×关闭背景

Atsec刘岩:分享PCI支付卡产业安全动态和最佳实践

2015-04-22 16:12:14      来源:移动LABS       

支付卡商

【摘要】【移动LABS】4月22日-23日,2015中国移动支付产业论坛在北京召开,移动LABS作为大会战略合作媒体受邀现场直播。Atsec刘岩分享PCI支付卡产业安全动态和最佳实践。

【移动LABS】4月22日-23日,2015中国移动支付产业论坛在北京召开,移动LABS作为大会战略合作媒体受邀现场直播。Atsec刘岩分享PCI支付卡产业安全动态和最佳实践。

Atsec董事刘岩

演讲速记:非常感谢移动支付产业论坛给Atsec这样一个机会,分享一下关于支付安全这个领域的经验分享。Atsec是源于德国的一站式的信息安全服务检测类的提供商。在国际信息安全标准领域我们有诸多的一些研究,包括标准的编写、检测和相关的一些支持服务。那么,比较典型的几个安全标准,包括国际的通用评估准则,这个标准专注在大型复杂产品领域,比如IBM的大型主机、操作系统,或者防火墙,网络设备。无论任何领域的产品形态,只要你关注信息安全,有安全功能,则需要考虑CC的合规性。还有像Base1402(音译),是美国提出的关于密码算法和密码模块的检测标准。

   今天在移动支付这样一个场合,我们更多分享一些关于PCI这个领域的心得体会。PCI是支付卡产业相关的一个安全标准。是一整套的标准家族和相关配套的一些支持文档。我们经常说Atsec作为一个桥梁,这个桥梁就是中国的支付产业,特别是支付安全产业的一个动态和国际互通的一个桥梁。Atsec作为PCI产业所授权认可的QSA,也就是审核机构。PAQSA,也就是支付软件的审核机构。以及PFI,作为事后发生安全事件之后取证调研的取证审计机构,这样一个机构做一个实践的动态分享。

   我这边会涉及到三个主要的话题。第一、介绍一下这一年来PCI产业的一些相关动态。第二、专注于移动支付这一块,看看现在产业的一些要求,一些标准有什么样新的发展情况。最后,借这样一个机会,分享一下Atsec对于PCI合规建设思路分享和方法论的一些介绍。

   截止到今天,2015年4月份,应该说全球范围内关注在PCI产业的参与机构已经达到691家。也就是意味着相关的支付产业,这个产业的一些参与者不仅仅是银行,支付机构,还有商户,还有相关的一些服务提供商都已经参与到这个标准的合规建设,或者标准的动态发展。这个标准委员会是在2006年由五大卡组织共同成立的,2006年之前,是分别由各自的平台独立的维护自己的安全标准和安全的审核体系。在2006年之后,这样一个整合带来的结果是,在世界上我们提到移动支付,大家用同样的语言,公认的标准做评判,去对话达到整个产业信息安全,目的是保护每个人用卡的安全程度。现在亚太地区也是最近两年这个数字逐年上升,目前参与机构的数量也是达到30多到40家的程度。

   2013年PCI标准委员会的社区会议分别在美国、欧洲和亚太地区展开。亚太今年10月份的时候在日本东京会有这样一个亚太地区支付卡产业的社区会议。如果在座专家有这块的兴趣,也可以积极进行参与。

   那么,也是借着这个机会,我们分享一下在去年,当时在澳大利亚的悉尼,Atsec邀请了中国的支付公司和商户作为代表,在世界产业内分享中国支付安全的话题。特别是国航作为中国的一个最为著名的航空公司,分享了一下对于国航来讲,它的支付平台,通过PCI的合规建设思路,当时也是非常得到产业认可的思路是我们在首年合规的时候以一个非常精简,非常重要的系统先达到这个产业标准的合规,然后再逐步的把所有的相关的系统都纳入到PCI的合规范围之内。

   谈到PCI标准,PCI标准一共会涉及到主要的、核心的四个相关的标准体系。第一、我们称之为叫PCI  DSS,也就是支付卡产业的数据安全标准。这个标准计划的条目会有一些区别,但是总体来讲,它是面向收单机构、发卡机构、服务提供商和商户,包括刚才提到的目前来讲,国际上动态是银行和支付机构都已经达到了合规的效果。现在很多不同形态的商户,只要你涉及到支付的一些流程,则需要去参考或者是考虑这个标准的一个合规建设。那么,这个是PCI  DSS。

   第二、在中间这个层面的标准。叫做PCI  PA-DSS,是关于支付卡产业的支付应用数据安全标准。这个标准是专注于我们如果有支付软件的开发的一些安全性的建设。包括软件开发的一些流程和相关的一些安全标准的要求。

   第三、PCI  PTS,这个可能在座的很多卡的机具的厂商,或者硬件的提供商会非常了解。它主要是针对与硬件的一个密码输入类的设备的安全要求。

   第四、P2PE,关于点对点的加密标准,是密码模块密码算法的标准有很强的相关性,它需要用到一些加密技术,加密算法的要求。

   2013年6月,PCI推出了一个面向卡厂的逻辑和物理安全要求,主要给银行或者电信运营商提供相关的一些卡片制作的工厂做检查标准,这一块不详细介绍了。

   谈到PCI标准,标准的生命周期是为期三年。特别是PCI  DSS和PCI  PA-DSS这两个标准,每三天在这个过程中生命周期之内都会有很多的不同层面的一些审核,产业的一些动态的分享,以及各个领域,各个行业的专家意见的一些收集。每三年这个标准会更新一次。同时发布之后这个标准一年内我们允许这个标准和老的标准有相当一段时间的共存。但是,这个共存期过了之后,就需要强制使用最新版本的标志。所以,PCI的产业标准是非常实时的、积极的和现在的产业动态挂钩。所以,也是为什么Atsec一直在推荐和建议很多的参与支付的一些角色。无论是厂商、支付机构,甚至银行都能够积极参与到这个产业来,我们共同为这个标准发展做出一些贡献。这个也是在过去的几年内,Atsec所做的一些成果。

   那么,到目前来讲,我们知道3.0版本的标准是一个强制的使用标准。正好在我们参加这次大会之前,应该说上周的时候,4月15号,很多产业的专家也知道,PCI  DSS发布了一个最新版本的小版本的变更,叫做PCI  DSS  3.1版本。这个版本是相对来讲不是很常见的这样一个版本的变更,一般版本的变更会维持相当一段时间,为什么有这样一个小版本的变更?原来是因为原来我们用到的传输协议,TLS和SSL这样一个链路上发现了有可能会导致数据泄露的一些问题。所以,进行研讨,最终把老版本的TLS协议列为不被认可的协议。很多银行用户,甚至一些大型的支付公司他们用户可能会用到老版本的浏览器,可能会用到老版本的SSL。所以这个里面标准提出了一个过渡期,今天起到明年6月30号,还可以使用这个版本。

   除了PCI本身的标准动态和发展以外,PCI产业也在实时的关注很多最新的技术和最新的发展方向。包括我们之前在这个论坛所介绍的比如云的解决方案,令牌化的解决方案,加密的解决方案,移动支付的解决方案。最新也是在2015年3月份,PCI标准会最新发布了对于渗透测试这项工作的指导支持文件。这个文件也是我们在2013年的会议上提出的,为期两年时间,和整个产业共同完成的。对于安全的要求越来越严格,对于审核的机构越来越谨慎。渗透测试必须对范围进行很明确的划分,对于相关的一些漏洞,特别是高危风险的脆弱性必须要进行整改。这一块如果有兴趣,我们可以花更多的时间再进行探讨和交流。

   另外一个分享,去年大家在互联网上,甚至整个支付产业,安全产业都热论了一段时间的话题,就是黑客可能会利用相关数据溢出的风险发现SSL链路上可能导致数据泄露的一些潜在漏洞,从而窃取到传输过程中的一些问题。这里面带来一些我们可能会认为的机密的信息。比如我的卡号,甚至敏感的数据。

   去年的时候,也是爆发了很多安全事件,国内也有很多案例值得分享,国外也有。这个是在互联网上可以找到的案例。Target作为国外一个大型的商户,发生了一起数据泄露,这起数据泄露,本身导致它的收单银行直接把它的商户的情况和他的审核机构泄露,发生了不太好的结果,所以安全的结果永远是在事前,而不是事后,事前有很多方法去解决。相关的Visa合作服务提供商需要达到相关的要求,其中这个监管要求对于信息安全,对于数据安全的基线的要求。我做了一个截图是Visa组织通过第三方支付公司认证。

   移动支付,之前的标准就是如果涉及到一个通用的手机系统,它是在一个受保护的环境下使用的情况。这个时候PCI产业是不能够接受的。也就是之前的衡量可能必须接受,这个支付软件是安装在特定的PCI机具上才能够进行移动支付的PCI的安全认证的审核结果。我们知道现在我们用智能手机做支付的这样一个场景是非常常见的。也是大势所趋,也是非常的方便。所以,这个产业从安全和便利做了很大的一些讨论和平衡。目前来讲,这个产业的接受程度和各位做一个分享。

   最佳实践来讲,我们建议链路上能够考虑相关的一些强加密的算法,强加密的解决方案。从点对点的加密解决方案保证数据传输的安全。从硬件来讲,我们硬件的一些刷卡端,硬件的一些读卡器这一端,我们建议考虑PTS通过硬件的一些安全保护。整个环境来讲,我们提供一个移动支付的解决方案,其实之前几年也非常常见,我们建议整个环境达到相关的一些要求。

   目前对于支付的产业动态,这是2014年年底社区工作会议报告的主要摘要。2015年会关注在这样几个方面,一个是产业合作,因为PCI产业标准是专注于支付的安全性的标准,同时还有像NIST,像GP,还有ISO,PCI的标准也和EMVCo有相辅相成的作用。芯片卡的保护是保护了我们的卡片端,保护了我们的读卡端,但是还是不能够去抵御在我们数据环境内,某一个支付环境内所发生的数据泄露的风险。所以,整个产业,相关的一些标准家族,标准化组织采用了这样一个很强的产业协调的方式去沟通。

   今年的方向会关注在移动支付的令牌化的解决方案的指导,移动数据,以及Android系统上SEC指导。另外,也是建议各位关注一下移动支付应用检查,除了PA-DSS,可以滚珠NIST发布的。令牌化也是一个很好的思路和解决方案用在持有人数据环境的保护上。

   下面介绍一下关于这个标准我们如何去做。首先,就是一个根基。这个标准本身是为了保护用卡安全,这里面分成持卡人数据和敏感的认证数据。但是,它主要的初衷和目的是为了保护我们具有银行卡这样的一个位置。比如我们的信用卡,或者借记卡,都在这个范围之内。

   我们也提及到,这个标准的应用面会越来越广,包括国内机构会采用或者参考这些标准保护他们的重要的信息,我们预付费卡信息的一些保护,从而保证我们整体的数据安全。

   为了达到这样一个数据保护,防止数据泄露的发生。标准提出了六个比较大的层面的要求。它实际上是一个立体的、多维度、多方面的防护,从网络安全,从数据的加密,防病毒,防漏洞角度看,从检测,以及我们自身的机构内部的管理体系建设等。针对这六个大的要求,实际上有12个子要求和300多项检查单。每一个要求都必须直接的达到这个要求,从而说明是整体的PCI合规。所以,有时候我们感觉PCI合规会相对比较复杂,原因也是因为它这个标准是一个说一不二的标准,每一条要求都需要去合规它。

   我先不讲标准的细节,给大家分享一下最近从产业,PCI的报告,这是全球的数据我们看一下这样一个情况。浅色的颜色代表2013年的合规结果。针对12个要求的每个要求柱状的这张图。深色颜色是2014年。从产业来讲,合规的情况是不断往良好的方向做,审核的结果也是不断的趋严,但是要求不断加强。每个标准复杂度不同,可能会有区别。比如标准四是公共开放网络传输的。因为我们去年提到像SSL中枢的漏洞发生,所以这种标准的合规性的建设多少受到一些影响。再比如我们说第六个大的要求,它是非常重要的,面向支付的、软件的安全开发的要求,也是跟刚才提到的PA-DSS标准非常相辅相成,这块关注与直接抵御的漏洞。所以,这块合规的项目也是相对比较难,也是相对比较复杂的一个标准。

   再做一个比对,这个比对是我们用天蓝色的来代表我们的审核所发现的情况的百分比。另外一个概念,叫做事后的取证调研,我们用紫色。就是当如果一家机构发生了数据泄露,当然我们不愿意发生,一旦发生会要求TFI这样一个资质的公司做事后的调研。它调研的情况也是完全基于PCI规定的12个要求,300多个子项看它的合规情况,所以从这个来看,很多要求是匹配的,但是相当一个层面在合规的时候是OK的。但是,发生数据泄露的时候,取证发现了问题,也就代表实际上从产业来讲,有一些机构并没有持续性的来去做合规,而是一次性的为认证达到合规的结果。所以,我们说安全的建设,它是一个长期的过程,是一个日常的过程。我们把这个标准把它做了一个立体化。首先关注于我们公司的策略,物理的安全,网络的安全,系统的安全,以及数据库加解密的解决方案。

   再结合产业的经验,从整个项目实施来讲,从先限级分成六个比较重要的安全建设的里程碑。越往前的里程碑则代表要求是非常重要,优先级最高。比如一定删除三五年的数据,比如有些机构希望达到支付的便利性。现在大家以后得到这样一个共识,我们敏感的认证数据,比附支付密码,绝对不能在授权之后去保存。所以,第一步一定是敏感数据的删除。第二、我们网络的防护。第三、支付应用。第四、网络控制。第五、对于数据本身的保护。第六、整个体系建设的到位。

   所以,基于这样一个里程碑,对于任何一个合规性建设都可以有这样一个结果呈现,从而协助我们的背后机构能够发现更好的思路,更好的项目计划去完成整体的一个项目。

   对于具体的某一个PCI和合规项目我们怎么来执行呢?万事开头难。第一、我们需要执行这样一个准备评估,本身我们从业务的角度识别出来所有的范围内的一些系统组件,最终审核的对象,谈到安全有很多业务安全,但是最终会落实到服务器、网络设备和相关的应用系统。这是基于标准范围的差距。第二、基于差距的整改。可能是技术层面,也可能是管理层面。之后我们基于整改的结果进行正式的审核,以及最后证书报告的发布。

   可以说,整个这个过程中,我们会建议很多的公司内部的相关同事和部门能够参与到安全项目。安全其实主要是在于重视,而不在于投入多少资金。很多我们PCI的合同经验来讲,客户的投入是非常之少的。因为我们会提供比如说很多的免费的开源的解决方案,当然也会提供一些产品的解决方案,由客户来选择,他怎么来适合。

   所以,更多的并不是在于投入多少资金,而是在于这家企业对于安全有多重视。所以,相关的一些技术的团队也需要有一定的投入。比如我们的安全团队,比如我们产品的研发团队,比如说运维团队,可能是最直接的涉及到一些被审核,或者安全建设的贡献度。除此以外,高层管理也是非常重要,还有外部机构的配合。

   这个是展示了一下我们通过PCI的一个结果的呈现。凡是通过PCI审核的机构,如果这家机构同意,而且允许我们会把它放在我们结果的列表上,以供整个产业查询,包括监管机构,包括卡组织,包括一些收单银行和相关的一些商户。可以说整个产业现在来看,最早是由于我们的卡组织,比如Visa等,它推动整个银行,再推动支付公司和商户。但是,这几年我们发现有很多机构去寻求合作的时候,反而是来自于产业链的下游往上游推动。比如我们最近做的一个案例,一个酒店要和另外一些机构合作,所以它的合作机构就提出需要通过PCI。之前我们也接触到一些公司,他也是反向通过国际一些商户对他们的要求通过PCI合规。所以,整个这个产业就变成一个很好的良性循环,整个产业链都要求对方,只要你涉及到支付,涉及到业务合作,都用同样的一个标准去评判。这是目前的一个合规状态的情况。

   合规的价值,我在这样一个场合就不深入的介绍了。我们也知道最近发生了很多事件。包括今天我们还听到不知道是不是确认一些消息,说一些社保信息又发生了泄露。包括12306非支付的领域也发生了泄露。我们支付的产业可能肩负着比另外一些行业更重的角色。因为我们担任的是资金的安全,我觉得合规就是防患于未然,把安全建设放到事前。无论是从品牌的影响,无论是从成本和价值来讲,都是非常巨大的。如果一旦发生了安全事件,我想可能资金的影响是次要的,对于品牌的影响会更大一些。

   所以,我做了一个简单的总结。从外部机构的要求,提高内控,降低成本,特别是保险成本做了一个简要的总结。如果有兴趣,我们也可以把这份文档公开给各位。

   当然,还有一些强制性,现在强制性主要体现在产业的强制性,比如商户的要求,各级大型机构的要求,银行的要求,以及卡组织的要求。以上就是我这边今天的分享,谢谢各位。

声明:所有会议记录均为现场速记整理,未经演讲者审阅,本站刊登此文出于传递更多信息之目的,并不意味赞同其观点或证实其描述。

更多参见现场直播:http://labs.chinamobile.com/mpays_2015


(责任编辑:王砾瑟)
共 1 页
分享到: 0

评论

全部评论我的评论

原媛2015-04-22 16:21

说得不错!

2PM_forever2015-04-22 16:17

发布的还挺及时