随着公司接近2012年1月1日PCI DSS 2.0合规截止日期,新信息补充剂提供了关于范围的指导,控制虚拟环境所必需的控制程序。

这篇文章也是由 Chris Cwalina, 丹麦斯堡 艾米mushahwar。

6月14日星期二,PCI安全标准理事会,管理支付卡行业数据安全标准(PCI-DSS)的机构,发布了一套全面的PCI合规指南,虚拟卡持有人数据环境。理事会’S 39页指导文件(可提供 //www.pcisecuritystandards.org/security_standards/documents.php)详细描述了在虚拟设置中应用逻辑环境中的12个PCI安全控制目标中的每一个。该文件 - 在制作中超过两年 - 提供了有关组织如何以安全的方式部署虚拟化环境的更清晰的指导。

作为背景,在虚拟化技术之前,标准计算模型是一个计算机的一个操作系统,具有该计算机的相关应用程序和资源。虚拟化技术使IT团队能够将计算资源组合或划分计算资源,使许多计算系统统一到一个操作环境或将一个服务器分区成几个虚拟机。虚拟化技术在广泛的区域内底层重要应用,如虚拟测试环境,服务器整合,多次操作系统支持,系统迁移,云计算等。鉴于虚拟化风格和应用程序的各种,理事会在其指导下认识到“无一定尺寸适合 - 所有方法或解决方法来配置虚拟化环境”

尽管有复杂性,但理事会明确表示虚拟化实施的地方;必须在PCI-DSS合规性审核范围内识别虚拟环境中的所有组件。理事会指出,虚拟环境要求建立“深入深入的方法”,其中包括物理控制,记录的政策和程序以及“在正确使用敏感资产的培训和教育人员,确定潜在的安全威胁,并在违约事件中采取适当的行动。“在引导中阐述的其他主要标准包括在实现混合媒体和管理程序技术方面的虚拟机平台中的最佳实践。该指南包括“硬化”管理程序和虚拟机平台的要求与防火墙和其他分段,多因素认证要求,审核日志以及其他风险缓解控制。

理事会注意到云环境中持有支付卡数据的公司以及使用最近有自己的中断和违反自己的云供应商的公司的特定风险。在此过程中,理事会还认识到,取决于所选云基础设施的类型,存在不同程度的云风险—公共基础设施,私人基础设施或两者的混合动力。然后,理事会在最常见的云服务类型(基础架构作为服务'IAAS',平台作为服务'SaaS的软件中,将典型的云客户责任阐述了典型的云服务提供商职责。在公共云环境(特别是利用SaaS云类型的人)中,安理会认识到,根据所涉及的风险,它“可能使某些基于云的服务无法以PCI-DSS兼容的方式运行。”安理会认识到,“为云管理服务提供符合PCI-DSS证明的负担严重落在云提供商身上,并且只能根据足够控制的严格证据接受此类证据。”因此,使用基于云的服务的公司必须在与云服务提供商承包的合同中进行适当的勤奋,以确保PCI-DSSS合规性。请参阅我们最近的云计算尽职调查介绍 CISO执行网络  有关一般云计算尽职调查和收缩过程的详细信息。

为什么这件事?
实施指导将是一个重要的技术和公司组织挑战。实体通常不会在内部和外包虚拟环境中拥有完整的库存。并且,即使他们确实有虚拟化环境库存,IT组织中的所有内容也可能没有审查虚拟体系结构。例如,SECT操作组可能已经设置了虚拟环境,但网络安全组可能没有审核虚拟环境的安全性。而且,如果一个虚拟环境失败,业务部门可能没有了解可能会损害多少卡持有人数据。

随着您的组织向PCI-DSS 2.0遵守截止日期前进,我们建议您的IT,安全和业务单位在我们离开的五个月内迅速实施这些标准。重要的是,在虚拟环境中使用卡持卡人数据的公司:(1)库存,其虚拟环境,(2)评估可能损害端到端PCI-DSS合规性的组织通信障碍,(3)确定是否更大的供应商保修外包解决方案所必需的(4)确定是否需要在内部必要的安全产品和工具来支持虚拟环境。一旦该框架建立,公司将需要纪念通过修订适用的政策和程序,培训计划和控制来制定的标准。

鉴于虚拟化服务正在呈指数级增长,这是安理会和商界不再能够忽视的部门。随着最近漏洞的云和其他虚拟化环境,我们认为黑客社区也不再忽略这个细分。