圍，”Voltage Security公司數據保護專家和副總裁Mark Bower表示，“該商家的電子商務服務器可能受到攻擊，攻擊者可能利用假冒的重定向頁面來竊取持卡人數據。范圍外并不意味著不需要關心，也不意味著不會被攻擊者瞄上，如果系統(tǒng)或數據可能受到攻擊，范圍外也將受到攻擊。減小風險應該擺在第一位。這也是PCI擺在首位的事情。”

6、過度使用補償控制

　　根據Voltage公司的Bower表示，如果你認為補償控制能夠緩解合規(guī)壓力，那么，你完全理解錯了PCI的作用。

　　“在沒有辦法直接符合要求時，我們會使用補償控制，例如，一些企業(yè)會認為，因為他們的傳統(tǒng)系統(tǒng)，他們不能加密或令牌化存儲在數據庫或應用程序的的卡數據，”他表示，“現在，完全有可能做到這一點，即使是在MainFrame和HP Nonstop這樣的傳統(tǒng)系統(tǒng)上，減少數據泄露風險的同時，遵守合規(guī)要求�！�

　　除此之外，他警告說，補償控制可能在書面審計和業(yè)務流程和工具方面增加企業(yè)成本。

7、認為PA DSS認證軟件不需要遵守合規(guī)

　　“只是因為你購買了一些PA DSS認證軟件來處理信用卡數據并不意味著你幸免于合規(guī)問題了，”Incapsula公司聯(lián)合創(chuàng)始人Marc Gaffan表示。

　　“PA DSS認證的軟件必須在PCI兼容環(huán)境中運行和操作以滿足PCI DSS合規(guī)，”他表示，“這意味著你需要確保你的IT環(huán)境和所有相關服務供應商也同樣是PCI兼容的，以保持你的認證軟件和電子商務平臺的整體合規(guī)�！�

8、沒有職責分離

　　PCI DSS規(guī)定3.4.1和3.5都提到職責分離是企業(yè)的義務，然而很多企業(yè)仍然沒有進行適當的職責分離，Vormetric公司產品營銷高級主管Todd Thiemann表示。

　　“為了正確進行職責分離，企業(yè)需要有足夠的人員，”Thiemann表示，“一個常見錯誤是允許開發(fā)人員或數據庫管理員看到生產數據，這通常是因為IT部門人員不足造成的�！�

9、加密密鑰管理不當

　　PCI DSS規(guī)定3.5.1規(guī)定企業(yè)需要在盡可能少的地方和形式安全地存儲加密密鑰。問題是，大多數企業(yè)對于密鑰管理都感到恐懼。

　　“企業(yè)不應該將加密密鑰和加密數據存儲在一起。這就好像，你把門鎖上，然后把鑰匙貼在門上一樣，”Thiemann表示，“太多加密解決方案不包括適當的密鑰管理，而當涉及妥當管理加密密鑰時，企業(yè)總是容易出現偷工減料的情況。”

10、沒有跟蹤持卡人數據流

　　總部設在華盛頓特區(qū)的必百瑞律師事務所John Nicholson表示，企業(yè)并沒有為持卡人數據做足夠的工作，以幫助找出什么、哪里、如何和為什么存儲數據。

　　“通過這個過程，企業(yè)可以識別持卡人數據以及其他可能遭受數據泄露的數據集，然后進行加密，”Nicholson表示，“很多企業(yè)發(fā)現他們將持卡人數據存儲在Excel電子表格或者其他難以控制和保護的格式中，通過進行上述提到的數據流分析，企業(yè)可以正確處理這些數據�！�

　　想想，現在應該沒有人還將持卡人數據存儲在電子表格中了吧?不過確實還有，Co3 Systems公司首席營銷官Ted Julian表示。

　　“真實故事：一家中等規(guī)模的公司找到我們，因為他們需要一個更好更方便的解決方案在進行在線注冊，他們當時的解決方案是他們的托管服務供應商發(fā)給他們的Excel電子表格，包括所有信用卡信息---包含CVV代碼，”Julian表示，“而這個事情并不是發(fā)生在2009年，而是剛剛發(fā)生在2012年，我想到這個事情就覺得不寒而栗�！�

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：2012年CIO最應關注的十大PCI合規(guī)錯誤

本文網址：http://www.guhuozai8.cn/html/consultation/1083953425.html