由American Express、Discover Financial Services、JCB International、MasterCard Worldwide及Visa, Inc. 創立的PCI 安全標準協會 (Security Standards Council),在企業處理如信用卡,及提款卡等各類付款卡資料的問題上,訂有PCI資料安全標準的安全法則。去年年底,PCI 安全標準協會便發表了最新版本PCI資料安全標準3.0 (PCI DSS 3.0),定下更嚴謹的安全法則。新版本於6大安全範疇訂定安全標準,以確保妥善處理付款卡資料,保障客戶利益。事實上,於2010年發表的2.0版本,早已要求企業員工在接觸客戶資料前,使用如個人密碼或單次性密碼等雙重認證,以加強保安。因此新版本PCI DSS 3.0,要求企業加強對授權人員的身份認證,加強保障。
密鑰管理不善易成保安漏洞
不少企業早年已採用SSH協定,加密渠道傳輸重要數據,並須以密鑰進行身份鑒別,限制用戶對重要數據的存取及訪問權,為遠端登入及其他網絡服務提供安全保障。惟因應業務所需,企業難免會容許個別人員,如IT管理員及外判服務商進入數據庫,讀取客戶資料;而由於受到加密渠道的保護,外界對這些授權人員,於加密環境下的活動一無所知,以致一旦發現客戶資料被盜或曾被修改,企業根本無法追查涉事源頭,亦不能向檢控機構提供相關舉證。
此外,隨著時間的累積、人事變動及業務規模的擴展,密鑰數量將不斷遞增,令架構愈趨混亂。這樣不但會增添管理難度,大大加重企業的工作量,亦會令經營成本激增。SSH Communications Security便曾發現有企業因長期缺乏完善管理,以致系統內積存超過80%的荒廢密鑰,造成極明顯之保安漏洞。事實上,確有不少企業因未有妥善管理密鑰,或盡早移除屬於離職員工的密鑰,而讓他們有機可乘,利用昔日密鑰入侵企業伺服器;去年亦有黑客盜取密鑰,攻擊網絡系統,令企業及客戶遭受無法估量的損失。
企業應採取有效的審計及追蹤工具,迅速辨識潛在風險。而在處理密鑰方面,為節省成本及減少人手出錯的機會,宜採用能完善管理密鑰生命週期的解決方案,以自動化模式,集中發現、部署、轉換、移除及持續監察密鑰。同時,由於授權人員在無監管的情況下,有機會於加密環境內進行不法行為,因此企業亦應考慮使用能記錄包括儲存或更改資料、複製密鑰等作業流程。加上近場通訊(NFC)令網上交易數量與日俱增,PCI安全協會遂制定更能保障客戶權益的法則,為企業及金融機構提供指引。
沒有留言:
發佈留言