信用卡门的PCI-DSS合规启示

信用卡信息泄露事故不断,线上交易平台往往都会及时启动了安全应急响应流程,为潜在风险用户换卡。但看起来比较圆满的安全响应事件,却会引发信息安全界的不少质疑。

信息安全及在线金融服务专业人员们关注的焦点主要有三条:

1.一些网站记录了太多的信用卡信息,包括CVV,不管是以明文还是以加密的方式,这显然和PCI-DSS的精神不符,专家们在质疑PCI DSS落地情况,为线上交易平台提供PCI DSS牌照相关信息安全评估、审计与认证的服务商也受到了指责;

2.在安全支付服务器系统中进行在线调试,而且是“线上竟长时间打开调试功能”,显然和IT管理中“测试系统与生产系统分开”的基本软件开发及变更管理精神严重不符,线上交易平台的IT服务管理实践受到了质疑。

3.服务器未做严格的基线安全配置,存在目录遍历方面的安全漏洞。核心后台服务器缺乏基本的安全加固措施,让黑客可以从外部轻易获得相关明文日志信息,看起来基本的信息安全管理措施和流程很不到位。

不过话说过来,人人都是马后炮。昆明亭长朗然科技有限公司金融行业信息安全顾问James称:显然线上交易平台信用卡门只是冰山一角,这不仅仅是知名电商对支付卡行业数据安全标准PCI-DSS的合规遵循问题,而是信息安全相关的认证和监管生态出现了严重问题!

多数甲方将赚钱放在第一位,相关的认证和牌照只是拿来争取政府的补助和展示给客户看,其实质并不注重长久的数据安全,所以也不下功夫培训教育员工,只寄希望于咨询第三方快速通过牌照审核。

不少安全服务公司也是不学无术,靠一两个懂行的资深员工,带一批刚入门的毕业生,修改一些文件模板,拼拼凑凑一些报表报告,就在那儿糊弄客户,再通过走关系,请吃饭等等糊弄审核机构,最后的结果就是客户交钱,买个证书,在安全管理上没有什么改变。

发牌照的机构,搞一套死板的审核流程,两三次就被客户和咨询服务公司摸透了,剩下的不是被糊弄的份了,就是只管视查、盖章和收钱了。长期这样下去,如何能让消费者信得过信息安全相关的审计监管机构啊?还不如公司请个懂行的认证的老外每年来一次呢。

您可能会说漏洞就漏洞嘛,流程上的管理上的技术上的都难避免,也没有造成严重的损失啊。貌似如此,实际上,这里的损失无法估量,在地下黑暗经济中能够造成的损失有多少?每年的网络犯罪团伙有从这些漏洞中获得了多少?一些莫名其妙的金钱丢失就和这些漏洞有关!

如果漏洞发现者没有在漏洞平台上进行曝光,而是私下享用并卖给地下黑客市场,那黑客们零星的这花那儿花,国内的老百姓有几人能从发卡行或银行里获得公正呢?国内的商家有多少能在交付了货物或服务但银行却不给钱之后得到维权呢?

我们不要把线上服务商想得太坏,有问题不好好解决,只要搞搞表面工作糊弄过去了事儿。没有公司想把自家的负面新闻闹大,影响公司商业形象和信誉,进而造成业绩下滑。所以,我们要理解线上交易平台的安全应急响应措施,人们的态度又是那么的诚恳,我们不要给人家太多的责难,而要深思问题的根源何在,并且从自身找出类似的问题并改之。

如果您是线上交易平台的大客户或合作伙伴,当然有权力提出自己所关心的安全问题,甚至可以要求相关的报告,并进行现场的安全审核,只是那些信用卡发卡行并没有好好做这些工作,哪一天线上交易平台的系统出现意外,来个批处理,瞬间让钱哗哗流走,这些关联方都会跟着倒霉,那时可真会成为国际头条新闻呢。

同时我们也不要把国人的安全渗透水平想得太差,菜鸟们也可能在不断尝试和学习中超越专业的计算机安全人员。我们需要外界的专业安全力量来进行安全评估和渗透测试,悬赏漏洞发现者是个聪明的做法。

一下子暴露出这么多问题,这些问题的背后根源何在?昆明亭长朗然科技有限公司James说:我们根本没有一个合规守法的文化!这才是问题的核心。除非线上交易平台想利用其罪恶的手段,希望通过掌握最多客户身份和信用卡信息来达到保留客户的目的,否则没有道理违法存储这么过多客户信息,给自己公司和客户同时置于风险之下。

如果说线上交易平台没有罪恶的留住客户的手段,那则是他们缺乏必要的信息安全意识、IT服务管理方法与合规守法经营理念,让全体员工参加诸如PCI-DSS基础培训是一个解决之道,不论是为客户,为公司,还是为投资者,线上交易平台和我们都应该立即行动起来。

建立合规守法的企业文化的关键在:1.让人们理解法规的精神,2.让人们遵守法规的条款。通过多层次的员工沟通可以让人们明白法规的精神,了解法规的精神内涵远比宣读法规内容本身重要的多。而多数人在了解精神之后会同意并遵守,那些少数知法但不愿守法的才是我们工作的焦点,要做的是通过必要的奖惩措施来激励员工们积极遵守和实践法规的精神。

漫谈保险业信息安全管理

insurance-services
信息安全行业和保险业在理念上很类似,并且有强烈的关联性。

说到理念相似,昆明亭长朗然科技有限公司金融行业信息安全观察员James Dong说:从信息安全风险评估及风险管理的角度看,信息安全事故的发生并没有精确的确定性,但是不要等出了事儿才想起来花钱去补救,那样代价太大。人们不希望出现严重的信息安全事故,只能在信息安全相关控管措施的进行适当的投入,以便能够“防范于未然”。从业务持续性计划和灾难恢复计划管理的角度来看,人们经常投资一些正常情况下根本用不上的备份站点、设施设备和业务流程,这笔不小的开支只为应对紧急情况下快速恢复业务的正常运作。

说到关联性强烈,则又要回到风险管理领域,在制定风险应对战略时,即使在信息安全控管措施上花费巨额投资,部分业务及信息风险仍然无法完全消除,甚至降低到可接受的水平,这时,便有了新的选择,即风险转移或风险转嫁。发达的国家和地区早已经有保险公司提供了针对数据中心和信息服务的保险,在云计算时代,人们更是需要类似的保障,因为对于服务商和用户来讲,云计算不可控的风险越来越高。

说了些题外话,我们回到正题,来谈一谈保障行业的信息安全管理,说到这儿,我们不得不搬出《保险公司信息系统安全管理指引(试行)》,也称保监会信息安全管理六十一条,这份于二〇一一年十一月十六日发布的指引无疑是保险行业进行信息安全管理的高层指导文件及行业标准。

相对于银行业以及证券业的信息安全管理指引文件,指导保险业的这份文件显得精练易懂并且可操作性强,所以“试行”了两年多仍然未改成“正式”版,猜测是没有太多可改进的内容。

我们来看一看特色的部分,在总则中“实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。”这个实际上很符合“大集中”中央集权管理的精神,保险业信息系统集中度高,核心信息资产在中央,自然信息安全管理工作应该由中央统筹进行。但是保险业的大量敏感客户数据多来自分布的终端网点和用户,显然,在强化中央核心信息系统的安全之时,也应该强化终端人员的信息安全保密意识。

保险行业终端销售人员的管理往往比较分散,保险产品兼职代销、电话营销等等情况严重,底层业务人员及合作伙伴们的信息安全意识参差不齐,不仅容易让潜在客户信息丢失,造成客户不满,更会造成恶性竞争等有损公司信誉的事情发生。加强控管,一方面需要强化保险从业人员的职业道德和素养培训,另一方面则是特别强化信息安全和保密意识培训。

关于信息系统安全的培训方面,指南的第九条和第十三条特别强调了安全意识教育,保密教育培训和技能考核。

在基础设施、网络环境和应用系统的安全管理方面,也没有太多的特色,不过这些在精神层面指导着IT人员的日常工作,太粗略尚缺乏一些标准性的要求。IT部门的领导们要好好学习和认真领会这些指引内容,一条指引可能引来一堆事情,也需要一批文档来做应对审核的证明材料。

保险业在交易方面也是高度信息化,关于交易的安全,在第四十九条有“电子商务、交易系统等应用系统建设应具备相应管理规范,明确各交易环节或过程安全要求,采取必要安全技术和管理措施,保护个人信息和客户敏感商业信息,保留交易相关日志,确保交易行为安全可靠。”这些要求基本上还是停留在信息系统层面,比如对敏感数据进行加密存储和传输等等,保证交易过程的安全以及保留审计日志等。显然这一条重点在信息系统和交易安全层面,不够完整。

综合来讲,保险行业由中国保险监督管理委员会下发的这个《保险公司信息系统安全管理指引(试行)》文件主要还是给保险公司的IT部门看的,并非广义上的信息安全管理部门,所以不全面是可以理解的。然而,保险业要考虑的信息安全问题远不是信息系统如基础架构、网络设备、应用系统和数据安全,也远不是防范外包这些信息系统或服务所带来的风险。

这样看起来,保险业应该向银行业学习信息安全管理,将IT安全服务的触角伸至全体员工层面。其实,金融集团多元化经营,银行保险证券业务往往是融合及关联的。对于一家多元经营的金融机构来讲,可能面临多个监管机关在信息安全管理方面的要求,等级保护、软件正版化、ISO等等,折腾的时候记得将它们关联一下,查漏补缺,从容应对各种审核活动。