網絡分段和 PCI 合規性

制定支付卡行業數據安全標準 (PCI DSS) 合規之旅的起點是網絡分段。 這僅需要創建專注於您的數據安全需求的控制。

為了滿足 PCI 網絡分段標準，您必須首先了解該標準的目標和目的。

什麼是持卡人數據環境 (CDE)？

PCI DSS 將持卡人數據 (CHD) 概括為與個人借記卡或信用卡相關的任何個人身份數據。 此定義還包括主帳號 (PAN) 以及服務代碼、持卡人姓名、到期日期和任何其他敏感的卡身份驗證數據。 簡而言之，CDH 包含任何可用於對個人卡進行欺詐性收費或竊取身份的信息。

持卡人數據環境包括參與處理、存儲或傳輸此信息的計算機或網絡系統。 CDH 包括相關的系統組件，例如服務器、網絡設備、計算設備和應用程序。 這些可能是虛擬組件、安全服務、網絡組件、應用程序、服務器類型以及連接到 CDE 的任何其他內容。 如果系統或員工可以訪問 CHD，這應該與您公司的其他方面分開。

PCI DSS 和網絡分段

網絡分段需要查看信息通過您的系統傳輸的方式。 您應該將 CDE 視為一條河流，將持卡人數據視為在急流中航行的獨木舟。 河流通常有多個船隻接入點。 同樣，您的網絡有各種數據訪問點。 它們就像河流，有支流與之相連。 只要您的 CHD 可以在您的網絡中沿著路徑漂浮，就需要建造大壩或保護該支流。

例如，PCI DSS 將連接定義為無線、虛擬化和物理連接。 在這條河下游的任何地方，冠心病都可以進入。 無線連接可以包括藍牙連接和 LAN。 物理連接可以是 USB 驅動器。 虛擬化連接通常包含共享資源，包括虛擬機和虛擬防火牆。 建議您保護這些數據訪問點，以免 CHD 受到威脅。

公司如何界定係統

PCI DSS 範圍界定應包括對在 CDE 河流上發現的所有數據訪問點和支流進行嚴格評估。 PCI DSS 評估首先對 CHD 的接受方式和地點進行分類。 在您的 CDE 河岸上來回走動時，您必須查明所有支付渠道以及接受持卡人數據的方法。 此後，遵循從收集到銷毀、處置和轉移的信息旅程。

您還應該在您的 CDE 上查明和標記我們存儲、處理或傳輸數據的位置。 這種識別可能不僅包括了解誰處理數據，還包括了解信息的處理方式。 您還必須記錄為保護數據環境而實施的流程和技術。

在通過您的網絡跟踪信息流之後，確保您整合了影響 CDE 的所有流程、人員和系統組件。 這是一個至關重要的步驟，它與前一個不同，因為它要求您超越與 CHD 互動的人。 相反，您必須關注驅動數據環境的人員和系統組件。

審核完您的數據河後，您必須創建用於保護信息的控制措施。 這與大多數河流具有登陸點的方式相同，旨在防止划船者在某些點進入。 從這個角度來看，控制是必不可少的。 同樣，您必須找到一種方法來限制關鍵信息的去向以及誰可以訪問它。

為此，需要設置大壩的數據安全版本。 這可能包括設置加密方法和防火牆。 建立控制後，需要將其應用於保護您的流程、系統組件和人員的安全。 最重要的是，您必須監控控件以確保您所做的任何更改都與您的 CDE 一起發展。

是否有任何超出範圍的系統？

支付卡行業安全標準委員會 (PCI SSC) 將超出範圍的系統定義為無法訪問 CDE 系統的系統。 值得注意的是，超出範圍的系統已經很少見。 PCI SSC規定係統組件不應該存儲、處理甚至傳輸CHD。 同樣，它不應連接到任何涉及 CHD 的網段。

第三方和服務提供商在您的 PCI 安全標準合規範圍內。 他們類似於您河流的護林員。 通過成為您的業務合作夥伴，他們為您提供遠程服務。 由於它們不斷地與您的數據環境互動，它們可能會帶來可能危及 CHD 的風險。 這凸顯了參與第三方監控以及管理供應商生態系統的重要性。

編者按： Ken Lynch 是一位企業軟件初創公司的資深人士，他一直著迷於推動員工工作的因素以及如何讓工作更具吸引力。 Ken 創立 Reciprocity 就是為了追求這一點。 他推動了 Reciprocity 的成功，這一基於使命的目標是讓員工參與公司的治理、風險和合規目標，以培養更多具有社會意識的企業公民。 Ken 在麻省理工學院獲得計算機科學和電氣工程學士學位。 在 ReciprocityLabs.com 上了解更多信息。

對此有什麼想法嗎？ 在下面的評論中讓我們知道，或者將討論帶到我們的 Twitter 或 Facebook。

編輯推薦：

• PCI DSS 日誌管理
• 確定 SOC2 審計範圍
• 審計要求——美國私營公司
• 風險管理計劃——它的用途是什麼？
• 內部審計有效性數據分析策略