随着公司接近2012年1月1日的PCI DSS 2.0合规性截止日期,新的信息补充为虚拟环境的范围界定,必要控制和测试程序提供了指南。

这个帖子也是由 克里斯·卡瓦利娜(Chris Cwalina), 丹·赫伯斯特 艾米·穆沙瓦(Amy Mushahwar)。

6月14日,星期二,负责支付卡行业数据安全标准(PCI-DSS)的机构PCI安全标准委员会发布了一套全面的虚拟卡持有人数据环境中的PCI合规性指南。理事会’s 39页的指导文件(可从以下网站获得) //www.pcisecuritystandards.org/security_standards/documents.php)详细描述了如何在虚拟环境中应用逻辑环境中的12个PCI安全控制目标。该文档(已编写了两年多)提供了有关组织如何以安全方式部署虚拟化环境的更清晰指南。

作为背景,在使用虚拟化技术之前,标准计算模型是一台计算机到一个操作系统,以及该计算机的关联应用程序和资源。虚拟化技术使IT团队可以组合或划分计算资源,以将许多计算系统统一到一个操作环境中,或将一台服务器划分为多个虚拟机。虚拟化技术是广泛领域中重要应用程序的基础,例如虚拟测试环境,服务器整合,多操作系统支持,系统迁移,云计算等。鉴于虚拟化风格和应用程序的多样性,理事会在其指南中认识到“没有一种千篇一律的方法或解决方案来配置虚拟化环境[。]”

尽管很复杂,理事会还是明确指出了在何处实施虚拟化。必须确定虚拟环境中的所有组件,并在PCI-DSS符合性审查的范围内加以考虑。理事会指出,虚拟环境需要建立“纵深防御方法”,其中包括物理控制,文件化的政策和程序,以及“对人员进行正确使用敏感资产的培训和教育,识别潜在的安全威胁。 ,以及在发生违规时应采取的适当措施。”指南中阐明的其他关键标准包括虚拟机平台中的最佳实践,实施混合媒体和虚拟机管理程序技术的最佳实践。该准则包括使用防火墙和其他分段“强化”虚拟机管理程序和虚拟机平台的要求,多因素身份验证要求,审核的日志以及其他缓解风险的控件。

理事会指出,对于在云环境中保存支付卡数据并使用云供应商的公司而言,这尤其具有风险,这些供应商最近发生了自身故障和违规。在这样做时,理事会还认识到,取决于所选的云基础架构类型,存在不同程度的云风险—公共基础设施,私有基础设施或两者的混合体。然后,理事会阐明了在最常见的云服务类型(基础架构即服务“ IaaS”,平台即服务“ PaaS”和软件即服务“ SaaS”)中,典型的云客户与云服务提供商的职责。在公共云环境中(尤其是那些使用SaaS云类型的环境),理事会认识到,鉴于所涉及的风险,“可能会使某些基于云的服务无法以符合PCI-DSS的方式运行。”理事会认识到“为基于云的服务提供PCI-DSS遵从性证明的责任落在了云提供商上,并且仅基于严格的适当控制证据才能接受这种证明。”因此,使用基于云的服务的公司必须尽职调查,并在与云服务提供商签约时确保适当的保护,以确保PCI-DSS的合规性。请参阅我们最近针对以下内容的云计算尽职调查演示: CISO执行网络  有关常规云计算尽职调查和签约流程的更多详细信息。

为什么这么重要?
实施该指南将是一项重大的技术和公司组织挑战。实体通常没有完整的内部和外包虚拟环境清单。而且,即使他们确实拥有虚拟化环境的清单,公司IT组织内的所有人也可能没有审查过虚拟架构。例如,服务器操作组可能已经设置了虚拟环境,但是网络安全组可能尚未审查虚拟环境的安全性。而且,业务部门可能不了解如果一个虚拟环境出现故障,可能会危害多少持卡人数据。

随着您的组织迈向PCI-DSS 2.0合规性最后期限,我们建议您的IT,安全和业务部门在我们剩下的短短五个月内迅速采取行动以实施这些标准。在虚拟环境中拥有持卡人数据的公司,至关重要的是:(1)盘点其虚拟环境;(2)评估可能损害端到端PCI-DSS遵从性的组织通信障碍;(3)确定是否有更大的供应商保证外包解决方案所必需的;(4)确定内部是否需要更多安全产品和工具来支持虚拟环境。一旦建立了该框架,公司将需要通过修订其适用的政策和程序,培训计划和控制措施来纪念制定的标准。

鉴于虚拟化服务呈指数级增长,这是理事会和企业界不能再忽视的一个领域。随着最近对云和其他虚拟环境的破坏,我们看到黑客社区也不再忽略这一部分。