PCI DSS 合規審查自動化 勢之所趨

資安問題想要真正解決,除了加強資安防護,通過資安合規審查可以符合法律、主管機關的規範,更可以積極的取得合作夥伴及消費者的認同。因此如何讓合規審查作業更為有效率與確實,合規管理平台及模式帶來了曙光。

網路購物及行動支付等網路交易行為在疫情的影響下,逆勢成長成為消費的主流,如何確保支付買賣雙方的交易安全,成為投入網購及支付相關業務企業的重要考量。資安法、上市櫃公司設立資安長造成資安人員嚴重短缺,面對個資法、產業安全規範、交易安全規範等合規需求被不斷提高,企業面對合規的要求及資安人員市場的現況,該如何提升合規管理作業的效率以及透過合規共管機制來做到合規作業的專業分工是合規管理人員停駐思考的新方向。

為什麼需要合規共管新機制?安律信息技術創辦人同時也是 PCI DSS QSA 審核員黃廷弘指出,最重要是專業分工,其次就是希望客戶在通過合規時,能過的輕鬆一點。而且對稽核人員而言有互惠的作用,也就是客戶通過合規審查愈輕鬆,稽核人員的工作也會變得更簡單有效。

資訊安全驗證的市場因為疫情影響有更多的線上交易及多元的支付方式因而成長了許多。黃廷弘指出,資訊安全驗證目前因為疫情可以透過遠端進行,所以可以節省大量差旅的費用,而且也有更多的時間,可以透過遠端的協同作業將安全驗證稽核做得更深入及完善。

交易安全的合規需求

何謂支付交易安全驗證?黃廷弘表示,支付交易安全有許多的標準,其中最重要的是由國際信用卡組織所成立的 PCI SSC 這個組織,針對支付卡(Payment Card)產業提出的各項交易安全標準,其中最重要的是 PCI DSS,這個標準規範了所有使用支付卡的機構包括銀行、支付公司、特約商店、網路商店等。PCI DSS 的重點就在於維持消費者的卡資料在支付環節中的安全性,以確保支付產業能夠健全的發展。其他標準例如 PCI PIN Security 是保護你在 ATM 機器輸入密碼時,密碼能夠安全的傳輸到發卡機構被驗核的標準,PCI 3DS 是在線上交易時傳輸一次性密碼的安全架構標準,規範所有參與 3D 交易的組織。這些交易安全的合規要求,有很強制性的技術要求,例如對於資料的加密要求、安全等級要求、技術測試要求等。

[ 2022年度CIO大調查報告下載 ]

由於交易安全與技術發展、支付方式息息相關,因此交易安全標準必須因應交易技術及安全技術進行改版。PCI DSS 自 2004 年的 V1.0 版、2010 年的 V2.0 版、2018 年 V3.2.1 版,今年 2022 年 PCI DSS 也發表了 V4.0 版。其中標準的結構中,引進了更多的技術防禦及安全管理條文,因為標準的更版,業者也必須積極的做好合規管理的各項準備。

業者進行合規遵循的三個痛點

業者面對各項的合規遵循,有其困難點,除了駭客的猖獗,各類攻擊的防禦成本,面對目前資安人員的短缺、合規人員的經驗缺乏、大金額的資訊安全投資等,以下說明企業投入合規管理的三個主要困難點。

黃廷弘指出,在做合規管理的最大困難點,第一個就是要執行人員看懂難懂的標準要求,一般而言,標準的撰寫,必須符合各種規模的公司執行、各種架構的組織適用。再技術上需要規避掉特定或專有的名詞以求名詞的覆蓋及代表性更廣泛,例如病毒在標準裡面要稱為惡意軟體(Malware)。例如最近發佈的 PCI DSS V4.0,雖然有兩年的緩衝期,新版標準加入了許多新的安全要求,例如對於需要有自動化機制來偵測釣魚攻擊、三方元件的漏洞管理等,除了技術的新穎化,標準在描述這些規定必須避開特定或某些品牌專有的說法讓標準的名詞變為難以解讀。

黃廷弘表示,過去在做合規標準訓練的經驗,相同的標準條文給人員 15 分鐘閱讀,看完之後再要求受訓人員寫下此條文規定應該要做的事情,常看到的結果是標準規範應執行 10 項的作業,人員卻往往只寫出 5 – 7 項,也就是會有 2-3 項要求人員從條文的閱讀中沒看出來。由大多數的標準語言偏向是寫給稽核人員看,許多標準著重在最小需求,或是指示稽核人員如何檢查。

其次是時程管理的困難,PCI DSS 每年有超過 20 個以上應定期執行的事項,例如每三個月要進行弱點掃描、每六個月需要執行防火牆政策的審查等等。但黃廷弘指出,隨著標準的改版,新標準更精準地定義了各項合規的證據與時間。如標準的規範要求寫得非常清楚,如「Monthly」特別註明「30 到 31 天」,「Every six months」的計算方式,也標明「90 到 92 天」,PCI DSS 合規有非常多項的定期交辦事項,業者在執行完畢之後,必須依照條文的規定保存證據,黃廷弘表示未依據卡組織的安全規範執行保護的業者,可能會面對每次 3-5 萬元美金的罰款,並且限期改善。

第三個難題則是人員的管理問題。黃廷弘指出,業者的企業規模有大有小,對大型企業而言,合規的組織可能由 30 – 40 人的團隊組成,團隊中分工細膩,人員各有不同的角色。反觀中小企業,合規團隊可能只有 6-8 個人或更少,無法建立像大型企業一樣分工、完整的團隊。但要將多達四百項的 PCI DSS 合規條文分配給無論是大的 30-40 人團隊或者小的 6-8 人團隊,再追蹤這些人員依時程執行相關的合規作業,人員與時程管理維度交織,形成合規管理裡面最重的負擔。

黃廷弘指出,如果沒有管理的工具,許多管理會變得相當困難。黃廷弘以過去自己在電信業的工作經驗為例,三個月就得開一次專案追蹤會議,集團光經理級以上的人員角色超過 50人,相關的進度追蹤使用 Excel 表格用 A3 尺寸列印多達幾十頁,可見追蹤合規管理專案進度的複雜度。

利用合規管理平台面對合規挑戰

為了能夠幫助業者有效率的達到合規的要求,安律信息技術提出合規管理整合平台(Compliance Portal)給需求合規管理的客戶使用。平台中第一個功能是透過工具的知識庫讓客戶可以更清楚合規要求,條文的規定是什麼?目的是什麼?可以用什麼樣的技術來達成。第二個功能則是時程進度的管控,包括如何在規定時間內,管理合規專案進度維持驗證有效、如何針對實際狀況可即時調整時間表、圖像化的掌握團隊進度、並在進度出問題時提升通報到主管(Escalation)。平台的第三個功能,是讓客戶更輕鬆的建立合規人員的配置,包括如何在團隊成員和合作夥伴之間進行順暢溝通、如何合理分配任務,以及在人員輪轉變動時能銜接及保持合規進度;黃廷弘表示,解決了客戶的痛點,增加了客戶的合規管理效率,也解決了自己驗證產業的問題,目前針對使用合規管理平台的客戶,平均稽核審查作業的效率可以省下 30% 以上的時間,因此解決了客戶的問題,同時也解決了驗證公司的效能問題。

合規管理整合平台的好處

透過合規管理整合平台,第一個好處就是可以透過「進度管理」功能,能夠很清楚掌握合規完成的進度。如倒數七天要稽核,但進度如果只完成 25%,透過項目進度表、成員進度表、條文規範完成度就可以很快地找出是哪裡出了問題。

第二個好處則是可以透過「時程管理」功能,安排往後需要執行的工作,如往後三個月內要執行的規定項目,哪些還沒安排相關人員與資源,都可以透過管理介面清楚的看到及設定提醒。如透過「近期事項」發現有人員應做的事項過期了,只要按下平台介面旁邊的按鈕,就可以發出 email 通知人員進行該有的因應,透過系統平台來幫助管理人員做好規劃及提醒。

黃廷弘表示,合規管理整合平台的「訊息管理」會將訊息集中管理,讓管理人員可以持續追蹤訊息發出之後的後續狀況,如過去工程師到底怎麼解決這個問題,以前發生過的問題,顧問或驗證公司是怎麼解決的紀錄會被詳實的保留。

掌控合規三大主軸

合規管理平台設計有三大主軸,針對合規管理的需求。

  1. 合規條文要求管理。
  2. 時程進度管理。
  3. 人員配置管理。

黃廷弘強調,掌控合規管理只需記得三大主軸-合規條文要求、人員配置及時間進度,也就是讓合規要求能讓相關人員容易理解,就能夠很快的配置到對的人員、角色並精準掌控時間進度。

合規管理平台為了解決人員對於標準條文的理解,由專業顧問及稽核人員將條文轉化成管理單元及項目(Units & Items Management)的方式,黃廷弘指出,想要從條文裡面看到要做什麼,其實是有一些困難度,有時候管理人員就算看著條文,也不知道要執行什麼。那應該要如何因應呢?黃廷弘指出,管理整合平台會先讓顧問或稽核人員將條文轉寫成應該執行的事項,或應提出的證據範例,例如在管理平台裡面,針對負責防火牆的管理人員,平台直接顯示總共需要執行的十項作業及其應繳交的證明、證據,因此管理人員可以很有把握的依據時程要求來執行並產出,這樣合規管理就變得跟技術管理一樣的易懂易做了。

面對執行合規管理,黃廷弘建議管理人員可以換一個角度,思考應該要交什麼證據才能達成合規要求,例如 PCI DSS V4.0 的新規定要求不能從遠端(Remote)複製資料到近端,想要提出沒有讓人員可以從遠端複製資料到近端的證明,可以嘗試提出過去的系統紀錄,或是證明已使用技術來阻斷任何遠端複製資料的可能性。

如標準要求防火牆的韌體要更新時,管理平台會直接提示工程師提供韌體的更新截圖來證明,平台甚至會提供範例截圖,讓工程師可以得知要如何確認已經完成要求,如果想看條文,平台的設計也可以清楚的看到條文跟顧問的解釋,工程師就比較不會因為看不懂條文而無所適從,執行的意願也就跟著提高了。也不會只需要做 10 件事情,卻做了 15 件事情,或是 10 件事情只做了 7 件,卻因為這 3 件沒做的事情,而導致合規失效。

管理平台也會提供合規知識庫(Knowledge Base),提供相關項目的細部說明、規定要求、如何達成的說明、配置說明及範例等的線上顧問資訊,如提供相關範例,管理人員該怎麼做,用什麼方法可以達到合規等資訊。對於組織經常更換合規管理人員或常有新進人員的組織更是一大幫助。

透過平台,管理人員也可以得知規定的項目是否已經提交或審查作業已經完成,客戶可以很輕鬆地管理及達成合規的要求,稽核人員透過平常遠端繳交證明時就提前審查證據,現場稽核時也會雙方都會變得比較輕鬆,審查速度就會加快,自然也就更能協助客戶相關人員做到合規的要求。

黃廷弘指出,PCI DSS 要求的框架,可以分成 12 個領域,但標準條文因為標準結構問題不一定會按照業者公司的人員組織架構來訂定,依據條文的安排是很難進行人員及任務的配置,透過平台已經重新依據人員角色、責任編制的單元及項目,可以讓業者依據熟悉的現有人員組織來進行任務規劃。另外因應業者合規組織的大小,有些是5個人,有些合規是3個人,甚至有些業者沒有安全或合規部門,透過角色、責任的方式將合規工作進行分配,將工作與人員角色配對,管理人員只需透過選項的配置可以精確、快速的分配完所有的條文要求,通常 400 個條文要求可能只會歸結到 40 個工作單元,並分配給 5-8 個不同的職能角色(例如網路管理人員、開發人員等)。

當合規作業的人員配置變為簡單時,合規專案負責人的工作自然也會比較輕鬆,進度追蹤起來也會更快一點。適合單位組織的單元及項目管理就可以分門別類,還可用設定顏色來區別,因此可以在專案的主控台中(Dash Board)快速的看出是網路管理單位速度慢?還是系統開發部門合規的進度落後?然後才能根據按照部門的工作狀態調整出可行的合規作業方式。

工作項目除了可以按照組織部門功能來分配及管理外,平台也提供按照每一個執行的個人來管理項目及進度。平台配置每一個人都屬於自己的主控台,可以檢視自己被指派哪些條文、要求做的事項,快速了解自己的整體或單元進度,除了平台系統可以依據規劃通知個人進行各項作業外,專案管理人員還可以透過 email、訊息的功能提醒團隊中的個人儘快進行特定的事項。 黃廷弘指出,專案進行中會有一些事項彼此有銜接性,要先做完某些事項之後,運營團隊才能把另一個事項接續上去,所以透過平台,才能知道及安排要先做完什麼事項,否則後面的事項做了也沒有意義,因此透過平台的排程系統讓管理也會變得更有效率。

黃廷弘指出,依據 PCI DSS,全年有超過二十個固定的應辦事項,在平台中進行排程後,合規管理人員只要按時或按照通知進行平日進度管理,或是想推看三個月內即將發生的概覽來安排相關資源,透過專案的主控台,按大區塊或按照細部進程都可以很快地掌握所有進度。

合規共管降低合規成本

黃廷弘表示,由於合規增加了企業許多的系統管理及人員管理作業,一般的資訊人員也未必是最佳的合規管理人員,為了讓大家有最佳的專業分工,推出了合規共管的服務,來降低大家合規的成本。

由於現在的企業資安人員變動相當快,常常需要訓練新的人員,加上現在的資安人才相當缺乏。安律信息技術透過合規共管服務,替客戶代為管理因合規而增加的安全主機,並提供合規監控服務,也就是將只是因為合規才需要做的事情,跟企業自己本身擅長的支付業務分開來,形成專業分工。

黃廷弘表示,分工的第一個好處,就是驗證的範圍變小,由於合規共管服務代管了因合規才執行的部分主機,因此業者的驗證範圍就縮小到自己熟悉的支付系統主機管理,而將合規需要的主機託管給共管服務,當業者通過自己管理範圍的區域的 PCI DSS 審查,加上共管服務也通過 PCI DSS 審查時,兩者組合起來就可以通過 PCI DSS 合規驗證。第二個好處就是屬於合規共管的事項,多了共管區的管理可以增強管理的強度及有效性,如 PCI DSS 規定系統的 Log 必須要保留在線三個月隨時可查,線下至少保留一年,合規共管服務代管了客戶的 Log,除了達到合規之外,也讓未授權的人無法變更在代管區的 Log。過往系統發出告警,業者的工程師可能忽略告警,或未及時處理告警,由於目前告警透過共管區發出,因此,如果業者未能及時處理告警,合規共管服務會進行監督或提升告警到業者的主管以確保告警都被有效進行處理,因此合規共管除了專業分工的好處,還包括 Four Eyes 多一層的安全監督好處。

黃廷弘表示安全性也已經加以考慮,所以在設計合規共管服務時,都是在雲端的內網執行,與客戶的環境屬於雲端內網的溝通,因此是非常安全的環境。其實客戶原有作業及合規共管環境這兩個區域可以互通,所以服務供應商也可以幫客戶做掃描,就不用擔心客戶會忘記做好應辦事項。

此外,合規共管節省了客戶工程師花在合規管理、技術測試的時間,合規共管將合規需求中的技術測試例如內部或是外部弱點掃描,代為執行包括網路、主機和安全管理的合規加固處理(Hardening)需求,提供監控自動化的合規服務,例如防火牆政策的審查標準規定六個月進行一次,現在透過合規代管的自動化機制每天都可比對執行,協助發現新增的防火牆政策或開放不安全的協議問題,除了可以節省管理人員時間,還可以把安全監督的強度提升。

黃廷弘強調,合規共管最重要的好處,就是能夠降低合規成本。黃廷弘估計,業者採用合規共管服務,通過審查的速度可以加快三倍,減少自有人員 75% 花在合規應辦事項的時間,整體節省合規使用的 40% 人力,更能隨時掌握持續合規狀態。

合規共管平台的介面說明


合規管理平台在單元與項目的管理介面

合規共管平台在個人項目進度(上圖) 與應辦事項(下圖) 的管理介 面

合規共管平台在平日管理上的介面

出處:CIO Taiwan