在云计算环境中实现PCI合规性

每年，云作为一种企业级的托管和交付系统，其重要性日益凸显。在线商家们依赖云计算来传输和存储信用卡信息。同时，企业必须确保存储在云中的财务数据得到妥善保管。如果他们不这么做的话，企业就有可能面临数据泄露的风险，失去客户的信任，还会受到PCI-DSS规定的处罚。

本文探讨了PCI-DSS法规与云环境之间的关系。这并非简单的任务。对于本地或网络存储的资产来说，其数据保护系统并不总能顺利地迁移到云端。此外，如果没有适当的规划，那么满足监管要求也会变得非常复杂。

什么是PCI-DSS？

支付卡行业数据安全标准（PCI-DSS）是指……这是一套安全标准，旨在确保所有处理、存储或传输持卡人数据的公司都能维持一个安全的环境。.

这是由一些主要的支付卡品牌所开发的工具，旨在减少信用卡诈骗行为。对于任何处理支付信息的企业来说，遵守PCI-DSS标准都是至关重要的。确保遵守PCI-DSS标准，既是为了避免被罚款，也是为了赢得客户的信任。

了解云环境中的PCI合规性问题

PCI-DSS认证表明，该组织遵守了PCI数据安全规范。这意味着该组织拥有足够的安全控制措施来保护持卡人的数据。不过，这些控制措施仅符合PCI-DSS所要求的标准而已。

有时候，PCI标准可能已经过时了，或者无法满足企业的需求。确保云环境的安全性，对于在线商家来说具有重要意义。

云计算挑战了 PCI-DSS 合规性中的核心要素。最重要的是，云服务提供商需要共同承担保护数据的责任。他们必须与云服务提供商一起，共同负责保护数据的安全。PCI主要关注商户的数据环境，而对云合作伙伴则几乎没有提及。.

云存储的资产通常存储在与商家场所相距较远的地点。当组织与物理存储设备分离时，确保这些物理资产符合PCI-DSS标准就变得非常困难了。数据可能会分布在不同的主机和不同的地理区域中。

动态变化的云环境也会不断变化。当应用程序和存储容器每天都在发生变化时，满足PCI-DSS的数据保护要求就会变得非常困难。

因此，了解在云环境中如何遵守PCI-DSS的要求至关重要。企业需要制定策略来应对与PCI合规相关的核心挑战。如果没有云安全策略，那么数据泄露以及面临监管处罚的可能性将会非常高。

在云环境中实现PCI合规性的挑战

在云端运营的企业面临着一系列与PCI-DSS合规性相关的挑战。一些典型的例子包括：

在复杂的云环境中实现PCI-DSS的合规性

符合 PCI 标准的组织始终能够掌握关键数据的位置。每一份持卡人数据都是如此。经过加密处理、记录保存，并且处于安全状态。数据流动也是清晰可见且经过加密处理的。没有任何灰色地带或存储容器是管理员无法看到的。

在复杂的云环境中，这种情况并不总是容易处理。数据可以存储在多个位置中。这样一来，就很难通过网络分段的方式来将持卡人数据环境与更广泛的网络分离开来。

云环境可能会涉及以下情况：众多的第三方供应商对第三方进行身份验证和授权可能会面临挑战。企业需要确保这些第三方机构具备适当的安全控制措施，并且能够满足PCI-DSS的要求。

云部署方式也会迅速发生变化。云技术使得应用程序的开发变得更加灵活。IT团队可以根据需要配置资源，添加新的用户、服务或存储系统。不过，云环境中的每一个新元素都必须确保安全性。因此，确保云环境的统一性、稳定性以及安全性是非常具有挑战性的任务。

2. 在云端管理大量持卡人数据

较大的公司会处理成千上万甚至数百万份客户信息。所有的个人信息都必须保持私密性。一致的数据保留系统必须根据PCI-DSS的指导方针来删除财务信息。不过，在云环境中实现这种程度的控制是非常困难的。

企业必须确保数据存储在符合PCI-DSS要求的司法管辖区。他们还需要对所有持卡人数据库进行分段处理，并确保其云服务提供商按照规定的标准对数据进行加密。企业还需要管理自己的加密密钥，并采用安全的密钥存储方式。这些核心安全任务在大规模实施时确实比较困难。

PCI-DSS的規定也包含這一點。需要严格审查持卡人的数据信息。安全团队在复杂的云环境中对数据流进行审计时可能会遇到困难。同时，事件响应时间也会延长，而审计日志的质量则会下降。

3. 确保公共云部署的安全性

公共云系统的核心问题在于控制问题。在公共云环境中，企业通常无法自行管理其底层基础设施。因此，它们不得不依赖SaaS应用程序来提供各种服务。

这种部署方式使得企业能够快速开发出高效的销售与客户管理系统。不过，依赖公共云基础设施也会带来一系列与PCI合规性相关的问题。

例如，企业需要检查他们所使用的所有CSP设备。现成的公共云提供商可能无法满足PCI合规标准。此外，他们的数据安全系统可能并不适合所有云业务平台。

公共云部署通常也易于扩展，不过有时这也会带来安全方面的问题。动态基础设施确实具有许多优点。添加新的访问系统或网络资源后，就会形成通往CDE的新路径。所有在云环境中进行的添加操作都必须符合PCI标准。

4. 展示出在云环境中遵守规定的证据。

证明合规性证据是PCI-DSS要求中的关键要素。企业必须生成能够显示用户活动和访问请求的审计记录。管理员应该能够追踪网络资产发生的任何变化。所有与持卡人相关的数据都应被记录和跟踪。

这种审计模式面临着一些重要的挑战。资产可能分布在世界各地，而且由许多不同的提供商来托管这些资产。这些数据也可能受到各种安全控制的约束。审计人员需要验证这些控制措施的完整性，而在复杂的云环境中，这会带来巨大的工作量。

审计人员需要做到以下几点：证明在多租户环境中，数据确实得到了有效的保护，不会受到任何侵犯。他们必须这样做。在每一个存储地点，都需要对物理安全控制措施进行记录并验证其有效性。此外，当他们与第三方提供商合作时，可能还需要评估各种云API的功能。

在某些情况下，审计人员很难获得对托管基础设施的访问权限。这样一来，几乎不可能进行全面的PCI-DSS评估。证明企业确实遵守了相关规定的难度也很大。

适用于云环境的必要PCI要求

PCI-DSS监管框架基于12项与PCI合规性相关的要求来构建。这些要求为实现合规性提供了指导。不过，遵循这些核心原则并不总是那么容易。

以下列表涵盖了适用于云环境的PCI要求。第7至第9条要求是与访问控制和身份验证相关的一般性要求，这些要求并非专门针对云环境而设计的。不过，其他各项要求都与云环境中的重要安全问题密切相关。

要求1：必须安装防火墙保护措施。

符合 PCI-DSS 标准的公司应投资于与云资产一起使用的云原生防火墙。可以使用托管服务提供商提供的防火墙。同时，将所有防火墙配置记录下来，作为信息安全政策的一部分。

要求2：避免使用供应商提供的默认设置。

PCI规则要求对所有默认密码进行更改。这一点适用于云应用程序以及物理路由器。在添加新的云服务时，应更改默认设置。使用自动化的云安全态势管理工具来简化应用程序的配置过程，从而避免人为错误。

要求3：保护存储的持卡人数据

符合PCI-DSS标准的组织应评估所有云服务提供商，并选择那些能够按照PCI标准对数据进行加密的合作伙伴。在Microsoft Azure或AWS等云服务中，应使用原生加密功能。此外，还应选择那些能够按照PCI规则保护加密密钥的托管服务提供商。

要求4：在数据传输过程中对持卡人数据进行加密处理

PCI-DSS要求对所有与持卡人相关的数据传输使用强大的加密技术。对于所有敏感的网络流量，应使用更高版本的TLS、IPSec或SFTP协议。此外，应将加密协议的采用情况记录在安全政策中。

要求5：杀毒软件

在云环境中，所有的资产都应该受到防病毒软件的保护。确保防病毒工具与云服务平台兼容，并自动化补丁更新流程，以确保防病毒软件始终处于最新状态。如果可能的话，将本地终端保护系统与云端的防病毒工具相结合。这样就能在整个网络范围内实现全面的威胁检测。

要求6：安全的网络系统与应用程序

IaaS和PaaS的用户必须确保他们的应用程序开发过程的安全性。这包括实时分析潜在的安全威胁，以发现漏洞。代码在部署之前必须经过测试，同时，所有的云应用程序都应定期更新。

要求7：限制对持卡人数据的访问权限

任何处理持卡人数据的组织都必须实施严格的访问控制措施。这意味着……仅限那些有合法业务需求的用户才能访问该资源。采用“需要知晓”的原则来定义角色和权限，同时保留关于谁访问了什么内容的详细记录。

这是实现PCI-DSS合规性、保护敏感信息免受未经授权用户访问的关键步骤。实施有效的PCI-DSS控制措施有助于维护持卡人数据的完整性。

要求8：为每位拥有计算机访问权限的人分配一个唯一的ID。

对于任何处理持卡人数据的系统来说，每个用户都必须拥有唯一的标识符。这样，所有的操作都可以追溯到具体的个人，这对于确保问责制和审计的顺利进行至关重要。实施可靠的认证措施，例如使用强密码，并且在可能的情况下采用多因素认证。.

这些PCI-DSS相关控制措施，是您整体安全策略的重要组成部分，有助于满足PCI-DSS认证的要求。确保达到这一级别的安全性，是保持PCI-DSS合规性的关键。

要求9：限制对持卡人数据的物理访问权限

即使在云环境中，物理安全仍然非常重要。这一要求适用于存储持卡人数据的物理服务器和基础设施。虽然云服务提供商负责其数据中心的物理安全，但您同样也需要确保自己的物理环境也是安全的。请确保您选择的供应商拥有完善的物理安全防护措施。这些措施包括监控、访问日志的记录，以及严格的进入控制等，旨在确保您的持卡人数据处于安全状态。这是实现PCI-DSS合规性以及获得PCI-DSS认证的关键要素。

要求10：监控对网络终端和关键数据的访问情况。

使用云原生威胁检测系统来监控云环境中的资产。所有进入CDE的流量都应被监控并记录下来。系统应记录所有的访问请求，并对可疑行为进行及时处理，以便进行安全评估。CSP还可以提供相关的日志记录和分析工具。可以利用这些工具来补充您现有的安全系统。

要求11：定期进行安全测试以及文件完整性监控

CSP通常会提供测试服务，以确保符合PCI-DSS的要求。企业可以利用这些工具进行季度性的网络扫描，从而发现安全漏洞。此外，企业还可以聘请第三方专家来进行全面的扫描，以覆盖整个云环境。

要求12：制定并维护相关政策，以管理云端的安全性。

在PCI-DSS框架中，云策略管理扮演着两个重要的安全角色。首先，就是关于策略的管理。文件安全控制措施对于云资源来说，读者们完全清楚云资产是如何得到保护的。这样一来，就可以更容易地审查相关流程，并确保整个云环境中的安全性保持一致。

其次，政策管理方面向云用户通报有关安全行为的相关信息。员工以及其他云用户都了解如何安全地访问资源。这些政策还包含了关于不遵守规定的处罚信息。这样一来，管理员就可以始终确保用户的操作都是安全的。

在云端实现PCI-DSS合规性的最佳实践

对于大多数企业来说，使用云技术是必不可少的。而对于那些处理信用卡数据的公司而言，遵守PCI-DSS标准则至关重要。那么，企业如何才能在云环境中保护财务数据呢？

这份PCI-DSS最佳实践清单，为那些希望履行合规义务的公司提供了坚实的基础。

选择符合PCI标准的云服务提供商。

在部署之前，务必仔细审查所有潜在的云服务提供商。那些符合要求的合作伙伴将会被优先考虑。PCI-DSS合规性的证明/确认并且应该提供其合规政策的详细内容。具体来说，应选择那些能够提供以下服务的合作伙伴：