Netop：定义 PCI 范围的最佳实践

 

支付卡行业数据安全标准 (PCI DSS) 的目标是提供监管指南，以保护客户数据并增强全球安全性，最终帮助商家在其业务中取得成功。

然而，对于许多组织来说，了解他们是否完全合规并且跟不上不断变化的标准可能会令人困惑，尤其是当他们与供应商合作管理运营时。

处理 PCI DSS 合规性的一种方法是更好地了解 PCI 范围以及如何定义数据环境的不同方面。 有了关于范围是什么以及如何定义 PCI 范围的正确信息，零售组织可以降低合规性和运营成本，并避免潜在的惩罚。

PCI 范围是什么意思？

PCI DSS 要求定义的范围确定了“与 CHD [持卡人数据] 的安全性交互或可能以其他方式影响其安全性的人员、流程和技术。” 本质上，任何与 CHD 相关的系统组件都属于 PCI DSS。 这些组件包括持卡人数据流环境 (CDE) 以及连接到系统或支持系统的任何其他组件。

在 PCI 范围内，有三种不同的 CHD 管理方式：

• · 如何存储
• · 如何处理
• · 如何传播

为了准确访问和定义 PCI DSS 范围，组织需要创建数据流图来评估 CHD 如何在系统中移动。 这有助于组织了解该系统的哪些部分除了保持合规性之外还需要适当的安全性。 与系统建立网络连接的组件示例包括：

• 硬件：个人电脑、POS终端、移动设备和任何其他用于处理数据的硬件
• 软件：支付处理软件
• 网络：以太网、蓝牙、防火墙或用于系统各部分之间通信的任何虚拟连接

为什么 PCI DSS 范围界定很重要？

 

PCI 范围界定很重要的原因有很多，但最终目标是保护。 这种保护包括 CHD、组织的网络和供应商。 属于 PCI 范围的一切都是潜在的攻击面，或者是网络犯罪分子可以访问 CDE 并窃取信息的地方。

通过准确的范围界定，组织可以：

• 查明需要 PCI 控制的确切位置，以及不需要 PCI 控制的位置
• 提供更好的安全性和合规性
• 避免使用不需要的额外安全控制的不必要成本

确定哪些属于 PCI 范围的过程还可以帮助组织确定不在范围内的那些领域，称为“解析”。 分解过程允许组织最大限度地减少保护 CDE 所需的安全控制。 分解可能涉及以下内容：

• 限制有多少人可以访问系统（用户访问）
• 简化流程
• 确定最适合独特 CDE 的技术和软件

那么，您的组织如何才能缩小 PCI 范围以提高效率和安全性？ 以下部分将提供提示，以帮助您分解与 CDE 相关的范围并构建更强大的系统。

如何减少 PCI DSS 范围

有许多有效的策略可以减少 PCI 范围，包括限制对 CHD 的访问及其传输位置。 安全远程访问工具提供的以下策略的组合可以成为增强安全性并确保完全合规的有效方法。

1. 减少 CHD 与网络分割的交互

 

网络分段涉及分离（或隔离）在网络中交互的不同设备和用户，以限制与 CHD 的交互。 它有助于将范围外的组件与 PCI 范围内的组件分开。 虽然 PCI DSS 不需要它，但建议将其作为有效支持系统的一种方式。

网络分段的一些示例是：

• 在 CDE 和网络之间安装网络防火墙
• 安装和更新防病毒软件以防止恶意软件
• 为包括供应商在内的所有用户在各个级别实施强密码

实践中网络分割的一个例子是将医疗设备与特定网络分离，以防止设备受到访问者网页浏览的影响。

网络分段的好处包括：

• 限制网络攻击造成的损害：如果发生攻击，分段可以防止恶意软件移动到系统的其他部分。
• 保护设备：有些设备更容易受到攻击，因此需要更多的保护来抵御可能通过互联网使用带来的网络攻击。
• 限制 PCI 范围系统的数量：合规性要求和审计仅适用于范围内的系统，这可以节省金钱和时间。

2. 点对点加密保护数据

 

请务必注意，加密并不一定意味着可以从特定环境中删除 PCI DSS 标准，或者该环境超出范围。由于加密环境仍包含 CHD，因此它们属于 PCI DSS 要求。

使用强密码进行加密是满足 PCI DSS 要求 3.4 的可接受方式，但可能不足以将 CHD 完全排除在范围之外。由于组织（内部部署）在其系统中存储了加密密钥，因此从技术上讲，如果网络犯罪分子能够侵入系统，则可以访问 CHD。如果供应商持有加密密钥，则可能会缩小 PCI DSS 的范围。

为了使本地加密缩小范围并保持合规性，组织必须使用点对点加密 (P2PE)。这涉及从数据被捕获到其将被存储的端点的那一刻保护数据。这可以保护进入硬件（如密码键盘或其他 POS 设备）的所有 CHD 数据。使用 P2P 加密，即使在 PCI 范围之外的设备上也能提供最大的安全性。

P2PE 为您的系统带来的好处包括：

• 降低丢失 CHD 的风险，因为您的系统中的数据不可能被解密
• 可能会减少 PCI DSS 范围
• 由于要求较少，使 PCI DSS 合规性更简单

3. 通过标记化保持数据安全移动

 

标记化是一种获取敏感数据（如 CHD）并将其转换为不敏感的标记的方法，从而有效地将其从您的系统中删除。 由于标记化数据在技术上不再是数据，因此不再将其视为范围内的数据，因为它不存储、处理或传输实际的 CHD。 虽然标记化很有帮助，但它并不一定保证您的系统符合要求，因此请检查特定标准以确保您符合所有必要的标准。

为了正确保护这些数据，标记化应该在您的系统之外进行，这样它就不会触及您环境的任何方面。 这允许组织从 PCI 范围中删除他们的网络并保持合规。 在 CHD 过程中越早进行标记化，您就越有可能缩小范围。

标记化的好处包括：

• 更安全的环境，更少的数据泄露
• 兼容不同类型的支付
• 除信用卡数据外还处理个人信息

4. 外包以避免 PCI 暴露

零售商出于多种不同原因使用供应商，其中之一是外包 PCI 合规性解决方案。 由于维护内部 PCI 合规性可能既复杂又昂贵，因此有时允许符合 PCI 标准的供应商作为您组织的合作伙伴承担某些职能是有帮助的。

其中一个示例是 POS 远程访问。 一个合规、有效的远程访问工具允许您使用一个工具整合设备和网络的安全解决方案，以提供高质量的保护，防止数据泄露和对 CHD 的威胁。 使用合规安全远程访问的一些好处是：

• 端到端加密
• 完整的审计日志
• 多因素身份验证
• 用户访问控制

虽然这可能有助于缩小范围，但可能无法消除范围。 此外，重要的是要检查您考虑的任何供应商是否可以提供其 PCI 合规性的证据。 与供应商合作可能代价高昂，但也可以降低与 PCI 范围相关的成本，并且比您自己的环境更安全。 如果您通过降低 PCI 合规性来节省资金，那么供应商的成本可能是值得的。

关于减少 PCI 范围的误区

当您考虑组织的 PCI 合规性并缩小 PCI 范围时，在选择产品和服务之前需要注意一些误区。 这对于可能被众多可用选项和压倒性的 PCI 要求所淹没的小型组织尤其重要。 以下是一些常见的误区：

误解 1：单一供应商可以使组织合规

组织需要满足 12 项 PCI DSS 要求，但能够满足所有 12 项要求的供应商并不多。它们涉及您系统和 PCI 合规性的某些方面，并且可以成为减少 PCI 范围某些部分的可行解决方案，但您仍然必须考虑整个系统的安全性。

商家和供应商需要找到合规工具来满足 12 项要求中的每一项，而不是针对 PCI 合规性的一个包罗万象的答案。

误解 2：PCI 合规性确保安全

网络安全和保护 CHD 超出了 PCI 合规性。虽然它无疑是您的安全协议的重要组成部分，但网络犯罪分子不断寻找访问系统的新方法，并且 PCI 标准必须改变以进行调整。一次成功完成 PCI 评估并不能确保未来的合规性或安全性。

在标准更改时支持您的系统的一种方法是选择超出合规性的工具。无论是远程访问软件、硬件还是 IT 服务，确保合规性的唯一方法是确保您的合作伙伴能够应对 PCI 标准的变化。

误区 3：我们必须将 CHD 存储在我们的系统中

如果您是商家，PCI DSS 和支付卡公司建议不要存储 CHD。您实际上不允许将磁条上的数据存储在卡上，并且必须根据 PCI DSS 标准对卡正面的任何信息进行加密。

误区 4：完成自我评估问卷 (SAQ) 使我们合规

一些商家不需要进行现场评估来确认 PCI 合规性，因此 SAQ 可以满足当时的 PCI 范围。但是随着标准的变化以及您依赖不同的工具和服务，您的系统将需要不断的通过以确保合规性和总体安全性。

选择 Netop 远程控制以保持 PCI DSS 合规性

保持 PCI 合规性对于您组织的安全和避免潜在的巨额罚款至关重要。 Ponemon Institute 的 2018 年数据泄露成本研究发现，全球数据泄露的平均成本为 386 万美元，比上一年有所增加。 按照这种轨迹，人们可能会认为随着 PCI 标准的更新，罚款可能会继续增加。

掌握不断变化的标准，无论是针对 PCI 范围界定还是其他监管机构，不仅是一个法律问题，而且是一个安全问题。 如果您需要安全的远程访问解决方案，Netop 远程控制就是您的不二之选。 使用我们的软件，您可以放心，无论您从何处连接，您的设备、平台和网络都是安全的。 立即联系我们进行试用，了解我们如何支持您保持 PCI 合规性。