撰文及整理:叡揚資訊 資安事業處
PCI SSC,全名為支付卡產業安全標準委員會(PCI Security Standards Council),最原始是由American Express、Discover Financial Services、JCB International、MasterCard和Visa Inc.所創立,目的為維護、發展和推廣支付卡行業安全標準,以保護持卡人的資料安全。而他們分別針對技術面及作業面制定相關的標準供所有支付卡產業、軟/硬體開發商及服務供應商遵循,例如支付卡產業資料安全標準(Payment Card Industry Data Security Standard,簡稱PCI DSS)、支付應用程式資料安全標準(Payment Application Data Security Standard,簡稱PA DSS)及支付卡產業行動支付安全指南(PCI Mobile Payment Acceptance Security Guidelines)等。
PCI DSS是針對支付卡產業及相關金融行業所訂定的標準,由PCI SSC的成員們共同維護並不定期進行內容的校訂與發佈,目前最新版為2018年5月的3.2.1版。PCI DSS針對6大項目共訂定12項要求,可以參考下表:
PCI 資料安全標準(參考3.2.1版)
建立並維護網路與系統的安全 | 1. 安裝並維護防火牆設定,以保護持卡人資料 2. 不使用供應商提供的預設系統密碼和其他參數 |
保護持卡人的資料 | 3. 保護儲存的持卡人資料 4. 在公共網路中傳輸加密的持卡人資料 |
維護弱點管理計畫 | 5. 保護資訊系統避免惡意程式攻擊並定期更新防毒軟體及程式 6. 開發並維護系統與應用程式之安全 |
實施嚴格的存取控制措施 | 7. 限制只有業務需求的人存取持卡人資料 8. 識別與授權可存取的資訊系統 9. 限制持卡人資料的實體存取 |
定期監控和測試網路 | 10. 追蹤和監控網路環境和持卡人資料的所有操作紀錄 11. 定期測試系統和作業流程之安全 |
維護資訊安全政策 | 12. 維護對於所有人員的資訊安全政策 |
PA DSS則是提供程式開發商參考的標準,目前最新的版本為2016年3月發行的3.2版。PA DSS為保護持卡人的資料安全,共制定了14項的規範,詳列如下:
1. 不要保留磁條內資料、卡片驗證值(CAV2、CID、CVC2、CVV2)或 PIN Block
2. 保護儲存的持卡人資料
3. 提供安全的驗證功能
4. 記錄支付應用程式活動
5. 開發安全支付應用程式
6. 保護無線傳輸
7. 針對漏洞測試應用程式並即時更新支付應用程式
8. 安全的網絡
9. 絕不能在連接到網路的伺服器上儲存持卡人資料
10. 促進對支付應用程式進行安全的遠端存取
11. 對經由公共網絡傳輸的敏感資訊進行加密
12. 保護所有非控制台管理訪問
13. 為客戶、經銷商和整合商維護PA-DSS
14. 為工作人員分配 PA DSS 職責,並為工作人員、客戶、經銷商和整合商建立培訓計劃
規範6:開發並維護系統與應用程式之安全
攻擊者可以利用安全漏洞獲取系統權限。這些安全漏洞可以安裝供應商提供的補丁在運行系統上進行修復。
所有的系統必須安裝適當的補丁來防止信用卡持卡人相關資料被攻擊者利用。
上方為規範6的摘要,其中每項要求內還有更精細和具體的規範。Checkmarx及WhiteSource都有根據漏洞的出現頻率或嚴重性訂定風險等級已符合6.1要求;針對軟體中使用的第三方的套件進行版本/補丁比對並提供警示或在開發內部及外部軟體應用程式時(包含應用程式的網路傳輸連線)須遵循相關的安全規範等等。
詳細的各條款支援狀況可以參考下方表格:
Checkmarx | |||
6.1 | V | V | |
6.2 | V | V | |
6.3 | O | V | |
6.4 | O | O | |
6.5 | O | ||
6.6 | V | ||
11.3 | V | ||
適用版本 | PCI DSS 3.0 | PCI DSS 3.0 | |
參考資訊 | https://www.checkmarx.com/wp-content/uploads/2015/05/How-to-achieve-PCI-DSS-compliance-with-Checkmarx-source-code-analysis2.pdf | https://resources.whitesourcesoftware.com/i/905569-pci-dss-3-0-compliance-with-white-source/1? | |
條款參考 | https://www.pcisecuritystandards.org/minisite/en/docs/PCI_DSS_v3_Summary_of_Changes.pdf |
另外由於在行動裝置如手機中的線上信用卡交易不斷的增加,行動裝置app防護也越發重要。Arxan依據PCI DSS訂定的支付卡產業行動支付安全指南,讓app在開發、部署、威脅檢測/通知可以針對不同的情境進行防護。
例如在開發指南中第4.3項及第4.7項,分別規範了防止手機的特權提升(例如,Root或Group權限)及強化應用程式(例如使用code injection或reverse engineering);而Arxan可以在偵測到JB/Root時應觸發反應動作,包括禁止使用app的部分功能,甚至強制關閉程式。除此之外,Arxan還提供強大的混淆功能,包含流程控制、函式更名或是隱藏重要文字來增加靜態分析的困難度,假使app被修改,Arxan能校驗與偵測並發出警報,讓app執行對應的防護動作以及通知客戶在伺服器後端應採取額外的保護動作。
Arxan | |
4.3 | V |
4.7 | V |
適用版本 | PCI Mobile Payment Acceptance Security Guidelines 2.0 |
參考資訊 | https://www.arxan.com/resources/compliance-and-standards/pci-mobile-payment-acceptance-security-guidelines |
條款參考 | https://www.pcisecuritystandards.org/documents/PCI_Mobile_Payment_Acceptance_Security_Guidelines_for_Developers_v2_0.pdf |
Payment Card Industry (PCI) Data Security Standard
Requirements and Security Assessment Procedures Version 3.2.1
支付卡行业(PCI) 支付应用程序数据安全标准
要求和安全评估程序3.2 版
PS. 圖示. V 完整支援 / O 部分支援
相關解決方案:
相關文章分享:
GSS資安電子報0157期【5個常見開發工程師使用Open Source會犯的錯誤】