背景介绍
当前环境,随着监管机构对数据保护检查力度日趋严格,用户数据保护意识日趋强烈,企业在提升业务竞争力的同时,需要投入更多目光在用户数据保护工作上。一方面,通过提升数据保护水平,避免发生数据泄露事件,可以增强品牌信誉度和竞争力;另外一方面,保护用户数据也是企业作为平台管理者应尽的法律义务。
企业存在各种不同类型的数据,其中用户持卡数据由于其特殊的金融属性,有非常严格的数据保护要求。下面将结合用户持卡数据保护要求,分享下在企业在用户持卡数据保护实践中的一些经验。
用户持卡数据保护要求
两大认证标准
关于持卡数据保护主要有两大认证标准,PCI DSS和 UPDSS。两者因为标准的发起组织不同,因此适用的持卡范围不同,但是两者对持卡数据保护的核心诉求是一致的。下面简单介绍下这2个标准。
PCI DSS(全称Payment Card Industry Data Security Standard)是由 PCI安全标准委员会的创始成员(visa、mastercard、American Express、Discover Financial Services、JCB)发起,因而其适用范围主要针对该五大卡组织。严格意义上说,银联不属于PCI DSS认证范围,但是企业可以按照该标准保护所有种类的用户持卡数据。
UPDSS 是由 中国银联风险管理委员会 2018年通过 的《银联卡支付信息安全管理标准》(银联风管委[2018]3号),简称“UPDSS”。该标准的发布更新代替了2008年发布《银联卡收单机构账户信息安全管理标准》(银联风管委[2008]1号),简称“ADSS”。
认证标准 |
认证依据 |
发起组织 |
适用范围 |
PCI DSS |
Payment Card Industry (PCI) Data Security Standard 《支付卡行业 (PCI) 数据安全标准》 |
PCI安全标准委员会(五大卡组织visa、mastercard、American Express、Discover Financial Services、JCB) |
适用于采集、传输、处理、存储任一环节处理了五大卡组织的支付卡的所有实体,包括商户、处理商、收单机构、发卡机构和服务提供商 |
UPDSS |
《银联卡支付信息安全管理标准》 |
中国银联风险管理委员会 |
适用于采集、传输、处理、存储任一环节处理了银联卡卡号的业务的所有实体 |
PCI标准族常见的标准还有 支付应用数据安全标准PA DSS(Payment Application DataSecurity Standard),该标准是面向支付软件供应商所设计的安全要求,目的是为了让客户更好地满足支付卡产业数据安全标准(PCI DSS:Payment Card Industry Data SecurityStandard)的要求,PA DSS适用于第三方支付应用,这些支付应用可能会涉及到授权、清算结算过程中对持卡人数据的存储、传输和处理。
保护的数据范围
PCI DSS 保护的数据为2类:持卡人数据和敏感验证数据,具体分类及存储要求如下:引用于支付卡行业 (PCI) 数据安全标准,3.2.1 版。
UPDSS定义的数据保护的范围更广,其定义的支付信息不仅包括银联卡上记录的账户信息,还包括基于银联卡开展支付业务的网络支付账户信息、身份鉴别信息、支付业务涉及的必要个人信息和其他支付相关信息。包括但不限于:
信息类别 |
示例 |
银联卡上记录的账户信息 |
包括银联卡卡号、卡片有效期、磁道信息(含芯片等效磁道信息)、卡片验证码(CVN及CVN2)等,以及基于上述信息产生的支付标记。 |
基于银联卡开展支付业务的网络支付账户信息 |
包括网络支付账户、用户注册名、用户登录名、用户ID等,以及基于上述信息的支付标记。 |
身份鉴别信息 |
包括个人标识代码(PIN),网络支付业务中的登录密码、手势密码、查询密码、支付密码、动态口令、短信验证码、密码提示问题答案,指纹、虹膜、人脸等个人生物特征信息,预付卡支付密码等。 |
支付业务涉及的必要个人信息 |
包括但不限于姓名、身份证和护照等证件类识别标识、手机号码、固定电话号码、电子邮箱、工作及家庭地址以及支付业务中采集或产生的其他个人信息。 |
其他支付相关信息 |
机构或商户名称、机构或商户编码、批量制卡文件、加密密钥、终端编码、终端序列号、设备标识、支付应用软件标识、IP地址、交易位置信息等。 |
UPDSS按照支付信息对完成支付交易和信息主体资金安全的影响程度,分为敏感支付信息、重要支付信息和一般支付信息。
敏感信息定义包括但不限于卡片有效期、磁道信息(含芯片等效磁道信息)、卡片验证码(CVN及CVN2)、个人标识代码(PIN)、网络支付密码、预付卡支付密码以及用于身份鉴别的个人生物特征信息。
与PCI DSS相比,UPDSS定义的信息范围更广,除此之外,二者还有一个明显差异在于对卡片有效期的保护要求,UPDSS将卡片有效期定义敏感支付信息,和卡片验证码(CVN和CVN2)统一类别,并禁止非必要的存储。
标准 |
能否存储 |
加密要求 |
PCI DSS |
可以存储 |
不与卡号一起存储时,无需加密 |
UPDSS |
不可存储 |
—— |
持卡数据保护措施
国际化场景中PCI DSS认证使用的场景较为广泛,如企业未通过PCI DSS认证,部分业务甚至无法使用VISA等国际卡种交易,因此对于有国际化业务且处理境外支付卡数据的企业,可考虑通过PCI DSS认证来提升对持卡人数据的保护能力。随着银联业务的发展,银联对UPDSS的认证要求也在逐步加强。下面将以PCI DSS标准对持卡人数据的保护要求为例,分享下企业对保护持卡人数据的一些实践。
划分持卡人数据区域(PCI区域)
划分单独的持卡人数据区域,将与个人持卡数据相关的数据和应用部署在PCI区域,对进入PCI区域的应用进行审批,对PCI区域边界与普通生产区域设置访问控制策略。划分PCI区域有利于缩小持卡人数据的保护范围,降低持卡人数据的管理成本。
一些实践经验如下:
1.设置PCI区域:在生产区域划分单独的PCI区域,在PCI区域边界部署防火墙,设置PCI区域出入向的访问控制策略;
2.涉卡应用部署在PCI区域:在采集、传输、处理、存储任一环节处理了完整卡号的应用被称为PCI应用,均需要部署在PCI区域,卡号加密存储在PCI区域;
3.新PCI应用需额外审批:新应用上线时对应用进行打标“是否是PCI应用”,如选择“是”,需要经过额外审批。
持卡数据加解密服务
PCI DSS要求卡号必须加密存储,且密钥必须定期更换。
一些加密要求如下:
1.加密机制可以采用加密机或者采用商业算法(算法强度建议不低于AES256/RSA2048/ECDSA256);
2.自研算法建议采用2层密钥机制,数据密钥DEK和加密密钥KEK。其中数据密钥DEK直接用来加密卡数据,建议采用对称算法,加密密钥KEK用来加密数据密钥,建议采用非对称密钥;
3.加密密钥和数据密钥需定期更改,同时加密密钥的算法强度需强于数据密钥的算法强度,DEK建议的更改频次是每个月更换一次,KEK建议至少半年或者1年更换一次;
4.加密密钥和数据密钥需分开存储,需保证没有人可以同时获取2种密钥(即使数据库运维人员也需要职责分离,并签署密钥保管协议);
5.加密算法建议与企业内部其他数据加密算法分开,严格控制卡号的解密权限;
6.加解密服务的调用需严格审批,对应用进行鉴权,对调用IP进行异常监控。
卡数据的使用
为了减少维护成本,采取多种方式减少完整卡号(包括可逆算法加密的密文)的流通范围。可采用的方式如下:
1.使用哈希的数据保护措施;
2.使用截断的数据保护措施(卡号前6后4的截断数据不再敏感,无需加密存储);
3.令牌化的数据保护措施。
请注意不要同时提供哈希密文和截断数据,使用哈希存储时也建议加Salt。
令牌化的数据保护措施,持卡人数据进入流程时,就转化为唯一可识别的卡索引,在整个业务流程的流转过程中,均使用该卡索引标识。只有必须使用明文卡号的场景才需解密真实卡号,如银行等第三方机构对接进行交易时。通过该方法,卡索引在公司内部可作为普通信息流通,不受PCI标准的限制,可有效缩小完整卡号的流通范围,减少管理成本。
总结
通过PCI DSS合规仅是帮助企业建立有效的持卡人数据保护措施的第一步,更重要的工作在于持续的管理维护,对全员进行安全意识提升,对卡号处理的共性需求提供统一的解决方案,如提供统一的支付、返现、退赔款、IVR功能等。通过提升用户数据保护水平从而更好的促进业务正向发展。
来源:freebuf.com 2020-08-17 16:33:22 by: datasec
请登录后发表评论
注册