2016年9月，支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)( PCI SSC )迎來10周年紀(jì)念。這個(gè)由主流信用卡品牌創(chuàng)建的組織，成立目的就是為強(qiáng)化支付卡信息的安全保護(hù)。PCI SSC 管理著支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)( PCI DSS )，也就是任何存儲(chǔ)、處理或傳輸支付卡信息的組織都必須遵守的要求。PCI SSC 一直基于最新威脅和企業(yè)環(huán)境中不斷增加的復(fù)雜性，持續(xù)修訂 PCI DSS 。

適逢 PCI SSC 里程碑式的10周年之際，探討一下這一標(biāo)準(zhǔn)的成功之處和所遭遇的問題，或許會(huì)帶來一定的啟發(fā)作用。沒有哪個(gè)標(biāo)準(zhǔn)能毫發(fā)無損地通過行業(yè)審查；事實(shí)上，標(biāo)準(zhǔn)幾乎總是落后于創(chuàng)新。然而，PCI DSS 卻是極少見的，超前于潮流的標(biāo)準(zhǔn)之一。

要讓一個(gè)行業(yè)能夠評(píng)估自身狀況，一個(gè)可供做出判斷的客觀基準(zhǔn)是必須的。PCI DSS 就設(shè)定了那個(gè)基準(zhǔn)。

PCI DSS 為尋求保護(hù)客戶支付卡信息的公司提供了有效的起始點(diǎn)。發(fā)現(xiàn)支付卡數(shù)據(jù)存儲(chǔ)地、鎖定可能造成泄露的漏洞、修復(fù)這些漏洞并告知相關(guān)銀行和信用卡商的過程，是強(qiáng)力信息安全項(xiàng)目的一個(gè)基本方面。

PCI SSC 經(jīng)常更新 PCI DSS 以便企業(yè)可以領(lǐng)先最新威脅一步，在他們的業(yè)務(wù)環(huán)境越來越復(fù)雜的情況下，也能更好地保護(hù)客戶的支付卡數(shù)據(jù)。自2006年 PCI DSS 第一版發(fā)布以來，PCI SSC 已對(duì)該標(biāo)準(zhǔn)更新了7次。頻繁的改變，對(duì)緊跟技術(shù)和業(yè)務(wù)環(huán)境的發(fā)展而言十分必要。但是，它同時(shí)也提出了重大挑戰(zhàn)，尤其是對(duì)勉力跟上的小商戶而言。

PCI DSS 要求企業(yè)進(jìn)行季度漏洞掃描，并向?qū)徲?jì)者報(bào)告修復(fù)情況。而且這些掃描是不算在年度 PCI DSS 全面評(píng)估當(dāng)中的。無論有沒有這些要求，企業(yè)都應(yīng)該持續(xù)遵循最佳實(shí)踐。對(duì)那些不這么做的企業(yè)來說，至少客戶能夠確保每年有幾次會(huì)有最低限度的注意力投放到發(fā)現(xiàn)和修復(fù)漏洞上。

最新一版的 PCI DSS 3.2，添加了對(duì)第三方服務(wù)提供商的要求。正如過去幾年激增的重大數(shù)據(jù)泄露事件表露出來的，第三方一直是信息安全中的薄弱環(huán)節(jié)。PCI DSS 3.2 要求服務(wù)提供商進(jìn)行季度審查，確保人員遵從安全策略和操作規(guī)程。提供商還被要求至少每半年對(duì)分段控制進(jìn)行滲透測試。

太多公司將 PCI DSS 合規(guī)視為一路打勾下去的走過場，而不是實(shí)踐良好的整體網(wǎng)絡(luò)安全。企業(yè)應(yīng)從基于風(fēng)險(xiǎn)的視角看待網(wǎng)絡(luò)安全，讓網(wǎng)絡(luò)風(fēng)險(xiǎn)管理享受到與其他操作性風(fēng)險(xiǎn)同等的持續(xù)性優(yōu)先對(duì)待。

有分布式遺留環(huán)境(比如在上百個(gè)商場的自營終端上部署的多代銷售終端系統(tǒng))的大型企業(yè)，在保持對(duì)不斷變化的 PCI DSS 的合規(guī)上舉步維艱。只要標(biāo)準(zhǔn)進(jìn)行了更新，企業(yè)就得努力確保他們的技術(shù)和安全控制也更新到合規(guī)的程度，而當(dāng)企業(yè)環(huán)境遍布全球時(shí)，這項(xiàng)工作推行起來就十分棘手了。如果企業(yè)從一開始就實(shí)現(xiàn)強(qiáng)力網(wǎng)絡(luò)安全防護(hù)，那他們就能在 PCI DSS 合規(guī)工作中領(lǐng)先一步。

對(duì)很多公司而言，季度和年度合規(guī)報(bào)告，是一項(xiàng)耗時(shí)耗力的手工工作，要將數(shù)據(jù)抽取到一連串的電子表格中呈現(xiàn)給審計(jì)者看。人工將網(wǎng)絡(luò)風(fēng)險(xiǎn)信息編譯進(jìn)各種各樣的電子表格，是一項(xiàng)恐怖的、分散精力的、資源密集型的任務(wù)，往往迫使安全團(tuán)隊(duì)將視線從安全防護(hù)上調(diào)離開來。網(wǎng)絡(luò)風(fēng)險(xiǎn)報(bào)告必須自動(dòng)化，不僅僅是為了 PCI DSS 審計(jì)，更重要的，是讓安全高管、業(yè)務(wù)線應(yīng)用程序所有者，以及董事會(huì)，能夠理解安全團(tuán)隊(duì)在保護(hù)公司資產(chǎn)上所做的努力。

除了人工編譯 PCI DSS 合規(guī)報(bào)告的精力消耗，錯(cuò)誤和偏差也會(huì)不可避免地混入到數(shù)據(jù)中。某些情況下，企業(yè)沒時(shí)間收集數(shù)據(jù)，于是就使用了以前報(bào)告中的過時(shí)信息。人工企業(yè)采用了自動(dòng)化收集、分析和報(bào)告網(wǎng)絡(luò)風(fēng)險(xiǎn)信息的做法，那么所有利益相關(guān)者就能工作在同步的數(shù)據(jù)集上了。

PCI DSS 合規(guī)過程需要在合規(guī)、安全、IT和業(yè)務(wù)線應(yīng)用程序所有者之間進(jìn)行協(xié)調(diào)。然而，這幾方往往是各自為戰(zhàn)，造成四處滅火和垂死掙扎的窘狀。為保持領(lǐng)先，業(yè)務(wù)線應(yīng)用程序所有者應(yīng)該成為程序和數(shù)據(jù)防衛(wèi)戰(zhàn)中不可或缺的一部分，而不僅僅是流程末端無足輕重的一個(gè)簽名。