問:小公司通常如何在局域網內保存信用卡號碼?它們是保存在NTFS安全服務器硬盤上的電子表格中嗎?還是有應用程序可以對這些號碼進行加密並保護安全?
答:這個問題的關鍵在於支付卡行業數據安全標準(Payment Card Industry Data Security Standard,PCI DSS)。PCI DSS在信用卡數據的處理、存儲、保護和加密方面都有具體的規定,無論公司的大小。
PCI DSS由五家大型的信用卡公司協會控制,這五家公司是:Visa、萬事達、美國運通、Discover和JCB。不遵守標準規定可能會面臨罰款或被禁止使用五個協會成員簽發的卡。鑑於他們佔有了很大的市場份額,這五家信用卡公司有很大的影響力。被禁止使用他們的信用卡會嚴重阻礙通過信用卡進行的商業活動。
儘管遵守PCI DSS被認爲是一個行業標準而不是一種安全程序規定,但是該標準的建議對公司而言是處理信用卡數據的有益開始。
PCI DSS要求3是與保存信用卡號碼或個人賬戶號碼(personal account numbers,PAN)最相關的一節,涵蓋了對持卡人信息的保護。3.4節特別要求,無論PAN保存在哪裏,都應該被加密。可以使用下列四種加密方法:強單向散列函數、截斷、指數表徵及襯墊,或基於密鑰管理過程的強加密算法。
要麼使用全盤加密,要麼使用文件級或列級數據庫加密。但在所有這些情況中,PAN都是需要加密的最少的那一部分信息。
當使用NTFS安全服務器硬盤時,企業應確保通過本地操作系統控制——如本地系統或活動目錄(Active Directory)賬戶——分離邏輯訪問權限。只要NTFS硬盤沒有被這些賬戶直接訪問,那麼該企業就是符合PCI DSS規範的。
PCI DSS沒有規定加密強度,但卻在3.5節和3.6節中指定了對密鑰的處理方法。在這兩節中,密鑰被要求安全地保存和分發。只要能達到這些要求,任何免費的、商業的硬盤或文件加密工具都是足夠的。
儘管有這些嚴格的規定,PCI DSS還是考慮到一系列被稱之爲“補償控制”的手段,供那些無法提供加密的公司使用。這些補償控制包括將持卡人信息保存在單獨的網段,或限制可以訪問的IP地址,訪問控制或對數據類型進行包過濾。
在這種情況下,不能對信用卡號碼加密的小公司可以通過將信用卡號碼從網絡中隔離,勉強說自己符合PCI的補償控制。因此,如果是使用NTFS安全硬盤上的電子表格,一個組織需確保PAN被安全地從網絡隔離開,並且不能被用戶訪問。