网络分段和 PCI 合规性

制定支付卡行业数据安全标准 (PCI DSS) 合规之旅的起点是网络分段。 这仅需要创建专注于您的数据安全需求的控制。

为了满足 PCI 网络分段标准，您必须首先了解该标准的目标和目的。

什么是持卡人数据环境 (CDE)？

PCI DSS 将持卡人数据 (CHD) 概括为与个人借记卡或信用卡相关的任何个人身份数据。 此定义还包括主帐号 (PAN) 以及服务代码、持卡人姓名、到期日期和任何其他敏感的卡身份验证数据。 简而言之，CDH 包含任何可用于对个人卡进行欺诈性收费或窃取身份的信息。

持卡人数据环境包括参与处理、存储或传输此信息的计算机或网络系统。 CDH 包括相关的系统组件，例如服务器、网络设备、计算设备和应用程序。 这些可能是虚拟组件、安全服务、网络组件、应用程序、服务器类型以及连接到 CDE 的任何其他内容。 如果系统或员工可以访问 CHD，这应该与您公司的其他方面分开。

PCI DSS 和网络分段

网络分段需要查看信息通过您的系统传输的方式。 您应该将 CDE 视为一条河流，将持卡人数据视为在急流中航行的独木舟。 河流通常有多个船只接入点。 同样，您的网络有各种数据访问点。 它们就像河流，有支流与之相连。 只要您的 CHD 可以在您的网络中沿着路径漂浮，就需要建造大坝或保护该支流。

例如，PCI DSS 将连接定义为无线、虚拟化和物理连接。 在这条河下游的任何地方，冠心病都可以进入。 无线连接可以包括蓝牙连接和 LAN。 物理连接可以是 USB 驱动器。 虚拟化连接通常包含共享资源，包括虚拟机和虚拟防火墙。 建议您保护这些数据访问点，以免 CHD 受到威胁。

公司如何界定系统

PCI DSS 范围界定应包括对在 CDE 河流上发现的所有数据访问点和支流进行严格评估。 PCI DSS 评估首先对 CHD 的接受方式和地点进行分类。 在您的 CDE 河岸上来回走动时，您必须查明所有支付渠道以及接受持卡人数据的方法。 此后，遵循从收集到销毁、处置和转移的信息旅程。

您还应该在您的 CDE 上查明和标记我们存储、处理或传输数据的位置。 这种识别可能不仅包括了解谁处理数据，还包括了解信息的处理方式。 您还必须记录为保护数据环境而实施的流程和技术。

在通过您的网络跟踪信息流之后，确保您整合了影响 CDE 的所有流程、人员和系统组件。 这是一个至关重要的步骤，它与前一个不同，因为它要求您超越与 CHD 互动的人。 相反，您必须关注驱动数据环境的人员和系统组件。

审核完您的数据河后，您必须创建用于保护信息的控制措施。 这与大多数河流具有登陆点的方式相同，旨在防止划船者在某些点进入。 从这个角度来看，控制是必不可少的。 同样，您必须找到一种方法来限制关键信息的去向以及谁可以访问它。

为此，需要设置大坝的数据安全版本。 这可能包括设置加密方法和防火墙。 建立控制后，需要将其应用于保护您的流程、系统组件和人员的安全。 最重要的是，您必须监控控件以确保您所做的任何更改都与您的 CDE 一起发展。

是否有任何超出范围的系统？

支付卡行业安全标准委员会 (PCI SSC) 将超出范围的系统定义为无法访问 CDE 系统的系统。 值得注意的是，超出范围的系统已经很少见。 PCI SSC规定系统组件不应该存储、处理甚至传输CHD。 同样，它不应连接到任何涉及 CHD 的网段。

第三方和服务提供商在您的 PCI 安全标准合规范围内。 他们类似于您河流的护林员。 通过成为您的业务合作伙伴，他们为您提供远程服务。 由于它们不断地与您的数据环境互动，它们可能会带来可能危及 CHD 的风险。 这凸显了参与第三方监控以及管理供应商生态系统的重要性。

编者按： Ken Lynch 是一位企业软件初创公司的资深人士，他一直着迷于推动员工工作的因素以及如何让工作更具吸引力。 Ken 创立 Reciprocity 就是为了追求这一点。 他推动了 Reciprocity 的成功，这一基于使命的目标是让员工参与公司的治理、风险和合规目标，以培养更多具有社会意识的企业公民。 Ken 在麻省理工学院获得计算机科学和电气工程学士学位。 在 ReciprocityLabs.com 上了解更多信息。

对此有什么想法吗？ 在下面的评论中让我们知道，或者将讨论带到我们的 Twitter 或 Facebook。

编辑推荐：

• PCI DSS 日志管理
• 确定 SOC2 审计范围
• 审计要求——美国私营公司
• 风险管理计划——它的用途是什么？
• 内部审计有效性数据分析策略