PCI DSS v4.0 合规审查重点之 IAM 和报告内容

PCI DSS 是一项网络安全标准，得到所有主要信用卡和支付处理公司的支持，旨在确保信用卡和借记卡号码的安全。PCI DSS 代表支付卡行业数据安全标准。

公司可以通过满足标准规定的报告要求来证明他们已经实施了该标准；那些不符合要求或被发现违反标准的组织可能会被罚款。

PCI DSS 由支付卡行业安全标准委员会管理，它建立了任何接受信用卡支付的公司都必须实施的网络安全控制和商业惯例。

信用卡和借记卡号码可能是最有价值的数字序列：任何有权访问它们的人都可以立即进行欺诈性购买并从用户帐户中榨取资金。由于银行和其他信用卡发卡行通常会在这些情况下向客户退款，因此确保信用卡号在整个经济生态系统中传输时保持安全符合他们的既得利益。

PCI 安全标准委员会由这些行业参与者创建，以确保涉及信用卡号码的交易尽可能安全。委员会制定了不同行业领域的组织必须实施的几项安全标准：例如，PCI PTS 涵盖基于 PIN 的设备制造商，而 PCI PA-DSS 管理编写管理持卡人数据代码的软件开发人员。

PCI DSS 标准为企业制定了 12 项基本要求。我们在这里列出了4.0 版的要求，尽管它们在很大程度上与 3.2 中的要求相似。

1、安装和维护网络安全控制，以防止未经授权访问系统。

2、对所有系统组件应用安全配置。这么说似乎很明显，但不要使用供应商提供的默认系统密码和其他安全参数尤为重要。

3、保护存储的帐户数据；

4、在开放的公共网络中传输持卡人数据时使用强加密技术。这两个要求确保您保护静态和动态数据。

5、保护系统和网络免受恶意软件的侵害。恶意软件是黑客用来访问存储数据的工具，因此需要时刻保持警惕。

6、开发和维护安全的系统和应用程序。您不仅需要推出安全措施，还需要确保它们是最新的。

7、根据业务需要限制对持卡人数据的访问。这通常是数据安全的基本基础，但在涉及财务数据时尤其重要。

8、识别用户并验证对系统组件的访问。这不仅可以防止未经授权的数据访问，还可以让调查人员确定是否有授权的内部人员滥用数据。每个授权用户都有自己的访问 ID，而不是为所有访问帐户的员工共享一个 ID，这一点尤为重要。

9、限制对持卡人数据的物理访问。并非所有数据盗窃都是高科技黑客攻击的结果。确保没有人可以轻易地拿走您的硬盘或收据。

10、记录和监控对网络资源和持卡人数据的所有访问。这是最常违反合规条款的要求之一，但它至关重要。

11、定期测试安全系统和流程。

12、维护解决信息安全的策略。最后这两个要求确保您为满足前十个要求而采取的步骤是有效的，并成为您组织机构文化的一部分。

许多组织有多个 IAM 方案，但在涉及 PCI DSS 等强大的合规性框架时，他们忘记了一些需要重点关注的方案。至少有两个方案需要审查，但请考虑您是否有更多类似下面的潜在且可能不完整的列表：

云服务主账户管理AWS（亚马逊网络服务）、微软Azure、谷歌云平台（GCP）、甲骨文云架构（OCA）、

名称服务注册商（例如，GoDaddy、网络解决方案）

DNS 服务（例如，Akamai、CloudFront）

证书提供商（例如，Entrust、DigiCert）

IaaS（基础设施即服务）和 SaaS（软件即服务））帐户（例如：Digital Realty、Equinix、Splunk、USM Anywhere ( USMA )、Rapid7）

服务器和网络设备管理帐户管理（防火墙、路由器、VPN、WAF、负载平衡器、DDoS 预防、SIEM、数据库、Wi-Fi）

内部用户帐户管理，（Active Directory、LDAP 或等同物，以及可能充当人员扩充或维护和维修服务、API 访问的第三方）

消费者账户管理（通常使用一组不同的加密、工具和特权或功能，在员工登录时在单独的数据库中进行自我管理）。

PCI DSS v4.0 将要求扩展到所有系统、自动访问、认证测试和 API 接口，因此也需要考虑这些。

底线是，无论某人或某物以何种方式验证他们使用设备、服务或应用程序的授权，该授权必须映射到提供给该参与者的角色和特权。目标是确保每个人都获得能够完成他们的预期功能所需的最少特权，并且可以对他们的行为负责。

应将尽可能多的设备集成到一个通用模式中，因为拥有多个仅具有本地管理员帐户的设备是灾难的根源。如果可以从一个已验证的帐户中进行权限升级，则发生这种情况的机制也必须被彻底记录和监控。

PCI DSS 合规要求中的第七项需要评估员审查可以分配给个人的角色和访问权限和分组，以及这些个人是否经过特别授权可以拥有这些访问权限和角色。这包括物理和逻辑访问。

PCI DSS 合规要求中的第九项特别询问访问者获得对任何敏感区域的物理访问权限的基于业务的需求和授权。在编写政策和程序以及授予物理访问访问权限时，必须记住经常访问者，例如看门人和 HVAC 维护人员。

然后，第八项要求评估员将角色、特权和分配与实际的当前员工放在一起，并验证这些员工当前拥有的特权、已获得授权并与授权特权相匹配。这是 PCI DSS 为数不多的永久要求之一，因此如果授予和授权任何个人或自动化访问的文书工作丢失，则必须重新创建以显示对当前访问权限和特权的授权。

PCI DSS v4.0 需要对 API 进行更多的审查——这是应用程序编程的一个不断增长的方面。设计工程师需要确保 API 和自动化流程获得或获得他们自己特定的、唯一的授权凭据，并且接口具有使用为需求创建的相同模式精心计划、记录和管理的会话控制特征，必须防止跨会话数据污染和/或捕获。如果 API 作为商业现成 (COTS) 产品分发，则不能将默认凭据编程到其中，但安装过程必须要求或适当创建和存储强凭据以供管理和使用。

合规要求的第一项和第六项也会影响角色和权限分配，在当今的DevSecOps和敏捷世界中，网络和代码部署中开发和生产之间的职责分离变得模糊。然而，PCI 的标准仍然很严格并且需要这样的分离，对非常小的操作提出了挑战。目的是任何人（或登录 ID）都不应该对任何事情进行端到端控制，并且任何人都不应该审查和授权他们自己的工作。这可能意味着小型组织需要与一名或多名审核人员确认。

即使在开发人员有时需要访问实时生产环境以诊断特定故障的大型组织中，他们也不得使用与开发相同的登录 ID。组织可以选择asmith作为开发人员角色，并选择 andys作为同一个人的管理登录 ID，以确保有意限制权限升级并易于跟踪（根据合规要求中的第十项）。此外，任何人都不应该使用提升的权限来执行他们的日常工作。

接下来，允许进入您的持卡人数据环境 (CDE) 的第三方 - 例如出于维护目的 - 必须始终获得特别授权（物理上或逻辑上）并在他们在那里时受到监控。如今，大多数 SIEM 工具都在不加区别地监控所有内容，但 PCI 还表示，一旦不再需要，就必须立即切断它们的访问权限。

这可能意味着对他们的逻辑访问进行时间限制，并且确实意味着在他们在场时护送他们。还必须授权和鼓励工作人员挑战没有徽章或没有护送人员的人，并护送他们离开任何敏感区域，直到他们的护送人员与他们团聚。如果您的员工可以访问存在 PCI 敏感数据的客户场所，（无论是物理上还是逻辑上）他们必须以类似的方式行事。

PCI DSS v4.0 还增加了一项要求，即任何可以交互使用（例如调试）的正常自动化过程必须记录发生的任何交互使用，并附上适当的个人归属。

最后，PCI DSS 4.0 为合规要求的第十一项添加了使用高访问权限的凭证测试（尽管不一定是管理权限），这要求将这些凭证设计到总体要求中的第七项的架构中并遵守第八项要求的限制和约束。

PCI DSS 标准及其相关的合规性报告中隐含了几个问题，这些问题在实践中很少得到解决。这经常出现在我必须评估的渗透和漏洞测试报告中。

首先是一种与寻求评估的实体的书面政策和程序相匹配的方法。我经常看到提供商指定的方法，而不是客户指定的方法。作为客户，您至少应该询问（可能是不同的提供商）：

内外网漏洞测试

应用层和网络层的内部和外部渗透测试

分段测试

API渗透测试

Web 应用程序漏洞测试。

这些类型的测试中的每一种都需要应用于持卡人数据环境 (CDE)的所有适当的范围内元素。通常，您会向测试人员提供 URL 列表或 IP 地址列表。PCI 要求提交与支付页面相关的所有可公开访问的资产以供测试。由于动态 IP 分配非常普遍，尤其是在云环境中，因此请确保您在每个季度的测试订单中提供一组一致的地址信息。

确保经批准的漏洞扫描供应商 (ASV)的扫描操作是经过您和 ASV 证明的扫描，并且扫描报告需要显示足够的详细信息以了解扫描的内容和结果。前两个摘要页面很少足以让评估员使用，因为它们可能会提供扫描的资产数量和发现的数量，但没有关于扫描内容的具体信息。

您需要向测试提供者指定每份报告必须包含的内容，具体如下：

测试人员的证书和培训记录显示在过去 12 个月内接受过适当的培训

如果是执行测试的内部资源，请在报告中解释它们如何独立于管理被测设备的组织。（例如，管理员向 CIO 报告，测试人员向 CTO 报告，尽管这可能意味着测试人员和开发人员在同一个组织中，不一定是独立的）。

上一次测试完成的日期（以证明至少每季度或每年执行一次）。

当前测试执行的日期。

补救测试的日期及其具体涵盖的内容，以及新结果的摘要（合格安全评估员 (QSA) 在评估时很难识别仅重写旧结果）。

涵盖的所有 URL 和 IP 地址，并解释为动态 DNS 分配所做的任何调整，例如在云平台中，任何删除或添加到先前测试的清单（已弃用的平台、维护中因此未被发现、集群添加等），在预定测试期间进行维护的任何资产都必须在恢复联机后立即对其进行测试，否则它们可能会在很长一段时间内没有进行测试。

解释任何资源，其结果包含在报告中，但实际上不属于 CDE 范围，因此可能不需要范围内设备确实需要的补救措施（例如，CDE 相邻网络上的打印机）。

解释为什么通过测试发现的任何问题并认为失败实际上与整体安全态势无关。（这可能是内部生成的，而不是测试报告的一部分）。

测试人员在报告中列出了前一年出现的可疑和确认的安全问题，并说明了测试如何确认这些问题得到了充分修复。至少，关键响应小组解决的任何问题都应包含在此处。

确认 PCI 要求的任何其他方法（特别是对于分割，以及测试如何涵盖所有使用中的分割方法）。

在未来的 PCI DSS 4.0 评估中，测试人员还必须证明他们的测试工具是最新的，并且能够模拟所有当前和新兴的攻击。这并不意味着 QSA 无法与任何东西相比的另外 100 页的插件修订版。必须在测试行业内开发用于测试和被测系统组件修订级别验证的新范例。

PCI DSS 4.0 要求中的第 11.3.1.2 项也需要经过认证的内部漏洞扫描。这需要创建要分配给测试用户 ID 的角色和权限，包括足够级别的权限以提供有意义的测试，而无需根据要求为测试提供超级用户能力，管理授权以启用为测试创建的帐户，以及每六个月对角色和凭据进行管理验证。合规要求的第八项控制也适用于为测试创建的凭据。其中包括但不限于最少 12 个字符的密码、唯一密码、监控相关用户 ID 的活动以及在不使用时禁用帐户。